Polowanie na latające po sieci hasła: tcpdump -n -i any -A -l port http or port ftp or port smtp or port imap or port pop3|grep --color -Ei -C 2 'authorization:|pass=|pwd=|login=|user=|username=|user |pass '
Kiedy jako RedTeam uzyskaliśmy dostęp do serwera, stacji roboczej czy firewalla/gatewaya z *nixem, dzięki temu onelinerowi możemy natrafić na latające nieszyfrowanymi protokołami hasła. Myślę, że warto, żeby coś podobnego uruchomiła czasem ekipa BlueTeam, żeby wyłapać czy ich użytkownicy nie maja jakichś nierozsądnych nawyków czy źle skonfigurowanych klientów poczty, które walą hasłami w czystym tekście.
Rozkładając to w edukacyjny sposób na kawałki:
tcpdump
- sniffer pakietów, bardzo ważne narzędzie i warto je dobrze poznać,
-n
- nie resolvuj adresów IP na hosty czy numerów portów na nazwy protokołów,
-i any
- sniffuj na wszystkich interfejsach sieciowych (jeśli wolimy na konkretnym, to np:
-i eth0
),
-A
- wyświetlaj pakiety w ascii,
-l
- włącz buforowanie wyjścia, co w praktyce oznacza, że każda linia wyjścia będzie dostępna od razu; jest to konieczne jeśli chcemy dalej przetwarzać wyjście bez zbędnej zwłoki,
port http or port ftp or port smtp or port imap or port pop3
- po wszystkich opcjach podajemy filtry - tutaj interesują nas porty konkretnych protokołów (możemy podać ich numery lub nazwy, które system rozwiąże wykorzystując plik /etc/services),
| grep
- wyjście tcpdumpa przekazujemy do wejścia grepa,
-color
- jeśli coś znajdziesz, pokaż to kolorem, żeby można było to łatwiej wychwycić,
Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.
Niniejsza strona wykorzystuje ciasteczka w celach zapewnienia najwyższej jakości usług. Pozostając na stronie godzisz się na ich zapisywanie w Twojej przeglądarce.
CZYTAJ WIĘCEJOK