Задача о поиске чувствительных данных в дампе трафика
Будет интересна специалистам, которые интересуются IT и информационной безопасностью.
Условие
Представьте, что кто-то получил нелегитимный доступ к серверу по API. Вы провели внутреннее расследование и — о ужас! — нашли опубликованный в интернете файловый сервер. Его серый адрес — 192.168.1.47. Известно, что сервер использовался как файлообменник для IT-специалистов. Возможно, что-то ценное утекло именно оттуда.
Задача
Скачайте дамп трафика по ссылке dump.pcap и проанализируйте его. Найдите, в каком файле находились чувствительные данные, используемые для доступа к серверу по API.
Решение
Откроем дамп трафика в Wireshark:
Проверим, какие порты использовались в сетевой активности. Для этого перейдем:
Статистика → IPv4 Statistics → Destinations and ports.
Видно, что у адреса 192.168.1.47 чаще всего используется порт 4880/TCP:
Применим фильтр трафика:
ip.addr == 192.168.1.47 and tcp.port == 4880 and tcp contains "HTTP/1.1 200"
Попробуем отследить трафик. Можно увидеть, что происходил перебор директорий и файлов, и найти обращения в два каталога:
1. /fileserver
2. /admin4
В файле /admin4/myapi/02_1 находится искомый API token:
Токен a1bb30f5-116d-4b0d-af08-bb97bb922466.
Готово! Файл найден.
