LabEx
EntrarÚnete

Encontrar credenciales de inicio de sesión expuestas

WiresharkBeginner
Practicar Ahora

Introducción

En este desafío, asumirás el rol de un especialista en seguridad de redes que investiga una posible fuga de datos en tu empresa. Tu tarea consiste en analizar el tráfico de red utilizando Wireshark para determinar si se transmitieron credenciales de usuario en texto plano, lo cual podría explicar cómo se comprometió la información confidencial.

El desafío requiere que examines archivos de captura de paquetes (PCAP) de comunicaciones de red recientes para buscar credenciales de inicio de sesión expuestas. Al aplicar técnicas de análisis de paquetes, identificarás casos en los que los nombres de usuario y las contraseñas pudieron haber sido transmitidos sin el cifrado adecuado, destacando la importancia crítica de utilizar protocolos seguros para el manejo de datos de autenticación.

Encontrar credenciales de inicio de sesión expuestas

Tu empresa ha detectado una posible fuga de datos. Como especialista en seguridad de redes, debes analizar el tráfico de red reciente para determinar si se transmitieron credenciales de usuario en texto plano, lo que podría explicar la fuga.

Tareas

  • Crear un filtro de visualización para encontrar paquetes que contengan las palabras 'user', 'pass' o 'login'
  • Identificar y extraer cualquier credencial expuesta
  • Documentar las credenciales descubiertas en el formato requerido

Requisitos

  • Abrir el archivo de captura de paquetes ubicado en /home/labex/project/network_analysis/company_traffic.pcap usando Wireshark

  • Crear un filtro de visualización que muestre los paquetes que contengan posible información de credenciales

  • Tu filtro debe buscar en el contenido de los paquetes las palabras 'user', 'pass' o 'login'

  • Guarda tu filtro para verificación haciendo clic en el botón "+" en la barra de filtros después de probar que funciona

  • Una vez que encuentres las credenciales, guárdalas en un archivo llamado /home/labex/project/network_analysis/found_credentials.txt con este formato:

    username: [found username]
password: [found password]

Ejemplos

Cuando aplicas el filtro correcto, Wireshark debería mostrar solo los paquetes que contienen información de credenciales. El paquete que contiene las credenciales puede aparecer como HTTP o TCP en la lista de paquetes, así que concéntrate en el contenido del paquete coincidente en lugar de solo en la columna Protocol.

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   TCP       193     51234 -> 80 [PSH, ACK] Len=139

Al examinar los detalles del paquete o seguir la secuencia (stream), deberías poder ver la información de las credenciales en texto plano:

GET /login.php HTTP/1.1
content: username=admin&password=secret123

Tu archivo found_credentials.txt debería verse así:

username: admin
password: secret123

Pistas

  • Inicia Wireshark desde la terminal usando el comando wireshark
  • Para abrir el archivo de captura de paquetes, usa File > Open y navega hasta la ubicación del archivo
  • La barra de filtros de visualización se encuentra en la parte superior de la ventana de Wireshark
  • Para buscar múltiples términos usando lógica OR, utiliza el símbolo de barra vertical (|)
  • Busca en el contenido de los paquetes en lugar de confiar solo en la columna Protocol, ya que la solicitud coincidente puede aparecer como un paquete TCP en la lista
  • Los filtros de Wireshark distinguen entre mayúsculas y minúsculas de forma predeterminada
  • Puedes crear el archivo de credenciales usando cualquier editor de texto como nano o gedit

Resumen

En este desafío, aprendí a usar Wireshark para analizar el tráfico de red e identificar posibles vulnerabilidades de seguridad relacionadas con la exposición de credenciales. La tarea consistió en examinar un archivo PCAP del tráfico de red de la empresa para localizar casos en los que las credenciales de usuario se transmitieron en texto plano, lo que podría explicar una fuga de datos detectada.

A través de una inspección cuidadosa de los paquetes, descubrí una solicitud de inicio de sesión que contenía datos sin cifrar: username=admin&password=secret123. Dependiendo de cómo Wireshark diseccione el paquete, puede aparecer en la lista como HTTP o TCP, por lo que este ejercicio también reforzó la importancia de inspeccionar el contenido de los paquetes directamente en lugar de confiar solo en la etiqueta del protocolo. Este ejercicio destacó la importancia crítica de utilizar protocolos cifrados como HTTPS para transmitir información confidencial.

✨ Revisar Solución y Practicar
Relacionado Wireshark Cursos
Wireshark para Principiantes

Wireshark para Principiantes

cybersecuritywireshark
Análisis de ciberseguridad con Wireshark y Tshark

Análisis de ciberseguridad con Wireshark y Tshark

cybersecuritywireshark