查找暴露的登录凭据

介绍

在这个挑战（Challenge）中，你将扮演一名网络安全专家，调查你公司潜在的数据泄露事件。你的任务是使用 Wireshark 分析网络流量，以确定是否有任何用户凭据以明文形式传输，这可能解释了敏感信息是如何泄露的。

这个挑战要求你检查最近网络通信的数据包捕获（PCAP）文件，以寻找暴露的登录凭据。通过应用数据包分析技术，你将识别用户名和密码可能在没有适当加密的情况下传输的实例，从而突显安全协议对于处理身份验证数据的关键重要性。

Skills Graph

查找暴露的登录凭据

你的公司检测到潜在的数据泄露。作为网络安全专家，你需要分析最近的网络流量，以确定是否有任何用户凭据以明文形式传输，这可能解释了数据泄露的原因。

任务

• 创建一个显示过滤器，以查找包含“user”、“pass”或“login”单词的 HTTP 数据包
• 识别并提取任何暴露的凭据
• 以要求的格式记录发现的凭据

要求

• 使用 Wireshark 打开位于 /home/labex/project/network_analysis/company_traffic.pcap 的数据包捕获文件

• 创建一个显示过滤器，该过滤器将仅显示包含可能的凭据信息的 HTTP 数据包

• 你的过滤器必须在 HTTP 数据包中搜索单词“user”、“pass”或“login”

• 保存你的过滤器以进行验证，方法是在测试其工作正常后，单击过滤器栏中的“+”按钮

• 找到凭据后，将其保存到名为 /home/labex/project/network_analysis/found_credentials.txt 的文件中，格式如下：

  username: [找到的用户名]
  password: [找到的密码]

示例

当你应用正确的过滤器时，Wireshark 应该仅显示包含凭据信息的数据包。你可能会看到如下内容：

No.  Time     Source        Destination   Protocol  Length  Info
1    0.000000 192.168.0.2   192.168.0.1   HTTP      193     GET /login.php HTTP/1.1

检查数据包详细信息时，你应该能够以明文形式看到凭据信息：

Frame > Ethernet > Internet Protocol > Transmission Control Protocol > Hypertext Transfer Protocol
    content: username=labby&password=hacker

你的 found_credentials.txt 文件应如下所示：

username: labby
password: hacker

提示

• 使用命令 wireshark 从终端启动 Wireshark
• 要打开数据包捕获文件，请使用“File > Open”并导航到文件位置
• 显示过滤器栏位于 Wireshark 窗口的顶部
• 要使用 OR 逻辑搜索多个术语，请使用管道符号 (|)
• 请记住，HTTP 数据可能出现在数据包的不同部分，因此请搜索整个数据包内容
• 默认情况下，Wireshark 过滤器区分大小写
• 你可以使用任何文本编辑器（如 nano 或 gedit）创建凭据文件

总结

在这个挑战（Challenge）中，我学习了如何使用 Wireshark 分析网络流量，并识别与凭据暴露相关的潜在安全漏洞。这项任务涉及检查公司网络流量的 PCAP 文件，以查找用户凭据以明文形式传输的实例，这可以解释检测到的数据泄露。

通过仔细的数据包检查，我发现了包含未加密登录信息的 HTTP 流量，特别是包含明文用户名和密码值的 POST 请求。这个练习突显了使用加密协议（如 HTTPS）传输敏感信息的关键重要性，因为未加密的凭据很容易被监控网络流量的恶意行为者捕获和利用。