寻找泄露的登录凭据

介绍

在本次挑战中，你将扮演一名网络安全专家的角色，调查公司内部潜在的数据泄露事件。你的任务是使用 Wireshark 分析网络流量，确定是否有用户凭据以明文形式传输，这可能解释了敏感信息是如何被窃取的。

该挑战要求你检查近期网络通信的数据包捕获（PCAP）文件，以搜寻泄露的登录凭据。通过应用数据包分析技术，你将识别出用户名和密码在没有经过适当加密的情况下进行传输的实例，从而凸显出在处理身份验证数据时使用安全协议的至关重要性。

寻找泄露的登录凭据

你的公司检测到了潜在的数据泄露。作为网络安全专家，你需要分析近期的网络流量，以确定是否有任何用户凭据以明文形式传输，这可能就是泄露的原因。

任务

• 创建一个显示过滤器，用于查找包含「user」、「pass」或「login」单词的 HTTP 数据包
• 识别并提取任何泄露的凭据
• 按要求的格式记录发现的凭据

要求

• 使用 Wireshark 打开位于 /home/labex/project/network_analysis/company_traffic.pcap 的数据包捕获文件

• 创建一个显示过滤器，仅显示包含可能凭据信息的 HTTP 数据包

• 你的过滤器必须在 HTTP 数据包中搜索「user」、「pass」或「login」这些词

• 在测试过滤器有效后，点击过滤器栏中的「+」按钮保存过滤器，以便进行验证

• 一旦找到凭据，请将其保存到名为 /home/labex/project/network_analysis/found_credentials.txt 的文件中，格式如下：

  username: [found username]
  password: [found password]

示例

当你应用正确的过滤器时，Wireshark 应该只显示包含凭据信息的数据包。你可能会看到类似这样的内容：

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   HTTP      193     GET /login.php HTTP/1.1

在检查数据包详情时，你应该能够看到明文形式的凭据信息：

Frame > Ethernet > Internet Protocol > Transmission Control Protocol > Hypertext Transfer Protocol
    content: username=labby&password=hacker

你的 found_credentials.txt 文件应该如下所示：

username: labby
password: hacker

提示

• 在终端中使用 wireshark 命令启动 Wireshark
• 要打开数据包捕获文件，请使用 File > Open 并导航到文件所在位置
• 显示过滤器栏位于 Wireshark 窗口的顶部
• 要使用「或」（OR）逻辑搜索多个术语，请使用管道符号（|）
• 请记住，HTTP 数据可能出现在数据包的不同部分，因此请搜索整个数据包内容
• Wireshark 过滤器默认是区分大小写的
• 你可以使用任何文本编辑器（如 nano 或 gedit）创建凭据文件

总结

在本次挑战中，我学习了如何使用 Wireshark 分析网络流量，并识别与凭据泄露相关的潜在安全漏洞。任务涉及检查公司网络流量的 PCAP 文件，以定位用户凭据以明文形式传输的实例，这解释了检测到的数据泄露原因。

通过仔细的数据包检查，我发现了包含未加密登录信息的 HTTP 流量，特别是一个包含明文用户名和密码值的 POST 请求。这次练习凸显了使用加密协议（如 HTTPS）传输敏感信息的极端重要性，因为未加密的凭据很容易被监控网络流量的恶意攻击者捕获并利用。