Bảo mậtPentest

Series Pentesterlab – Day 18: PCAP

Fantasista
Fantasista 05/09/2021
Updated 2021/09/09 at 11:49 Sáng
38 Min Read

PCAP: Capture Packet, nó là gì và những gì bạn cần biết

Capture Packet hoặc là PCAP (còn được gọi là libpcap) là giao diện lập trình ứng dụng (API) thu thập dữ liệu gói mạng trực tiếp từ mô hình OSI Lớp 2-7. Các máy phân tích mạng như Wireshark tạo các tệp .pcap để thu thập và ghi dữ liệu gói từ mạng. PCAP có một loạt các định dạng bao gồm LibpcapWinPcap, và PCAPng.

Các tệp PCAP này có thể được sử dụng để xem các gói mạng TCP / IP và UDP. Nếu bạn muốn ghi lại lưu lượng mạng thì bạn cần tạo .pcapfile. Bạn có thể tạo .pcapfile bằng cách sử dụng công cụ phân tích mạng hoặc công cụ đánh hơi gói tin như Wireshark hoặc tcpdump. Trong bài viết này, chúng tôi sẽ xem xét PCAP là gì và cách thức hoạt động của nó.

TẠI SAO TÔI CẦN SỬ DỤNG PCAP?

PCAP là một tài nguyên quý giá để phân tích tệp và giám sát lưu lượng mạng của bạn. Các công cụ thu thập gói như Wireshark cho phép bạn thu thập lưu lượng truy cập mạng và dịch nó sang định dạng mà con người có thể đọc được. Có nhiều lý do tại sao PCAP được sử dụng để giám sát các mạng. Một số phổ biến nhất bao gồm giám sát việc sử dụng băng thông, xác định máy chủ DHCP lừa đảo, phát hiện phần mềm độc hại, độ phân giải DNS và phản hồi sự cố.

Đối với các quản trị viên mạng và các nhà nghiên cứu bảo mật, phân tích tệp gói là một cách tốt để phát hiện các cuộc xâm nhập mạng và hoạt động đáng ngờ khác. Ví dụ: nếu một nguồn đang gửi cho mạng nhiều lưu lượng độc hại, bạn có thể xác định rằng trên tác nhân phần mềm và sau đó thực hiện hành động để khắc phục cuộc tấn công.

PCAP 01

Trong thử thách này, tệp chỉ chứa một kết nối TCP duy nhất từ máy khách đến máy chủ. Máy khách kết nối với máy chủ và viết chuỗi sau:

The key is ….

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Follow” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

Pasted 13 - Series Pentesterlab – Day 18: PCAP

PCAP 02

Trong thử thách này, tệp chỉ chứa kết nối TCP của người dùng kết nối với máy chủ bằng telnet. Kết nối với telnet là không an toàn vì bất kỳ ai có thể thấy lưu lượng truy cập hoặc truy cập vào bản chụp gói của kết nối đều có thể thấy tên người dùng và mật khẩu được sử dụng cũng như tất cả các lệnh mà người dùng đã thực thi.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Follow TCP Stream” như bạn đã làm trong bài tập trước.

Phần thú vị ở đây là bạn sẽ thấy sự khác biệt về màu sắc giữa dữ liệu được gửi bởi máy chủ và dữ liệu được gửi bởi máy khách. Bạn sẽ thấy máy chủ gửi một biểu ngữ (với phiên bản của Nhân Linux) và một lời nhắc với Đăng nhập:. Sau đó, bạn sẽ thấy phản hồi từ khách hàng. Sau đó, máy chủ sẽ yêu cầu Mật khẩu. Máy khách cung cấp mật khẩu (Chìa khóa để giải bài tập này). Cuối cùng, bạn có thể thấy Thông điệp trong ngày (MOTD) của Debian và lệnh do người dùng chạy.

Pasted 14 - Series Pentesterlab – Day 18: PCAP

PCAP 03

Trong thử thách này, tệp chỉ chứa kết nối TCP của người dùng kết nối với máy chủ bằng FTP. Kết nối với FTP mà không có TLS là không an toàn vì bất kỳ ai có thể xem lưu lượng truy cập hoặc truy cập vào bản chụp gói của kết nối đều có thể thấy tên người dùng và mật khẩu được sử dụng cũng như tất cả các tệp được người dùng truy xuất.

Sử dụng Wireshark, bạn sẽ có thể truy xuất nội dung của kết nối bằng cách sử dụng “Follow TCP Stream”. Bằng cách sử dụng đó, bạn sẽ có thể thấy tên người dùng và mật khẩu (chìa khóa để giải bài tập này) được sử dụng để kết nối với máy chủ.

Pasted 16 - Series Pentesterlab – Day 18: PCAP

PCAP 04

Trong thử thách này, tệp chỉ chứa kết nối FTP của máy khách truy xuất tệp ở chế độ thụ động. Việc truy xuất tệp diễn ra theo hai giai đoạn / kết nối TCP:

Máy khách xác thực và cho máy chủ biết tệp nào nó muốn truy xuất, sau đó là lệnh PASV. Máy chủ sẽ gửi lại địa chỉ IP và cổng tới máy chủ. Bạn có thể thấy cổng và IP bằng cách kiểm tra gói sau lệnh PASV. Bạn sẽ cần phải khám phá nội dung của gói để xem IP và cổng.
Máy khách kết nối với IP và cổng đó để truy xuất tệp.
Sử dụng Wireshark, bạn sẽ có thể truy xuất nội dung của tệp bằng cách sử dụng “Follow TCP Stream” trên kết nối TCP phù hợp. Bằng cách sử dụng đó, bạn sẽ có thể xem nội dung của tệp được truy xuất (key để giải bài tập này).

Filter với tcp.stream eq 1 như hình sau:

Pasted 17 - Series Pentesterlab – Day 18: PCAP

Sau đó Follow TCP Stream như các phần trước sẽ thấy được key.

PCAP 06

Trong thử thách này, tệp chứa kết nối của người dùng root với máy chủ bằng rsh. Mối quan hệ tin cậy giữa máy khách là máy chủ được thực hiện bằng cách tạo tệp .rhosts trên máy chủ với IP của máy khách. Điều này rõ ràng là rất không an toàn.

Sử dụng Wireshark, bạn sẽ có thể truy xuất nội dung của kết nối bằng cách sử dụng “Theo dòng TCP”. Bằng cách sử dụng đó, bạn sẽ có thể thấy tệp mà nó được truy xuất (chìa khóa để giải bài tập này).

PCAP 07

Trong thử thách này, tệp chứa kết nối rlogin tới máy chủ. Kết nối với máy chủ bằng rlogin không an toàn vì thông tin xác thực được truyền dưới dạng văn bản rõ ràng. Bằng cách kiểm tra các gói, bạn sẽ có thể lấy được mật khẩu được sử dụng để đăng nhập.

Sử dụng Wireshark, bạn sẽ có thể truy xuất nội dung của kết nối bằng cách sử dụng “Theo dòng TCP”. Bằng cách sử dụng đó, bạn sẽ có thể thấy tên người dùng và mật khẩu (chìa khóa để giải bài tập này) được sử dụng để kết nối với máy chủ.

PCAP 08

Trong thử thách này, tệp chứa lưu lượng mạng được ghi lại trong quá trình kết nối SMTP để gửi email. Bằng cách kiểm tra kết nối TCP, bạn sẽ thấy rằng người dùng cung cấp tên người dùng và mật khẩu để đăng nhập (cả hai đều được mã hóa base64 như một phần của giao thức).

Bạn sẽ thấy cuộc trao đổi sau:

AUTH LOGIN
334 VXNlcm5hbWU6
dmljdGlt
334 UGFzc3dvcmQ6
[…] Where:

AUTH LOGIN is the client telling the server it wants to log in
VXNlcm5hbWU6 is the base64 of Username:
dmljdGlt is the base of the username.
UGFzc3dvcmQ6 is the base64 of Password:

Sử dụng Wireshark, bạn sẽ có thể truy xuất nội dung của kết nối bằng cách sử dụng “Theo dòng TCP”. Bằng cách sử dụng đó, bạn sẽ có thể thấy tên người dùng và mật khẩu (chìa khóa để giải bài tập này) được sử dụng để kết nối với máy chủ (sau khi base64-decoding).

