Se connecter

Trier et décoder les trames récoltées

Trier et décoder les trames

Une fois cela fait, les trames dont nous avons besoin ont dû être capturées, il faut donc maintenant se rendre sur Wireshark et arrêter l’acquisition.

trier décoder les trames récoltées

L’analyse de trames peut donc commencer. Pour rappel, voici les étapes d’une négociation ternaire :

ÉtapeDescriptionValeur
1Négociation de connexionSYN=1 N°ACK=1
2Accord de connexionSYN=1 ACK=1 N°ACK =1
3Validation de la connexionACK=1 N°ACK =1 N°SEQ=1
4Envoi des donnéesACK=1 PSH=1 N°SEQ=N1+x N°ACK=N2
5Réponse (envoi données)ACK=1 PSH=1 N°SEQ=n2+y N°ACK=n1+x
6Demande de déconnexionACK=1 FIN=1 N°SEQ=n2+y+1 N°ACK=n1+x
7Déconnexion effectiveACK=1 N°SEQ=n1+x+1 N°ACK=n2+y+1

 

Analyse des paquets

La première étape de connexion TCP dans nos captures est donc la suivante (surligné) :

trier décoder les trames récoltées

La deuxième correspond à l’accord où l’on voit bien [SYN=1 ACK= 1 N°ACK = 1] :

trier décoder les trames récoltées

Et enfin la troisième qui confirme la connexion avec [ACK= 1 N°ACK = 1 N°SEQ= 1] :

trier décoder les trames récoltées

Maintenant que les 3 trames de connexions TCP sont identifiées, ce qui vient par la suite est le formulaire HTML.

trier décoder les trames récoltées

Sur cette trame il est clairement identifiable car le protocole utilisé est le http réclamant (GET) la page ‘/ppe/login.php’ du serveur.

Les informations du serveur source vont donc passer en clair dans cette trame, et Wireshark nous le donne directement !

trier décoder les trames récoltées

Cette trame nous indique le navigateur utilisé, sa version, les langues du navigateur et d’autres paramètres relatifs au serveur, ce n’est pas ce que nous recherchons.

 

Paquets côté client

À la suite de ces trames, après un acquittement le serveur nous renvois directement le code source de la page…

trier décoder les trames récoltées

Et on répond aussi par un acquittement pour confirmer la réception.

Voici les informations que Wireshark nous renvoi :

WireShark

Nous avons ici accès à tout le code source de la page, nous pouvons y voir les boutons du formulaire, le texte…

Une fois ceci fait, il y à donc demande de déconnexion (surligné), un acquittement pour la déconnexion (sous le noir) puis une confirmation de déconnexion juste en dessous (avec FIN=1 & ACK=1).

trier décoder les trames récoltées

Par la suite, après avoir été renvoyé sur l’autre page (celle rappelant nos identifiants) grâce à un acquittement, nous avons dans une seconde trame HTTP de type POST cette fois ci, nos identifiants en clair (puis on acquitte de la réception).

trier décoder les trames récoltées

Dans cette trame, ce qui nous intéresse le plus se trouve à la fin :

trier décoder les trames récoltées

Nous pouvons voir ici les identifiants que nous avons envoyés au serveur, c’est-à-dire notre login (thomas) et notre mot de passe (1234).

 

Paquets côté serveur

Ceci dis, cela provenais des informations transmises entre le client et le serveur, et non pas du serveur au client, ce qui pourrait être plus intéressent pour tester la sécurité du serveur (s’il est crypté par exemple ou si le certificat est efficace), la trame de renvoi du serveur se trouve donc juste après…

trier décoder les trames récoltées

Venant du serveur (192.168.1.75) au client (192.168.1.64)

Et que contient cette trame ?

trier décoder les trames récoltées

Nos identifiants en clair, encore une fois !

Cela prouve donc qu’il n’y a aucune sécurité entre les transmissions que ce soit d’un côté ou de l’autre.

Une fois que nous quittons le serveur non-sécurisé, nous retrouvons de nouveau les étapes d’une déconnexion comme ceux que nous avons vus précédemment pour le serveur HTTP :

trier décoder les trames récoltées

Et voilà, en quelque trames il nous a été possible de trouver toutes les informations qui passait entre nous et le serveur, que ce soit les demandes de connexion ternaires ou nos propres identifiants, tout a été identifié et trouvé en clair grâce à Wireshark !

TOUT VOIR Ajouter une remarque
VOUS
Ajouter votre commentaire

Chercher un cours

S’abonner aux news

Publicité

FREEDOM SUBSTITUTE | 2015-2017
X