Nella cartella /home/flag08 c’è un file in lettura a tutto il mondo: capture.pcap.
Esso rappresenta una traccia di traffico in formato PCAP, che può spesso contenere informazioni succulente riguardanti l’interazione tra due o più asset.
Debolezza: permessi di accesso laschi a file con informazioni sulle transazioni tra asset.
Si copia il file in locale.
scp -P 2222 level08@localhost:/home/flag08/capture.pcap .
Si analizza il file con wireshark (dnf install wireshark), un analizzatore di traffico.
wireshark capture.pcap
Si seleziona il menù Statistiche → Gerarchia di protocolli.
Questo ci mostra la distribuzione gerarchica dei pacchetti sui distinti protocolli della suite TCP/IP.
Oltre la metà dei frame Ethernet (55.8%) sono associati a un protocollo sconosciuto (voce Data).
Tasto destro su Data e poi Applica come filtro → Selezionati.
Nella schermata principale si seleziona il flusso TCP selezionato dal filtro e tasto destro Segui → Flusso TCP.