Belépési adatok megszerzése Wireshark segítségével

Áttekintjük most azokat a lépéseket, amelyek segítségével egy http protokollt használó oldal belépési folyamata nyomon követhető. Az autentikációs adatok elküldése, illetve a hálózati forgalom figyelése ugyanarról a számítógépről történik. Ez természetesen nem életszerű, a "valóságban" egy HUB alkalmazása javasolt. A későbbiekben áttekintjük majd a spoofing-ot is.

A "sniffing" segítségével különböző hálózati forgalom figyelhető meg, illetve ezek a csomagok rögzíthetők is. A megfigyelhető protokollok, lehetőségek egy része látható a következő felsorolásban:

web forgalom
FTP forgalom
telnet
DNS forgalom
email forgalom
router konfiguráció

Nézzük meg az első ábrán lévő elrendezést, ahol "Bob" adatot szeretne küldeni "Alice"-nek. Alice meg fogja kapni a küldenő adatot, de úgy, hogy a Bob által küldött adatokat "Darth" is megkapja. Darth jelen esetben nem módosítja Bob által küldött adatokat, "csak" megfigyeli, illetve akár rögzítheti is (1. ábra). Látható tehát, hogy a sniffing-gel érzékeny adatok lophatók el. Ha HUB-ot alkalmazunk, akkor ez a passzív sniffing.

kep
1. ábra Passzív sniffing

Nézzük most meg azt, hogy hogyan is kivitelezhető az érzékeny adatok elkapása, illetve rögzítése. Ebben a cikkben még a rögzítés, illetve egy tesztoldalra történő belépés is ugyanarról a számítógépről történik. Ez egyáltalán nem életszerű, de ebben a cikkben a cél az, hogy megismerjünk egy tesztoldalt, illetve a Wireshark használatának alapját.

Korábban áttekintettük DVWA virtuális gépre történő telepítését, ezért most egy online tesztalkalmazást fogunk igénybe venni.

Indítsuk el a Wireshark-ot, amelyet innen tölthetünk le.
Írjuk be a keresőnkbe a következő url-t:

http://testsparker.com

A 2. ábrán látható kép fogad minket, itt tudjuk kiválasztani, milyen technológiával elkészített honlapot szeretnénk vizsgálni.

kep
2. ábra Különböző technológiai lehetőségek a http://testsparker.com oldalon

Válasszuk ki például az első lehetőséget, amellyel az ASP.NET webes alkalmazás tesztelésére nyílik lehetőségünk. Ezután kattintsunk a "Login" menüpontra (3. ábra).

kep
3. ábra Belépési felület a tesztoldalon

Adjunk meg egy tetszőleges belépési adatot (a@b.hu, teszteles), majd kattintsunk a "Sign in" nyomógombra. Természetesen ezek az adatok nem megfelelőek, de ez számunkra ez nem érdekes (4. ábra).

kep
4. ábra Sikertelen belépés

A sikertelen belépés után állítsuk le a Wireshark-on a hálózati forgalom figyelését. A Wireshark minden hálózati forgalmat eltárolt, amelyet a programban megnézhetünk. Ahhoz, hogy a hálózati forgalomat kényelmesen lehessen analizálni, különböző filtereket tudunk alkalmazni.
Írjuk be a "http.request" filtert a szövegdobozba, és csak azokat a hálózati forgalmi részleteket látjuk, amelyek http kéréseket tartalmaznak (5. ábra).

kep
5. ábra Http kérések az elfogott hálózati forgalomban

Amikor a "Sign in" nyomógombra kattintottunk, akkor egy "post" kérés történt. Ezért számunkra az utolsó http kérés lesz érdekes, hiszen a belépési adatok itt szerepelnek.
Kattintsunk a post kérést tartalmazó sorra, és válasszuk ki a "Follow/TCP Stream" menüpontot (6. ábra).

kep
6. ábra A "Follow/TCP Stream" menüpont kiválasztása

Ha erre a menüpontra kattintunk, akkor a következő ablak jelenik meg, benne a teljes TCP forgalom, amely ehhez a kéréshez tartozott (7. ábra, részlet).

leő
7. ábra TCP stream

Ha az adatforgalom nem titkosított, akkor ebben az ablakban megtalálhatók olvasható formában a belépési adatok (8. ábra).

kep
8. ábra A megtalált belépési adatok a TCP streamben

Látható az, hogy a hálózati forgalomban nagyon könnyen megtalálhatók az érzékeny adatok. Ezért javasolt a titkosítás, például a http helyett használjunk https-t, ftp helyet sftp-t, stb.