LabEx
EntrarÚnete

Búsqueda de credenciales de inicio de sesión expuestas

WiresharkBeginner
Practicar Ahora

Introducción

En este desafío, asumirás el papel de un especialista en seguridad de redes que investiga una posible filtración de datos en tu empresa. Tu tarea consiste en analizar el tráfico de red mediante Wireshark para determinar si alguna credencial de usuario se transmitió en texto plano, lo que podría explicar cómo se vio comprometida la información confidencial.

El desafío requiere que examines archivos de captura de paquetes (PCAP) de comunicaciones de red recientes para cazar credenciales de inicio de sesión expuestas. Al aplicar técnicas de análisis de paquetes, identificarás casos en los que los nombres de usuario y las contraseñas podrían haberse transmitido sin el cifrado adecuado, resaltando la importancia crítica de los protocolos seguros para el manejo de datos de autenticación.

Este es un Desafío (Challenge), que a diferencia de un Laboratorio Guiado, requiere que intentes completar la tarea de forma independiente en lugar de seguir pasos de aprendizaje. Los desafíos suelen tener cierta dificultad. Si te resulta complicado, puedes debatir con Labby o consultar la solución. Los datos históricos muestran que este es un desafío de nivel principiante con una tasa de aprobación del 94%. Ha recibido una tasa de reseñas positivas del 85% por parte de los alumnos.

Búsqueda de credenciales de inicio de sesión expuestas

Tu empresa ha detectado una posible filtración de datos. Como especialista en seguridad de redes, debes analizar el tráfico de red reciente para determinar si alguna credencial de usuario se transmitió en texto plano, lo que podría explicar el origen de la filtración.

Tareas

  • Crear un filtro de visualización para encontrar paquetes HTTP que contengan las palabras 'user', 'pass' o 'login'
  • Identificar y extraer cualquier credencial expuesta
  • Documentar las credenciales descubiertas en el formato requerido

Requisitos

  • Abre el archivo de captura de paquetes ubicado en /home/labex/project/network_analysis/company_traffic.pcap usando Wireshark

  • Crea un filtro de visualización que muestre únicamente los paquetes HTTP que contengan posible información de credenciales

  • Tu filtro debe buscar las palabras 'user', 'pass' o 'login' dentro de los paquetes HTTP

  • Guarda tu filtro para su verificación haciendo clic en el botón "+" en la barra de filtros después de comprobar que funciona correctamente

  • Una vez que encuentres las credenciales, guárdalas en un archivo llamado /home/labex/project/network_analysis/found_credentials.txt con el siguiente formato:

    username: [found username]
password: [found password]

Ejemplos

Al aplicar el filtro correcto, Wireshark debería mostrar solo los paquetes que contienen información de credenciales. Podrías ver algo como esto:

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   HTTP      193     GET /login.php HTTP/1.1

Al examinar los detalles del paquete, deberías ser capaz de ver la información de las credenciales en texto plano:

Frame > Ethernet > Internet Protocol > Transmission Control Protocol > Hypertext Transfer Protocol
    content: username=labby&password=hacker

Tu archivo found_credentials.txt debería verse así:

username: labby
password: hacker

Consejos

  • Inicia Wireshark desde la terminal usando el comando wireshark
  • Para abrir el archivo de captura de paquetes, utiliza File > Open y navega hasta la ubicación del archivo
  • La barra de filtros de visualización se encuentra en la parte superior de la ventana de Wireshark
  • Para buscar múltiples términos usando la lógica OR, utiliza el símbolo de tubería (|)
  • Recuerda que los datos HTTP pueden aparecer en diferentes partes del paquete, por lo que debes buscar en todo el contenido del paquete
  • Los filtros de Wireshark distinguen entre mayúsculas y minúsculas por defecto
  • Puedes crear el archivo de credenciales usando cualquier editor de texto como nano o gedit
✨ Revisar Solución y Practicar

Resumen

En este desafío, aprendí a utilizar Wireshark para analizar el tráfico de red e identificar posibles vulnerabilidades de seguridad relacionadas con la exposición de credenciales. La tarea consistió en examinar un archivo PCAP del tráfico de red de una empresa para localizar instancias en las que las credenciales de usuario se transmitieron en texto plano, lo que podría explicar una filtración de datos detectada.

A través de una inspección minuciosa de los paquetes, descubrí tráfico HTTP que contenía información de inicio de sesión no cifrada, específicamente una solicitud POST que incluía valores de nombre de usuario y contraseña en texto plano. Este ejercicio resaltó la importancia crítica de utilizar protocolos cifrados (como HTTPS) para transmitir información sensible, ya que las credenciales no cifradas pueden ser capturadas y explotadas fácilmente por actores malintencionados que monitoricen el tráfico de la red.

Relacionado Wireshark Cursos
Wireshark para Principiantes

Wireshark para Principiantes

cybersecuritywireshark
Análisis de ciberseguridad con Wireshark y Tshark

Análisis de ciberseguridad con Wireshark y Tshark

cybersecuritywireshark