PCAP 09

Trong thử thách này, bạn sẽ có thể truy xuất một email được gửi đến địa chỉ @ pentesterlab.com. Sau khi tìm được người nhận, bạn sẽ nhận được chìa khóa.

Sử dụng Wireshark, bạn sẽ có thể truy xuất nội dung của kết nối bằng cách sử dụng “Theo dòng TCP”. Bằng cách sử dụng đó, bạn sẽ có thể nhìn thấy người nhận và sử dụng nó làm khóa (đảm bảo bạn xóa @pentesterlab.com trước khi gửi khóa).

PCAP 10

Trong thử thách này, bạn sẽ có thể truy xuất một email. Bạn sẽ thấy rằng email này có một tệp đính kèm.

Bạn có thể lấy nội dung của tệp đính kèm theo hai cách:

Lưu toàn bộ email dưới dạng tệp .eml và mở nó bằng ứng dụng outlook hoặc mail của bạn.
Lưu phần đính kèm (bắt đầu … kết thúc) và giải mã nó bằng uudecode.
Sau đó, bạn sẽ có quyền truy cập vào một tệp zip và chỉ có thể giải nén nó bằng cách giải nén.

Sử dụng Wireshark, bạn sẽ có thể truy xuất nội dung của kết nối bằng cách sử dụng “Theo dòng TCP”. Bằng cách sử dụng đó, bạn sẽ có thể nhìn thấy người nhận và sử dụng nó làm khóa (đảm bảo bạn xóa @ pentesterlab.com trước khi gửi khóa).

PCAP 11

Trong thử thách này, bạn sẽ có thể truy xuất thông tin đăng nhập POP3 từ ứng dụng email. Bạn sẽ tìm thấy tên người dùng và mật khẩu như một phần của kết xuất mạng.

Sử dụng Wireshark, bạn sẽ có thể truy xuất nội dung của kết nối bằng cách sử dụng “Theo dòng TCP”. Bằng cách sử dụng đó, bạn sẽ có thể nhìn thấy mật khẩu của nạn nhân người dùng và sử dụng nó làm chìa khóa.

PCAP 12

Trong thử thách này, bạn sẽ có thể truy xuất thông tin đăng nhập IMAP từ ứng dụng email. Bạn sẽ tìm thấy tên người dùng và mật khẩu như một phần của kết xuất mạng.

Sử dụng Wireshark, bạn sẽ có thể truy xuất nội dung của kết nối bằng cách sử dụng “Theo dòng TCP”. Bằng cách sử dụng đó, bạn sẽ có thể nhìn thấy mật khẩu của nạn nhân người dùng và sử dụng nó làm chìa khóa.

PCAP 13

Trong thử thách này, tệp chỉ chứa một yêu cầu HTTP duy nhất. Khóa có sẵn dưới dạng tham số GET.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 14

Trong thử thách này, tệp chỉ chứa một yêu cầu HTTP duy nhất. Khóa có sẵn dưới dạng tham số POST. Một điều thú vị cần lưu ý là tiêu đề Content-Length chứa kích thước thực của phần nội dung. Đây là thông tin mà máy chủ sử dụng để biết lượng dữ liệu nó sẽ đọc từ TCP socket.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 15

Trong thử thách này, tệp chỉ chứa một yêu cầu HTTP duy nhất. Chìa khóa có sẵn dưới dạng cookie. Bạn có thể tìm thấy cookie bằng cách kiểm tra tiêu đề và tìm dòng bắt đầu bằng Cookie :. Sau đó, bạn sẽ thấy các cookie trên cùng một dòng. Định dạng như sau:

key1 = value1; key2 = value2
Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 16

Trong thử thách này, tệp chỉ chứa một yêu cầu HTTP duy nhất. Khóa có sẵn trong nội dung của phản hồi như một phần của mã HTML.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 17

