LabEx
Iniciar SesiónÚnete Gratis

Encuentra Credenciales de Inicio de Sesión Expuestas

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este desafío, asumirás el papel de un especialista en seguridad de redes que investiga una posible fuga de datos en tu empresa. Tu tarea es analizar el tráfico de red utilizando Wireshark para determinar si alguna credencial de usuario se transmitió en texto plano, lo que podría explicar cómo se comprometió información confidencial.

El desafío requiere que examines archivos de captura de paquetes (PCAP) de comunicaciones de red recientes para buscar credenciales de inicio de sesión expuestas. Al aplicar técnicas de análisis de paquetes, identificarás instancias en las que los nombres de usuario y las contraseñas podrían haberse transmitido sin el cifrado adecuado, lo que destaca la importancia crítica de los protocolos seguros para el manejo de datos de autenticación.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") subgraph Lab Skills wireshark/display_filters -.-> lab-548820{{"Encuentra Credenciales de Inicio de Sesión Expuestas"}} wireshark/packet_analysis -.-> lab-548820{{"Encuentra Credenciales de Inicio de Sesión Expuestas"}} end

Encontrar Credenciales de Inicio de Sesión Expuestas

Tu empresa ha detectado una posible fuga de datos. Como especialista en seguridad de redes, debes analizar el tráfico de red reciente para determinar si alguna credencial de usuario se transmitió en texto plano, lo que podría explicar la fuga.

Tareas

  • Crear un filtro de visualización para encontrar paquetes HTTP que contengan las palabras 'user', 'pass' o 'login'
  • Identificar y extraer cualquier credencial expuesta
  • Documentar las credenciales descubiertas en el formato requerido

Requisitos

  • Abrir el archivo de captura de paquetes (PCAP) ubicado en /home/labex/project/network_analysis/company_traffic.pcap usando Wireshark

  • Crear un filtro de visualización que muestre solo los paquetes HTTP que contengan posible información de credenciales

  • Tu filtro debe buscar las palabras 'user', 'pass' o 'login' en los paquetes HTTP

  • Guarda tu filtro para su verificación haciendo clic en el botón "+" en la barra de filtros después de probar que funciona

  • Una vez que encuentres las credenciales, guárdalas en un archivo llamado /home/labex/project/network_analysis/found_credentials.txt en este formato:

    username: [found username]
password: [found password]

Ejemplos

Cuando apliques el filtro correcto, Wireshark debería mostrar solo los paquetes que contengan información de credenciales. Podrías ver algo como esto:

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   HTTP      193     GET /login.php HTTP/1.1

Al examinar los detalles del paquete, deberías poder ver la información de las credenciales en texto plano:

Frame > Ethernet > Internet Protocol > Transmission Control Protocol > Hypertext Transfer Protocol
    content: username=labby&password=hacker

Tu archivo found_credentials.txt debería verse así:

username: labby
password: hacker

Sugerencias

  • Inicia Wireshark desde la terminal usando el comando wireshark
  • Para abrir el archivo de captura de paquetes, usa File > Open y navega hasta la ubicación del archivo
  • La barra de filtro de visualización está en la parte superior de la ventana de Wireshark
  • Para buscar múltiples términos usando lógica OR, usa el símbolo de barra vertical (|)
  • Recuerda que los datos HTTP pueden aparecer en diferentes partes del paquete, así que busca en todo el contenido del paquete
  • Los filtros de Wireshark distinguen entre mayúsculas y minúsculas de forma predeterminada (case-sensitive)
  • Puedes crear el archivo de credenciales usando cualquier editor de texto como nano o gedit
✨ Revisar Solución y Practicar

Resumen

En este desafío, aprendí a usar Wireshark para analizar el tráfico de red e identificar posibles vulnerabilidades de seguridad relacionadas con la exposición de credenciales. La tarea consistió en examinar un archivo PCAP del tráfico de la red de la empresa para localizar instancias en las que las credenciales de usuario se transmitieron en texto plano, lo que podría explicar una fuga de datos detectada.

A través de una inspección cuidadosa de los paquetes, descubrí tráfico HTTP que contenía información de inicio de sesión no cifrada, específicamente una solicitud POST que incluía valores de nombre de usuario y contraseña en texto plano. Este ejercicio destacó la importancia crítica de usar protocolos cifrados (como HTTPS) para transmitir información confidencial, ya que las credenciales no cifradas pueden ser capturadas y explotadas fácilmente por actores maliciosos que monitorean el tráfico de la red.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante