Differences
This shows you the differences between two versions of the page.
|
uso:laboratoare:new:10-sec:nice-to-know [2018/12/08 23:17] octavian.guzu [3. Capturi de retea] |
uso:laboratoare:new:10-sec:nice-to-know [2019/12/05 11:03] (current) adrian.zatreanu |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| ===== Nice to Know ===== | ===== Nice to Know ===== | ||
| | | ||
| - | Pentru exercițiile urmatoare, mergeți în directorul ''/home/student/uso.git/labs/10-sec/support/nice-to-know''. | + | <note> |
| + | Pentru exercițiile urmatoare, mergeți în directorul ''/home/student/uso-lab/10-sec/support/nice-to-know''. | ||
| + | </note> | ||
| | | ||
| - | ==== 1. Spargerea parolei prin brute-force ==== | + | ==== Spargerea parolei prin brute-force ==== |
| | | ||
| Tehnica de **brute-force** presupune încercarea oricăror combinării posibile de caractere în încercarea de a sparge o parolă. În cazul nostru, vom lucra cu un **zip**. | Tehnica de **brute-force** presupune încercarea oricăror combinării posibile de caractere în încercarea de a sparge o parolă. În cazul nostru, vom lucra cu un **zip**. | ||
| Line 36: | Line 38: | ||
| * ''-u'' -> verifică parola prin încercarea de a dezarhiva arhiva | * ''-u'' -> verifică parola prin încercarea de a dezarhiva arhiva | ||
| | | ||
| - | ==== 2. Spargerea parolei cu wordlist ==== | + | ==== Spargerea parolei cu wordlist ==== |
| | | ||
| Asemănător exemplului de mai sus, avem în același director arhiva zip ''secret_wordlist.zip''. Deoarece parola este suficient de lungă, ea nu poate fi spartă folosind un atac de tip brute-force. | Asemănător exemplului de mai sus, avem în același director arhiva zip ''secret_wordlist.zip''. Deoarece parola este suficient de lungă, ea nu poate fi spartă folosind un atac de tip brute-force. | ||
| | | ||
| Poate fi însă spartă folosind un dicționar de cuvinte. **fcrackzip** are opțiunea de a încerca parole dintr-o listă (numite wordlist). Dacă parola arhivei se află în lista de cuvinte, atunci ea va putea fi spartă. | Poate fi însă spartă folosind un dicționar de cuvinte. **fcrackzip** are opțiunea de a încerca parole dintr-o listă (numite wordlist). Dacă parola arhivei se află în lista de cuvinte, atunci ea va putea fi spartă. | ||
| - | | + | <note> |
| Deși sună greu de realizat în practică (Ce wordlist va avea în ea parola mea ''5gangmoduavion??'' ??), multe persoane folosesc parole simple pentru a-și proteja datele personale. | Deși sună greu de realizat în practică (Ce wordlist va avea în ea parola mea ''5gangmoduavion??'' ??), multe persoane folosesc parole simple pentru a-și proteja datele personale. | ||
| + | </note> | ||
| | | ||
| - | **[2a]** Spargeți parola arhivei ''secret_wordlist.zip'' folosind dicționarul ''wordlists.txt''. ''HINT: man fcrackzip sau Google'' | + | **[2a]** Spargeți parola arhivei ''secret_wordlist.zip'' folosind dicționarul ''wordlists.txt''. (HINT: ''man fcrackzip'' sau ''Google'') |
| - | ==== 3. Capturi de retea ==== | + | ==== Capturi de rețea ==== |
| + | |||
| + | Atacatorul Trudy a reușit să obțină acces la calculatorului studentului ''Vladimir''. Trudy a capturat tot traficul pe care Vladimir l-a făcut în rețea în captura de rețea ''capture.pcapng'' și va încerca să găsească date care l-ar putea interesa. Pentru acest lucru, el instalează **Wireshark** rulând comenzile următoare: | ||
| + | |||
| + | <code bash> | ||
| + | student@uso:~$ sudo add-apt-repository ppa:wireshark-dev/stable | ||
| + | student@uso:~$ sudo apt-get update | ||
| + | student@uso:~$ sudo apt-get install wireshark | ||
| + | </code> | ||
| + | |||
| + | După ce s-a instalat, el pornește **Wireshark**: | ||
| + | |||
| + | <code bash> | ||
| + | student@uso:~$ wireshark | ||
| + | </code> | ||
| + | |||
| + | {{:uso:laboratoare:new:10-sec:wireshark_start.png?nolink&750|}} | ||
| + | |||
| + | Deschide apoi captura de rețea ''capture.pcapng'' în Wireshark folosind ''File -> Open'': | ||
| + | |||
| + | {{:uso:laboratoare:new:10-sec:wireshark_2.png?nolink&700|}} | ||
| + | |||
| + | Vladimir a navigat mult pe internet și deci a generat mult trafic. Trudy știe că el a intrat pe 2 site-uri care îi pot fi de interes **aavtrain.com** și **acs.curs.pub.ro**. | ||