Trong thử thách này, tệp chỉ chứa một yêu cầu HTTP duy nhất. Khóa có sẵn trong tiêu đề Set-Cookie từ phản hồi.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 18

Trong thử thách này, tệp chỉ chứa một yêu cầu HTTP duy nhất. Khóa có sẵn trong tiêu đề Authorization của yêu cầu. Thông tin đăng nhập được cung cấp bằng Authorization Basic. Tên người dùng và mật khẩu được nối bằng cách sử dụng mã hóa: và base64. Chìa khóa là mật khẩu được sử dụng.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 19

Trong thử thách này, tệp chỉ chứa một yêu cầu HTTP duy nhất. Khóa có sẵn trong tiêu đề Ủy quyền của yêu cầu. Thông tin đăng nhập được cung cấp bằng cách sử dụng mã thông báo Bearer. Mã thông báo đang sử dụng định dạng Mã thông báo web JSON (JWT). Định dạng được sử dụng tuân theo các mẫu sau:

The header.
a dot .
The payload.
a dot .
The signature.

Khóa được lưu trữ như một phần của trọng tải. Tải trọng được mã hóa base64 và lưu trữ trong JSON. Sử dụng thông tin này, bạn sẽ có thể lấy được chìa khóa.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 20

Trong thử thách này, tệp chỉ chứa một yêu cầu HTTP duy nhất. Khóa có sẵn trong nội dung của phản hồi như một phần của mã HTML. Tuy nhiên lần này, phản hồi là gzip’ed. Nén này được sử dụng để giới hạn số lượng dữ liệu cần được truyền.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP). Sau đó, bạn cần chọn “Show and save data as” và chọn “RAW”, sau đó bạn có thể nhấp vào nút “Lưu dưới dạng …”. Khi bạn đã lưu tệp, bạn có thể chỉnh sửa tệp để xóa mọi thứ ra khỏi phần nội dung của phản hồi (nằm sau tiêu đề cuối cùng). Cuối cùng, bạn có thể lưu tệp và chạy gunzip trên đó để giải nén nội dung và lấy khóa.

PCAP 21

Trong thử thách này, tệp chỉ chứa một yêu cầu HTTP duy nhất. Khóa có sẵn trong nội dung của phản hồi như một phần của mã HTML. Tuy nhiên lần này, phản ứng đã bị giảm bớt. Nén này được sử dụng để giới hạn số lượng dữ liệu cần được truyền.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP). Sau đó, bạn cần chọn “Hiển thị và lưu dữ liệu dưới dạng” và chọn “RAW”, sau đó bạn có thể nhấp vào nút “Lưu dưới dạng …”. Khi bạn đã lưu tệp, bạn có thể chỉnh sửa tệp để xóa mọi thứ ra khỏi phần nội dung của phản hồi (nằm sau tiêu đề cuối cùng). Cuối cùng, bạn có thể lưu tệp và chạy gunzip trên đó để giải nén nội dung và lấy khóa. Tuy nhiên, vì nội dung bị giảm bớt thay vì chỉ đơn giản là gzip, bạn sẽ cần thêm một số byte ma thuật vào phản hồi để gunzip hoạt động:

printf “\ x1f \ x8b \ x08 \ x00 \ x00 \ x00 \ x00 \ x00” | mèo – pcap_21_extracted_body | gunzip
Trong đó pcap_21_extracted_body là tệp chứa phần thân của phản hồi.

Ngoài ra, bạn có thể xem xét “Theo dõi luồng HTTP”.

