Отчет по анализу сетевого трафика

Участники сети

IP-адрес	MAC-адрес	Роль
`192.168.118.129`	`VMware_23:75:b6`	Клиент
`192.168.118.128`	`00:0c:29:ff:a1:64`	Сервер
`192.168.118.254`	`00:50:56:f8:4f:ab`	DHCP-сервер
`192.168.118.130`	Не раскрыт	DHCP-клиент
`192.168.118.1`	Не раскрыт	Шлюз, недоступен

Хронология событий

Пакеты	Событие
1–6, 16, 20–22, 26–28	Хост `.129` постоянно запрашивает MAC-адрес шлюза `.1`. Ответов нет.
7–8	ARP-запрос и ответ между `.129` и `.128`
9–11	TCP-рукопожатие на порт 1337
12	HTTP GET `/k3y` от `.129` к `.128`
14	HTTP 200 OK — сервер отдаёт приватный ключ
17–18	GET `/favicon.ico` → 404
23–25	Завершение TCP-соединения
29–31	TCP-рукопожатие на порт 1338
32	TLS Client Hello (современные шифры, Firefox)
34	Server Hello + самоподписанный сертификат (CN=testSrv3, O=DSec, OU=Penetration Testing Department)
36–38	Завершение TLS-рукопожатия
40–55	Передача более 200 КБ зашифрованных данных от сервера клиенту
57	DHCP-запрос от `.130`
58	DHCP-ACK от `.254` к `.128`

Переданные данные

Что	Где	Объём	Канал
Приватный ключ (PEM)	Пакет 14	1704 байта	HTTP
Зашифрованное изображение	Пакеты 40–55	>200 КБ	TLS

Уязвимости и способы эксплуатации

1 Постоянные ARP-запросы к несуществующему шлюзу (пакеты 1–6, 16, 20–28)

Проблема: Хост .129 не получает ответа от шлюза .1. Клиент продолжает слать запросы, создавая окно для атаки

Эксплуатация:

Злоумышленник запускает ARP-спуфинг, отвечая на запросы клиента и подменяя себя шлюзом
Весь трафик клиента идёт через атакующего, включая HTTP-запрос с ключом
Атакующий перехватывает и модифицирует данные

2 Передача приватного ключа по HTTP (пакет 14)

Проблема: Ключ передаётся открытым текстом

Эксплуатация:

Пассивный перехват: сниффер в том же домене — фильтр http contains "PRIVATE KEY"
Активный перехват: через ARP-спуфинг (п.5.1)
Прямой запрос: GET /k3y на порт 1337 — сервер отдаст ключ без аутентификации

3 Самоподписанный сертификат (пакет 34)

Проблема: Сертификат не подтверждён доверенным центром.

Эксплуатация:

MitM-атака с подменой сертификата (через ARP-спуфинг)
При игнорировании предупреждения браузера — полный просмотр TLS-трафика

4 Устаревшее ПО (Apache/2.4.27) — пакет 14

Проблема: Версия Apache 2017 года с известными уязвимостями

Эксплуатация:

Использование публичных эксплойтов (например CVE-2017-9798)

5 Отсутствие аутентификации при доступе к ключу (пакет 12–14)

Проблема: Сервер отдаёт ключ без логина/пароля, только по знанию URL.

Эксплуатация: Любой может перебрать url и получить ключ

Извлечено изображение!!

При помощи приватного ключа я расшифровал TLS-трафик, оказалось, что передавалось изображение

Name		Name	Last commit message	Last commit date
Latest commit History 2 Commits
README.md		README.md
img.png		img.png

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Repository files navigation

Отчет по анализу сетевого трафика

Участники сети

Хронология событий

Переданные данные

Уязвимости и способы эксплуатации

1 Постоянные ARP-запросы к несуществующему шлюзу (пакеты 1–6, 16, 20–28)

2 Передача приватного ключа по HTTP (пакет 14)

3 Самоподписанный сертификат (пакет 34)

4 Устаревшее ПО (Apache/2.4.27) — пакет 14

5 Отсутствие аутентификации при доступе к ключу (пакет 12–14)

Извлечено изображение!!

About

Uh oh!

Releases

Packages

Uh oh!

Contributors

Uh oh!

Folders and files

Latest commit

History

Repository files navigation

Отчет по анализу сетевого трафика

Участники сети

Хронология событий

Переданные данные

Уязвимости и способы эксплуатации

1 Постоянные ARP-запросы к несуществующему шлюзу (пакеты 1–6, 16, 20–28)

2 Передача приватного ключа по HTTP (пакет 14)

3 Самоподписанный сертификат (пакет 34)

4 Устаревшее ПО (Apache/2.4.27) — пакет 14

5 Отсутствие аутентификации при доступе к ключу (пакет 12–14)

Извлечено изображение!!

About

Resources

Uh oh!

Stars

Watchers

Forks

Releases

Packages 0

Uh oh!

Contributors

Uh oh!

Packages