| + | |||
| + | Pentru început, Trudy află adresa ip a site-ului **aavtrain.com**: | ||
| + | |||
| + | <code bash> | ||
| + | student@uso:~$ ping aavtrain.com | ||
| + | PING aavtrain.com (192.185.11.183) 56(84) bytes of data. | ||
| + | 64 bytes from pss24.win.hostgator.com (192.185.11.183): icmp_seq=1 ttl=128 time=148 ms | ||
| + | ...... | ||
| + | </code> | ||
| + | |||
| + | Acum că știe adresa IP a site-ului, dorește să vadă în Wireshark doar pachetele schimbate cu această adresă IP. Pentru a face asta, el aplică un filtru în Wireshark, ''ip.addr == 192.185.11.183'' și apasă ''Enter'': | ||
| + | |||
| + | |||
| + | {{:uso:laboratoare:new:10-sec:wireshark_3.png?nolink&900|}} | ||
| + | |||
| + | Acum că vede doar informațiile legate de **aavtrain.com**, Trudy observă că Vladimir a făcut un request de **POST** pe acest site. Request-urile de POST se fac de multe ori în cazul unei pagini de **login**. Pentru a investiga, Trudy urmărește traficul HTTP astfel: * Click-dreapta pe request-ul de POST -> Follow -> HTTP Stream'': | ||
| + | |||
| + | {{:uso:laboratoare:new:10-sec:wireshark_4.png?nolink&850|}} | ||
| + | |||
| + | Trudy vede în clar informațiile trimise de Vladimir la Login: | ||
| + | |||
| + | **userul**: ''student_vladimir'' | ||
| + | **parola**: ''supersecretpasswordvladimir'' | ||
| + | |||
| + | {{:uso:laboratoare:new:10-sec:wireshark_5.png?nolink&800|}} | ||
| + | |||
| + | Trudy dorește acum să afle și contul de **acs.curs.pub.ro**. Află adresa IP că mai sus: ''141.85.241.51'', filtrează după ea în Wireshark : ''ip.addr == 141.85.241.51'', găsește requestul de **POST** și urmărește traficul TCP similar ca mai sus: | ||
| + | |||
| + | |||
| + | {{:uso:laboratoare:new:10-sec:wireshark_6.png?nolink&800|}} | ||
| + | |||
| + | De data aceasta, Trudy nu poate să extragă nicio informație. | ||
| + | |||
| + | Motivul este că **acs.curs.pub.ro** folosește **HTTPS**, deci întreg traficul este criptat. **aavtrain.com** folosește HTTP, fapt ce îl face vulnerabil la atacuri de tip [[https://en.wikipedia.org/wiki/Man-in-the-middle_attack|Man-in-the-middle]], adică exact ce a făcut Trudy. | ||
| + | | ||
| | | ||
| - | Atacatorul Trudy a reusit sa obtine acces la calculatorului studentului **Vladimir**. Trudy a capturat tot traficul pe care Vladimir l-a facut in retea in captura de retea ''capture.pcapng'' si va incerca sa gaseasca date care l-ar putea interesa. Pentru acest lucru, el instaleaza **Wireshark** ruland comenzile urmatoare: | ||
| - | |||
| - | <code bash> | ||
| - | student@uso:~$ sudo add-apt-repository ppa:wireshark-dev/stable | ||
| - | student@uso:~$ sudo apt-get update | ||
| - | student@uso:~$ sudo apt-get install wireshark | ||
| - | </code> | ||
| - | |||
| - | Dupa ce s-a instalat, el porneste **Wireshark**: | ||
| - | |||
| - | <code bash> | ||
| - | student@uso:~$ wireshark | ||
| - | </code> | ||
| - | |||
| - | {{:uso:laboratoare:new:10-sec:wireshark_start.png?nolink&750|}} | ||
| - | |||
| - | Deschide apoi captura de retea ''capture.pcapng'' in Wireshark folosind ''File -> Open'': | ||
| - | |||
| - | {{:uso:laboratoare:new:10-sec:wireshark_2.png?nolink&700|}} | ||
| - | |||
| - | Vladimir a navigat mult pe internet si deci a generat mult trafic. Trudy stie ca el a intrat pe 2 site-uri care ii pot fi de interes **aavtrain.com** si **acs.curs.pub.ro**. | ||
| - | |||
| - | Pentru inceput, Trudy afla adresa ip a site-ului **aavtrain.com**: | ||
| - | |||
| - | <code bash> | ||
| - | student@uso:~$ ping aavtrain.com | ||
| - | PING aavtrain.com (192.185.11.183) 56(84) bytes of data. | ||
| - | 64 bytes from pss24.win.hostgator.com (192.185.11.183): icmp_seq=1 ttl=128 time=148 ms | ||
| - | ...... | ||
| - | </code> | ||
| - | |||
| - | Acum ca stie adresa IP a site-ului, doreste sa vada in Wireshark doar pachetele schimbate cu aceasta adresa IP. Pentru a face asta, el aplica un filtru in Wireshark, ''ip.addr == 192.185.11.183'' si apasa Enter: | ||
| - | |||
| - | |||
| - | {{:uso:laboratoare:new:10-sec:wireshark_3.png?nolink&900|}} | ||
| - | |||