PCAP 22

Trong thử thách này, tệp chỉ chứa một yêu cầu HTTP duy nhất. Khóa có sẵn trong nội dung của phản hồi như một phần của mã HTML. Tuy nhiên lần này, phản hồi được mã hóa phân đoạn. Điều này không thực sự thay đổi khả năng nhìn thấy chìa khóa của bạn. Nhưng bạn có thể quan sát thấy rằng không có tiêu đề Độ dài nội dung và một số số thập lục phân trong nội dung. Ý tưởng đằng sau mã hóa chunk là máy chủ có thể gửi nội dung mà không cần đợi phản hồi đầy đủ sẵn sàng. Máy chủ gửi kích thước của một đoạn (theo hệ thập lục phân) theo sau là đoạn.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 23

Trong thử thách này, tệp chỉ chứa hai yêu cầu HTTP và phản hồi. Khóa có sẵn dưới dạng tham số của yêu cầu thứ hai. Cả hai yêu cầu (và phản hồi) đều sử dụng cùng một kết nối TCP cơ bản nhờ vào việc sử dụng Kết nối: keep-alive.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP đầy đủ. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 24

Trong thử thách này, tệp chỉ chứa một truy vấn DNS duy nhất và câu trả lời phù hợp. Bạn có thể thấy rằng lần này UDP đã được sử dụng. Bạn vẫn có thể kiểm tra lưu lượng truy cập để lấy chìa khóa trong cả truy vấn và câu trả lời. Trong ví dụ này, máy khách yêu cầu một bản ghi A để lấy địa chỉ IP tương ứng với một tên máy đã cho (tên máy là chìa khóa để giải bài tập này).

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “Luồng UDP”. Lệnh này sẽ mở một cửa sổ mới với lưu lượng UDP. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 25

Trong thử thách này, tệp chỉ chứa một truy vấn DNS duy nhất và câu trả lời phù hợp. Bạn có thể thấy rằng lần này TCP đã được sử dụng. Bạn vẫn có thể kiểm tra lưu lượng truy cập để lấy chìa khóa trong cả truy vấn và câu trả lời. Một quan niệm sai lầm rất phổ biến rằng lưu lượng DNS chỉ xảy ra khi sử dụng UDP. Ở đây chúng ta có thể thấy rằng nó cũng có thể hoạt động bằng cách sử dụng TCP. Nếu bạn đang sử dụng đào, bạn có thể sử dụng tùy chọn + tcp để buộc khách hàng của bạn sử dụng TCP thay vì UDP

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “TCP Stream”. Lệnh này sẽ mở một cửa sổ mới với kết nối TCP. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 26

Trong thử thách này, tệp chỉ chứa một truy vấn DNS duy nhất và câu trả lời phù hợp. Bạn có thể thấy rằng lần này UDP đã được sử dụng. Bạn vẫn có thể kiểm tra lưu lượng truy cập để lấy chìa khóa trong cả truy vấn và câu trả lời. Lần này, máy khách không yêu cầu bản ghi A để lấy IP, nó yêu cầu bản ghi TXT và bạn có thể nhận được khóa trong câu trả lời từ máy chủ.

Sử dụng Wireshark, bạn có thể mở tệp. Sau khi tệp được tải, bạn có thể nhấp chuột phải và chọn “Theo dõi” -> “Luồng UDP”. Lệnh này sẽ mở một cửa sổ mới với lưu lượng UDP. Lệnh này về cơ bản tạo lại kết nối để bạn có thể kiểm tra dữ liệu mà không phải lo lắng về lớp dưới (IP và ARP).

PCAP 27

Trong thử thách này, tệp chứa nhiều gói DNS. Một vấn đề phổ biến với các thiết bị IoT là chúng sử dụng ID giao dịch có thể dự đoán được (một số ngẫu nhiên). ID giao dịch được sử dụng để bảo vệ máy khách khỏi kẻ tấn công gửi phản hồi độc hại. Vì kẻ tấn công có thể không chặn được truy vấn (ví dụ: nếu kẻ tấn công ở trên cùng một mạng nhưng không ở giữa), kẻ tấn công không thể dự đoán ID giao dịch và trả lời bằng một phản hồi hợp lệ. Các thiết bị IoT có thể gặp phải một trong các vấn đề sau:

Sử dụng ID giao dịch cố định (ví dụ: chỉ 0).
Sử dụng ID giao dịch rất dễ đoán (Hoặc tăng dần).
Không kiểm tra ID giao dịch từ phản hồi để đảm bảo đó là ID phù hợp với truy vấn họ đã gửi.
Trong ví dụ này, chúng tôi sẽ đề cập đến trường hợp đầu tiên (ID giao dịch cố định được đặt thành 0. Bạn cần tìm truy vấn DNS với ID giao dịch phù hợp và tên máy chủ là chìa khóa để giải bài tập này (không có miền).

Thay đổi các eq để tìm ID chính xác

PCAP 28

Trong thử thách này, tệp chứa nhiều gói DNS. Chúng ta có thể thấy rằng kẻ tấn công đang cố gắng đưa phản hồi DNS vào nhưng kẻ tấn công không thể dự đoán ID giao dịch. Bạn cần tìm câu trả lời phù hợp với truy vấn từ khách hàng thực tế.

Dùng eq 0

PCAP 29

Trong thử thách này, tệp chứa yêu cầu ICMP và trả lời (“ping”). ICMP có thể được sử dụng như một kênh bí mật để gửi thông tin từ hệ thống này sang hệ thống khác mà không cần báo động. Đây là chìa khóa để giải bài tập này được nhúng trong yêu cầu ICMP.

Pasted 18 - Series Pentesterlab – Day 18: PCAP

PCAP 30

Trong thử thách này, tệp chứa kết nối TLS. Máy khách đang kết nối với máy chủ và nhận chứng chỉ như một phần của Server Hello (như một phản hồi cho Client Hello. Trong Server Hello, bạn có thể tìm thấy nhiều thông tin về máy chủ, bao gồm chứng chỉ và Tên chung (hoặc CN) của chứng chỉ của máy chủ. Chìa khóa để giải bài tập này là CN (không có .pentesterlab.com).

PCAP 31

Trong thử thách này, tệp chứa kết nối TLS. Máy khách đang kết nối với máy chủ và gửi Xin chào Máy khách. Vì một IP duy nhất có thể lưu trữ nhiều máy chủ TLS trên cùng một cổng, máy chủ cần biết chứng chỉ nào nó cần để gửi cho máy khách. Nếu máy chủ gửi chứng chỉ sai (ví dụ bằng cách gửi chứng chỉ hợp lệ cho pentesterlab.com khi máy khách cố gắng truy cập ptl.io), máy khách sẽ từ chối nó. Tuy nhiên, không có cách nào ở cấp TCP để biết máy chủ TLS mà máy khách cố gắng kết nối. Rất may, máy khách có thể sử dụng tiện ích mở rộng TLS có tên Chỉ báo tên máy chủ hoặc S.N.I. như một phần của Xin chào khách hàng. Chìa khóa của thử thách này là S.N.I. giá trị do khách hàng gửi (không có .pentesterlab.com).

Pasted 19 - Series Pentesterlab – Day 18: PCAP

PCAP 32

Trong thử thách này, tệp chứa kết nối TLS. Kết nối được mã hóa bằng TLS. Tuy nhiên, bạn có thể giải mã nó bằng khóa riêng. Để làm như vậy, bạn cần chọn một trong các gói TLS và nhấp chuột phải để chuyển đến Tùy chọn giao thức rồi đến danh sách khóa RSA. Từ đó, bạn có thể cung cấp tất cả các chi tiết: địa chỉ IP, cổng, giao thức (sử dụng http hoặc tcp) và khóa riêng tư của máy chủ pcap_32_server_private_key.pem. Sau khi nhấp vào Ok, bạn sẽ thấy lưu lượng được giải mã có chứa khóa để giải bài tập này.

Bạn có thể giải mã kết nối TLS này vì máy chủ không sử dụng Bảo mật chuyển tiếp. Trong thử thách tiếp theo, chúng ta sẽ xem xét cách nó có thể được thực hiện với Forward Secrecy.

Pasted 20 - Series Pentesterlab – Day 18: PCAP

Pasted 21 - Series Pentesterlab – Day 18: PCAP

PCAP 33

Trong thử thách này, tệp chứa kết nối TLS. Kết nối được mã hóa bằng TLS. Lần này, kết nối sử dụng Forward Secrecy (bạn có thể so sánh Bộ mật mã trong Server Hello giữa pcap_32.pcap và pcap_33.pcap. Vì Forward Secrecy được sử dụng, bạn không thể giải mã kết nối bằng khóa riêng của máy chủ. Điều này đảm bảo rằng nếu khóa riêng của máy chủ bị xâm phạm, ai đó đánh hơi được lưu lượng truy cập trước khi bị xâm phạm sẽ không thể khôi phục lưu lượng văn bản rõ ràng.

Tuy nhiên, bằng cách sửa đổi máy khách hoặc máy chủ, bạn có thể truy xuất khóa chia sẻ trước được sử dụng để bảo mật giao tiếp: pcap_33_premaster.txt. Tại đây, bạn có thể sử dụng khóa này để giải mã thông tin liên lạc. Để thực hiện việc này, bạn có thể làm theo các bước sau: nhấp chuột phải vào gói TLS, chọn “Tùy chọn Giao thức”, sau đó chọn tệp gỡ lỗi TLS (hoặc tệp gỡ lỗi SSL trong các phiên bản cũ hơn). Sau đó, bạn chỉ có thể chọn tệp pcap_33_premaster.txt bằng cách sử dụng trường tên tệp nhật ký (Pre) -Master-Secret. Sau đó, bạn sẽ có quyền truy cập vào lưu lượng văn bản rõ ràng có chứa khóa.

PCAP 34

Trong thử thách này, tệp chứa kết nối TLS. Máy khách đang kết nối với máy chủ. Lần này máy khách gửi một chứng chỉ máy khách để xác thực với máy chủ. Bạn có thể tìm thấy chứng chỉ như một phần của thông báo Chứng chỉ, Khóa ứng dụng khách từ máy khách. Chìa khóa để giải quyết thách thức này là tên thông thường được khách hàng sử dụng.

PCAP 35

Trong thử thách này, tệp chứa kết nối đến máy chủ MySQL cũng như truy vấn và phản hồi (trên đầu các kết nối được thực hiện bởi máy khách). Chìa khóa để giải bài tập này là trường mật khẩu cho người dùng quản trị trong phản hồi SQL.

You Might Also Like

Hướng dẫn chung về Kali Linux

Ransomware tấn công có chủ đích vào các tổ chức

Series Pentesterlab – Day 22: CVE-2007-1860: mod_jk double-decoding

Series Pentesterlab – Day 21: From SQL Injection to Shell

Series Tryhackme – Day 01: Starting Out In Cyber Sec

TAGGED: ,
Share this Article
Posted by Fantasista
Follow:
Xin chào, mình là Tân. Mình tạo blog này 01/06/2021. Đây là nơi mình ghi chép lại những suy nghĩ, cảm nhận trong cuộc sống và những kiến thức mà mình học được.
Previous Article Series Pentesterlab – Day 17: XSS
Next Article Các hàm hữu ích trong Excel
Leave a comment

Stay Connected

- Advertisement -

Latest News

Hướng dẫn chung về Kali Linux
Bảo mật Công cụ bảo mật 27/05/2022
Ransomware tấn công có chủ đích vào các tổ chức
An toàn thông tin Bảo mật 03/11/2021
Hướng dẫn kích hoạt IDM Full không cần crack, sử dụng key an toàn
Phần mềm Tiện ích 10/10/2021
Series Pentesterlab – Day 22: CVE-2007-1860: mod_jk double-decoding
Bảo mật Pentest 04/10/2021
https://pbs.twimg.com/profile_images/1542611508093661184/MR5LYGqH_normal.jpg
@envato
1.5k Following
71k Followers
https://pbs.twimg.com/profile_images/1542611508093661184/MR5LYGqH_normal.jpg
@barts_ron Hi! Thanks for contacting us. It looks like all our systems are running smoothly. You can check the stat…
https://pbs.twimg.com/profile_images/1542611508093661184/MR5LYGqH_normal.jpg
@NeilEvansRocks Thank you for reaching out. I am happy to answer general questions here. For more personalized assi…
https://pbs.twimg.com/profile_images/1542611508093661184/MR5LYGqH_normal.jpg
@olaarrh Hi there, to continue we would need you to submit a help ticket since we will be dealing with sensitive ac…
Register Lost your password?