LabEx
Se connecterInscription gratuite

Trouver des identifiants de connexion exposés

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce défi, vous incarnerez un spécialiste de la sécurité réseau enquêtant sur une potentielle fuite de données au sein de votre entreprise. Votre tâche consiste à analyser le trafic réseau à l'aide de Wireshark afin de déterminer si des identifiants d'utilisateur ont été transmis en clair, ce qui pourrait expliquer comment des informations sensibles ont été compromises.

Le défi vous demande d'examiner les fichiers de capture de paquets (PCAP - Packet Capture) des communications réseau récentes afin de rechercher les identifiants de connexion exposés. En appliquant des techniques d'analyse de paquets, vous identifierez les cas où les noms d'utilisateur et les mots de passe ont pu être transmis sans chiffrement approprié, soulignant ainsi l'importance cruciale des protocoles sécurisés pour la gestion des données d'authentification.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") subgraph Lab Skills wireshark/display_filters -.-> lab-548820{{"Trouver des identifiants de connexion exposés"}} wireshark/packet_analysis -.-> lab-548820{{"Trouver des identifiants de connexion exposés"}} end

Trouver les identifiants de connexion exposés

Votre entreprise a détecté une potentielle fuite de données. En tant que spécialiste de la sécurité réseau, vous devez analyser le trafic réseau récent pour déterminer si des identifiants d'utilisateur ont été transmis en clair, ce qui pourrait expliquer la fuite.

Tâches

  • Créer un filtre d'affichage pour trouver les paquets HTTP contenant les mots 'user', 'pass' ou 'login'
  • Identifier et extraire tous les identifiants exposés
  • Documenter les identifiants découverts dans le format requis

Exigences

  • Ouvrir le fichier de capture de paquets situé à /home/labex/project/network_analysis/company_traffic.pcap en utilisant Wireshark

  • Créer un filtre d'affichage qui affichera uniquement les paquets HTTP contenant des informations d'identification possibles

  • Votre filtre doit rechercher les mots 'user', 'pass' ou 'login' dans les paquets HTTP

  • Enregistrer votre filtre pour vérification en cliquant sur le bouton "+" dans la barre de filtre après avoir vérifié qu'il fonctionne

  • Une fois que vous avez trouvé les identifiants, enregistrez-les dans un fichier nommé /home/labex/project/network_analysis/found_credentials.txt dans ce format :

    username: [found username]
password: [found password]

Exemples

Lorsque vous appliquez le filtre correct, Wireshark ne doit afficher que les paquets contenant des informations d'identification. Vous pourriez voir quelque chose comme ceci :

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   HTTP      193     GET /login.php HTTP/1.1

Lors de l'examen des détails du paquet, vous devriez être en mesure de voir les informations d'identification en clair :

Frame > Ethernet > Internet Protocol > Transmission Control Protocol > Hypertext Transfer Protocol
    content: username=labby&password=hacker

Votre fichier found_credentials.txt devrait ressembler à ceci :

username: labby
password: hacker

Astuces

  • Lancer Wireshark depuis le terminal en utilisant la commande wireshark
  • Pour ouvrir le fichier de capture de paquets, utilisez File > Open et naviguez jusqu'à l'emplacement du fichier
  • La barre de filtre d'affichage se trouve en haut de la fenêtre Wireshark
  • Pour rechercher plusieurs termes en utilisant la logique OR, utilisez le symbole pipe (|)
  • N'oubliez pas que les données HTTP peuvent apparaître dans différentes parties du paquet, alors recherchez dans tout le contenu du paquet
  • Les filtres Wireshark sont sensibles à la casse par défaut (case-sensitive)
  • Vous pouvez créer le fichier d'identifiants en utilisant n'importe quel éditeur de texte comme nano ou gedit
✨ Vérifier la solution et pratiquer

Résumé

Dans ce défi, j'ai appris à utiliser Wireshark pour analyser le trafic réseau et identifier les vulnérabilités de sécurité potentielles liées à l'exposition des identifiants. La tâche consistait à examiner un fichier PCAP (Packet Capture) du trafic réseau de l'entreprise afin de localiser les cas où les identifiants d'utilisateur étaient transmis en clair, ce qui pourrait expliquer une fuite de données détectée.

Grâce à une inspection minutieuse des paquets, j'ai découvert un trafic HTTP contenant des informations de connexion non chiffrées, en particulier une requête POST qui incluait des valeurs de nom d'utilisateur et de mot de passe en texte clair. Cet exercice a souligné l'importance cruciale de l'utilisation de protocoles chiffrés (comme HTTPS) pour la transmission d'informations sensibles, car les identifiants non chiffrés peuvent être facilement capturés et exploités par des acteurs malveillants surveillant le trafic réseau.

Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant