Polowanie na latające po sieci hasła: tcpdump -n -i any -A -l port http or port ftp or port smtp or port imap or port pop3|grep --color -Ei -C 2 'authorization:|pass=|pwd=|login=|user=|username=|user |pass '

Kiedy jako RedTeam uzyskaliśmy dostęp do serwera, stacji roboczej czy firewalla/gatewaya z *nixem, dzięki temu onelinerowi możemy natrafić na latające nieszyfrowanymi protokołami hasła. Myślę, że warto, żeby coś podobnego uruchomiła czasem ekipa BlueTeam, żeby wyłapać czy ich użytkownicy nie maja jakichś nierozsądnych nawyków czy źle skonfigurowanych klientów poczty, które walą hasłami w czystym tekście.

Rozkładając to w edukacyjny sposób na kawałki:

• tcpdump

  - sniffer pakietów, bardzo ważne narzędzie i warto je dobrze poznać,

• -n

  - nie resolvuj adresów IP na hosty czy numerów portów na nazwy protokołów,

• -i any

  - sniffuj na wszystkich interfejsach sieciowych (jeśli wolimy na konkretnym, to np:

  -i eth0

  ),

• -A

  - wyświetlaj pakiety w ascii,

• -l

  - włącz buforowanie wyjścia, co w praktyce oznacza, że każda linia wyjścia będzie dostępna od razu; jest to konieczne jeśli chcemy dalej przetwarzać wyjście bez zbędnej zwłoki,

• port http or port ftp or port smtp or port imap or port pop3

  - po wszystkich opcjach podajemy filtry - tutaj interesują nas porty konkretnych protokołów (możemy podać ich numery lub nazwy, które system rozwiąże wykorzystując plik /etc/services),

• | grep

  - wyjście tcpdumpa przekazujemy do wejścia grepa,

• -color

  - jeśli coś znajdziesz, pokaż to kolorem, żeby można było to łatwiej wychwycić,

• -E

  - wspieraj rozszerzone wyrażenia regularne (zamiast tego moglibyśmy grepa zastapić egrepem),

• -i

  - nie zważaj na wielkie i małe litery,

• -C 2

  - jeśli coś znajdziesz, wyświetl nam jeszcze 2 linijki kontekstu przed i po,

• 'authorization:|pass=|pwd=|login=|user=|username=|user |pass '

  - garść słów kluczowych, które mogą sygnalizować loginy i hasła.