Анализ трафика WireShark

# Анализ трафика WireShark ## Во время анализа ответить на эти вопросы: Какие операционные системы есть в сети? Какие протоколы используются для общения? Можно ли установить название машин? Можно ли получить имена пользователей и другую пользовательскую информацию? Перечислить название общих ресурсов (шар) 1)Какие операционные системы есть в сети? Обнаружены: 1. Debian 1. Ubuntu 1. Windows Server 2008 R2 Datacenter 7601 2. Windows XP 3. Cisco IOS Version 12.1(22)EA14 4. Cisco IOS Version 15.0(2)SE9 2)Какие протоколы используются для общения? 1. SSH 2. ESP 3. SMB 4. HTTP 3)Можно ли установить название машин? 1. DADDY.hbc.com 2. MicroknoppixV 3. CCNP-LAB-S1.webernetz.net 4. CCNP-LAB-S2.webernetz.net 5. ip.webernetz.net 6. ns1.hans.hosteurope.de 7. ns2.hans.hosteurope.de 4)Можно ли получить имена пользователей и другую пользовательскую информацию? Обнаружены пользователи: 1. dr.ldodgson(+ NTLM хэш) 1. mr.dna (+ NTLM хэш) 5)Перечислить название общих ресурсов (шар) 1. \ DNA_DATA ## Улов №1 Открываем дамп, первым делом смотрим статистику протоколов. ![](https://i.imgur.com/H3YfRWd.png) Видим несколько интересных протоколов , посмотрим, что там? ### SMB Самым первым мне захотелось посмотреть smb ``` 10.211.138.17 Debian Workgroup Samba computer name: DADDY.hbc.com развернутый в VMware 10.58.101.234 \C$ <== dr.ldodgson 10.58.106.234 10.58.106.234 \ DNA_DATA <== mr.dna 10.58.107.234 DNA_DATA\Stanford\genome_Patient1.txt <== dr.ldodgson ``` ``` Все три хоста на: Windows Server 2008 R2 Datacenter 7601 Service Pack 1 Windows Server 2008 R2 Datacenter 6.1 ``` Также в дампе есть процесс ntlm аутентификации имеются отправленные challenge ![](https://i.imgur.com/E0aGnBU.png) и что более важное , отправленные в ответ на них ntlmssp auth, которые представляют из себя хэш от challenge и пароля пользователя и информацию о пользователе. Имея на руках такой хэш, можно было бы попробовать провети relay атаку, или попробовать сбрутать пароль пользователя. ![](https://i.imgur.com/iSfyLXI.png) ![](https://i.imgur.com/XgrY5cs.png) ### HTTP HTTP , а значит не шифрованный трафик, очень интересно... ``` 10.211.138.17 User Agent = Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0 ``` ``` 10.58.108.200 mac VMware Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.27 with Suhosin-Patch http://10.58.108.200/wp-cron.php?doing_wp_cron Wordpress 3.1 ``` ``` 10.59.108.37 mac PaloAlto (Возможно Firewall) Set-Cookie: lang=en-US; Path=/; Max-Age=2147483647 Set-Cookie: i_like_gogits=7dd6ab20ed6c9427; Path=/; HttpOnly Set-Cookie: _csrf=pssJ1IgN92KOffhdVkHuBkVRSxk6MTU1MTQ4NzE5MjQxOTU2NjEzNA%3D%3D; Path=/; Expires=Sun, 03 Mar 2019 00:39:52 GMT; HttpOnly Gogs Version: 0.11.66.0916 version Go1.11 ``` ``` 10.59.107.35 mac PaloAlto (Возможно Firewall) nginx/1.15.3 ``` ``` 10.59.105.83 mac PaloAlto (Возможно Firewall) Server: gunicorn/19.9.0 ``` ``` 10.59.103.37 Set-Cookie: lang=en-US; Path=/; Max-Age=2147483647 Set-Cookie: i_like_gogits=efe58d1029dd29fc; Path=/; HttpOnly Set-Cookie: _csrf=M4yDrwgXVnpSnHFHDZxJSKSo_0A6MTU1MTQ4NzExMjEzMDU4NjYyMw%3D%3D; Path=/; Expires=Sun, 03 Mar 2019 00:38:32 GMT; HttpOnly Gogs Version: 0.11.66.0916 version Go1.11 ``` ``` 10.58.103.201 /doku.php dokuwiki Server: Apache/2.2.14 (Ubuntu) PHP/5.3.2-1ubuntu4.30 Set-Cookie: DokuWiki=c4q2435fgc0ghr6kd029ge0v65; path=/; HttpOnly Set-Cookie: DW68700bfd16c2027de7de74a5a8202a6f=deleted; expires=Thu, 01-Mar-2018 16:37:45 GMT; path=/; httponly /var/www/data/cache/1/17f0c1271043061b5a0069044285550b.xhtml (интересный