How to disclose the password through the .pcap file – Nebula 08

บทนำ (Overview)

บทความนี้กล่าวถึงการค้นหาข้อมูลสำคัญ อย่างเช่น “username” และ “password” ของบริการต่าง ๆ ที่อาจถูกจัดเก็บอยู่ในไฟล์ เช่น “text” ไฟล์ เป็นต้น โดยบทความนี้เราพบว่ามีไฟล์ “.cap” ที่เกิดจากการดักจับข้อมูล “traffic” ใน “network” จึงพยายามหารหัสผ่านได้ดังต่อไปนี้

ขั้นตอน (Steps)

  1. ดาวน์โหลด “VM” ได้จาก https://exploit-exercises.com/download/
  2. “Login” โดยใช้ “User” คือ “level08” และ “Password” คือ “level08”
  3. โดยวัตถุประสงค์เราจะยกระดับสิทธิจาก “level08” เป็น “flag08”
  4. ทดลองตรวจสอบไฟล์ในโฟลเดอร์
    level08@nebula:/home/flag08$ ls -l
    total 9
    -rw-r--r-- 1 root root 8302 2011-11-20 21:22 capture.pcap
    
  5. พบไฟล์ “capture.pcap” ที่บัญชีผู้ใช้ใด ๆ ก็สามารถเปิดอ่านได้ ทดลองเปิดอ่านด้วยคำสั่ง “cat”
    /home/flag08$ cat capture.pcap 
    

  6. เนื่องจากไฟล์ “.pcap” เป็นไฟล์ที่เกิดจากการจับ “Traffic” การส่งข้อมูลใน “Network” เราสามารถเปิดเพื่อดูข้อมูลโดยใช้โปรแกรม “wireshark” และ “tcpdump” ดังนั้น ลอง copy มาที่เครื่องเราเพื่อเปิดด้วย “Wireshark”
    scp level08@192.168.1.54:/home/flag08/capture.pcap cap.pcap
    

  7. ให้ดับเบิ้ลคลิกเพื่อเปิดไฟล์ขึ้นมาโดยใช้โปรแกรม “Wireshark”
  8. ให้ลองคลิกขวาที่ข้อมูลแรก จากนั้นเลือกเมนู  “Follow” และ “TCP Stream”
  9. เราพบว่า มีบัญชีผู้ใช้กับรหัสผ่านดังนี้
    Password: backdoor...00Rm8.ate
    

  10. ทดลอง “login” ด้วย “password” ดังกล่าวที่พบด้วยบัญชีผู้ใช้ “flag08” พบว่าไม่สามารถ login เข้าไปได้
    level08@nebula:/home/flag08$ su flag08
    Password: 
    su: Authentication failure
    level08@nebula:/home/flag08$ 
    
  11. ที่นี้ลองวิเคราะห์โดยรูปแบบ “Hex dump”
  12. เราพบว่า 7F คือการกดปุ่ม “Delete” ไม่ใช่ “.” ลองตรวจสอบเพิ่มเติมที่ https://en.wikipedia.org/wiki/Delete_character
  13. ที่นี้ลองวิเคราะห์ Hex ทีละตัวดังนี้
    backdoor
    backd
    backd00Rm8
    backd00Rm
    backd00Rmate
    
  14. ที่นี้ลอง “login” ใหม่อีกครั้ง

ใส่ความเห็น