Pentru exercițiile urmatoare, mergeți în directorul /home/student/uso.git/labs/10-sec/support/nice-to-know.

Tehnica de brute-force presupune încercarea oricăror combinării posibile de caractere în încercarea de a sparge o parolă. În cazul nostru, vom lucra cu un zip.

Dacă parola este suficient de lungă (peste 10-12 caractere) atunci ea este considerată relativ sigură pentru un atac de acest tip întrucât va dura mult prea mult găsirea parolei corecte, chiar cu cele mai puternice CPU-uri din prezent.

Vom încerca să spargem parola arhive zip secret_brute_force.zip. Pentru a face acest lucru, vom instala utilitarul fcrackzip:

 student@uso:~$ sudo apt-get install fcrackzip 
 

Știm faptul că arhiva are o parolă de maxim 4 caractere, deci este fezabil să rulăm un atac de tip brute-force:

 student@uso:~/.../10-sec/support/nice-to-know$ fcrackzip -v -l 1-4 -u secret_brute_force.zip  
 found file 'flag.txt', (size cp/uc     34/    22, flags 1, chk 6543) 
 
 
 PASSWORD FOUND!!!!: pw == fd7 
 student@uso:~/.../10-sec/support/nice-to-know$ unzip -P fd7 secret_brute_force.zip  
 Archive:  secret_brute_force.zip 
  extracting: flag.txt                 
 student@uso:~/.../10-sec/support/nice-to-know$ cat flag.txt  
 USO{viața_pe_internet} 
 
 

Argumentele comenzii fcrackzip sunt următoarele:

• -v → verbose
• -l 1-4 → atac de tip brute-force cu lungimea parolei între 1 și 4 caractere
• -u → verifică parola prin încercarea de a dezarhiva arhiva

Asemănător exemplului de mai sus, avem în același director arhiva zip secret_wordlist.zip. Deoarece parola este suficient de lungă, ea nu poate fi spartă folosind un atac de tip brute-force.

Poate fi însă spartă folosind un dicționar de cuvinte. fcrackzip are opțiunea de a încerca parole dintr-o listă (numite wordlist). Dacă parola arhivei se află în lista de cuvinte, atunci ea va putea fi spartă.

Deși sună greu de realizat în practică (Ce wordlist va avea în ea parola mea 5gangmoduavion?? ??), multe persoane folosesc parole simple pentru a-și proteja datele personale.

[2a] Spargeți parola arhivei secret_wordlist.zip folosind dicționarul wordlists.txt. HINT: man fcrackzip sau Google

Atacatorul Trudy a reusit sa obtine acces la calculatorului studentului Vladimir. Trudy a capturat tot traficul pe care Vladimir l-a facut in retea in captura de retea capture.pcapng si va incerca sa gaseasca date care l-ar putea interesa. Pentru acest lucru, el instaleaza Wireshark ruland comenzile urmatoare:

student@uso:~$ sudo add-apt-repository ppa:wireshark-dev/stable
student@uso:~$ sudo apt-get update
student@uso:~$ sudo apt-get install wireshark

Dupa ce s-a instalat, el porneste Wireshark:

student@uso:~$ wireshark

Deschide apoi captura de retea capture.pcapng in Wireshark folosind File → Open:

Vladimir a navigat mult pe internet si deci a generat mult trafic. Trudy stie ca el a intrat pe 2 site-uri care ii pot fi de interes aavtrain.com si acs.curs.pub.ro.

Pentru inceput, Trudy afla adresa ip a site-ului aavtrain.com:

student@uso:~$ ping aavtrain.com
PING aavtrain.com (192.185.11.183) 56(84) bytes of data.
64 bytes from pss24.win.hostgator.com (192.185.11.183): icmp_seq=1 ttl=128 time=148 ms
......

Acum ca stie adresa IP a site-ului, doreste sa vada in Wireshark doar pachetele schimbate cu aceasta adresa IP. Pentru a face asta, el aplica un filtru in Wireshark, ip.addr == 192.185.11.183 si apasa Enter:

Acum ca vede doar informatiile legate de aavtrain.com, Trudy observa ca Vladimir a facut un request de POST pe acest site. Request-urile de POST sa fac de multe ori in cazul unei pagini de login. Pentru a investiga, Trudy urmareste traficul HTTP astfel: Click-dreapta pe request-ul de POST → Follow → HTTP Stream: