• Votre panier est vide.

  • LOGIN

Trier et décoder les trames récoltées

Apprendre à trier les trames Wireshark

Une fois cela fait, les trames dont nous avons besoin ont dû être capturées, il faut donc maintenant se rendre sur Wireshark et arrêter l’acquisition.

trier décoder les trames récoltées

L’analyse de trames peut donc commencer. Pour rappel, voici les étapes d’une négociation ternaire :

Étape Description Valeur
1 Négociation de connexion SYN=1 N°ACK=1
2 Accord de connexion SYN=1 ACK=1 N°ACK =1
3 Validation de la connexion ACK=1 N°ACK =1 N°SEQ=1
4 Envoi des données ACK=1 PSH=1 N°SEQ=N1+x N°ACK=N2
5 Réponse (envoi données) ACK=1 PSH=1 N°SEQ=n2+y N°ACK=n1+x
6 Demande de déconnexion ACK=1 FIN=1 N°SEQ=n2+y+1 N°ACK=n1+x
7 Déconnexion effective ACK=1 N°SEQ=n1+x+1 N°ACK=n2+y+1

 

Analyse des paquets

La première étape de connexion TCP dans nos captures est donc la suivante (surligné) :

trier décoder les trames récoltées

La deuxième correspond à l’accord où l’on voit bien [SYN=1 ACK= 1 N°ACK = 1] :

trier décoder les trames récoltées

Et enfin la troisième qui confirme la connexion avec [ACK= 1 N°ACK = 1 N°SEQ= 1] :

trier décoder les trames récoltées

Maintenant que les 3 trames de connexions TCP sont identifiées, ce qui vient par la suite est le formulaire HTML.

trier décoder les trames récoltées

Sur cette trame il est clairement identifiable car le protocole utilisé est le http réclamant (GET) la page ‘/ppe/login.php’ du serveur.

Les informations du serveur source vont donc passer en clair dans cette trame, et Wireshark nous le donne directement !

trier décoder les trames récoltées

Cette trame nous indique le navigateur utilisé, sa version, les langues du navigateur et d’autres paramètres relatifs au serveur, ce n’est pas ce que nous recherchons.

 

Paquets côté client

À la suite de ces trames, après un acquittement le serveur nous renvois directement le code source de la page…

trier décoder les trames récoltées

Et on répond aussi par un acquittement pour confirmer la réception.

Voici les informations que Wireshark nous renvoi :

WireShark

Nous avons ici accès à tout le code source de la page, nous pouvons y voir les boutons du formulaire, le texte…

Une fois ceci fait, il y à donc demande de déconnexion (surligné), un acquittement pour la déconnexion (sous le noir) puis une confirmation de déconnexion juste en dessous (avec FIN=1 & ACK=1).

trier décoder les trames récoltées

Par la suite, après avoir été renvoyé sur l’autre page (celle rappelant nos identifiants) grâce à un acquittement, nous avons dans une seconde trame HTTP de type POST cette fois ci, nos identifiants en clair (puis on acquitte de la réception).

trier décoder les trames récoltées

Dans cette trame, ce qui nous intéresse le plus se trouve à la fin :

trier décoder les trames récoltées

Nous pouvons voir ici les identifiants que nous avons envoyés au serveur, c’est-à-dire notre login (thomas) et notre mot de passe (1234).

 

Paquets côté serveur

Ceci dis, cela provenais des informations transmises entre le client et le serveur, et non pas du serveur au client, ce qui pourrait être plus intéressent pour tester la sécurité du serveur (s’il est crypté par exemple ou si le certificat est efficace), la trame de renvoi du serveur se trouve donc juste après…

trier décoder les trames récoltées

Venant du serveur (192.168.1.75) au client (192.168.1.64)

Et que contient cette trame ?

trier décoder les trames récoltées

Nos identifiants en clair, encore une fois !

Cela prouve donc qu’il n’y a aucune sécurité entre les transmissions que ce soit d’un côté ou de l’autre.

Une fois que nous quittons le serveur non-sécurisé, nous retrouvons de nouveau les étapes d’une déconnexion comme ceux que nous avons vus précédemment pour le serveur HTTP :

trier décoder les trames récoltées

Et voilà, en quelque trames il nous a été possible de trouver toutes les informations qui passait entre nous et le serveur, que ce soit les demandes de connexion ternaires ou nos propres identifiants, tout a été identifié et trouvé en clair grâce à Wireshark !

SEE ALL Add a note
YOU
Add your Comment
Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)