путь в комментах) ``` ``` 10.59.103.96 Server: Apache/2.4.29 (Ubuntu) ETag: "2a5b-581e69ae7715b" Made by @hellarafa ``` ### TLSv2 Ничего интересного, добавлю сертификат 10.59.108.36 Certificate: (id-at-organizationName=Internet Widgits Pty Ltd,id-at- stateOrProvinceName=Some-State,id-at-countryName=AU) ### MYSQL Версия 5.1.73-log Databases: information_schema admissions blog dolibarr erp_db gitdb mysql parkblog parksite pcs test tickets website ### ISAKMP version 2.0 К сожалению, чего то конкретного найти не удалось, но сделаю предположение, что используется VPN на IPSEC ## Улов №2 ![](https://i.imgur.com/N1LcRRX.png) Анализируя данный дамп, сразу бросается в глаза обилие сетевых протоколов и инкапсуляция в 802.1q делаем вывод, что трафик снят с транкового порта. ### CDP В CDP много информации об устройствах ``` VTP Management Domain: webernetz.net Device ID: CCNP-LAB-S1.webernetz.net Platform: cisco WS-C2960-24TC-L Device ID: CCNP-LAB-S2.webernetz.net Software version: IOS (tm) C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA14, RELEASE SOFTWARE (fc1) Platform: cisco WS-C2950G-24-EI ``` ### DHCP ``` DHCP указывает в своих пакетах hostname, делаем заметку. Source: Dell_e9:bb:47 (00:21:70:e9:bb:47) Host Name: MicroknoppixV ``` ### DNS ``` webernetz.net ip.webernetz.net ns1.hans.hosteurope.de ns2.hans.hosteurope.de ``` ### HSRPv2 MD5 Authentication Data: 0b518afd53f423272f6df17b6eadc3bc Аутентификационные данные HSRP, используется небезопасный MD5 ### LACP Интересного не нашел LACP Version: 0x01 ### LLDP ``` System Description = Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE9, RELEASE SOFTWARE (fc1)\nTechnical Support: http://www.cisco.com/techsupport\nCopyright (c) 1986-2015 by Cisco Systems, Inc.\nComp Информация о сетевом оборудовании, можно посмотреть находили в этой версии какие либо уязвимости ``` ### SNMP в oid'ах ничего интересного ### SSH ``` Protocol: SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.1 Protocol: SSH-2.0-Cisco-1.25 ``` ### STP В STP есть очень полезная информация, номер VLAN и Bridge Priority Атрибут Bridge Priority используется для согласования рута в stp дереве, Значение 32768 является значением по умолчанию, если мы отправим значение меньше чем приоритет текущего корневого коммутатора, будет выбран новый корневой коммутатор. Таким образом, изменяя структуру топологии STP, можно перехватывать легитимный сетевой трафик. Эту атаку нужно проводить очень осторожно, т.к. могут возникнуть проблемы на сети, и в данном конкретном случае мы и так видим как ходят сетевые протоколы. ![](https://i.imgur.com/yNXOrz8.png) **VLAN'ы :1,2,3,10,20,30,40,50,60,70,80,90,121** ### VTP VTP используется для управления VLAN, тут можно найти намного больше информации о VLAN,к тому же скорее всего можно проводить VTP иньекции, тем самым обновлять конфигурации VLAN и существенно влиять на сеть. ![](https://i.imgur.com/7zgNnwK.png) ## tshark 1.1. Отфильтровать только TCP соединения (в tshark). 1.2. Отфильтровать только TCP соединения от кого-то конкретного IP-адреса (в tshark). 1.3. Результаты вывести в txt файл или терминал. **tshark -r SMB.pcap tcp tshark -r SMB.pcap tcp and ip.addr==10.58.107.2** ![](https://i.imgur.com/3EBBI1H.png) 2.1. Отфильтровать только UDP соединения (в tshark). 2.2. Отфильтровать только UDP соединения от кого-то конкретного IP-адреса (в tshark). 2.3. Результаты вывести в txt файл или терминал. **tshark -r network.pcap udp tshark -r network.pcap udp and ip.addr==192.168.121.253** ![](https://i.imgur.com/EnU1Wez.png)