24/10/2012

Netwerk lezen met tcpdump

Filed under: — pinguim @ 11:35 am

Ik heb op een intern netwerk een oude pc waar een e-mail programma mail afhaalt van een locale server. Helaas weet ik niet meer welk wachtwoord daarvoor gebruikt wordt.
Ik kan

  • Het wachtwoord “resetten”; op de mailserver het wachtwoord vervangen door een nieuw. Maar als die mail ook nog vanop een ander toestel/mobiel/andere locatie afgehaald wordt, lukt dat vanaf dan niet meer, en moet daar ook het wachtwoord terug ingesteld worden.
  • Ik kan het wachtwoord proberen te achterhalen. Misschien wordt het bewaard in een bestand bij de instellingen van het e-mail programma, of misschien wordt het als “gewone tekst” over het netwerk gestuurd.

Dan kan je op de Linux pc zelf gaan “sniffen” met tcpdump.
Waarschijnlijk best als root, dus doe eerst
su en geef het root wachtwoord.
Dan werkt het commando:
tcpdump
Je moet zelf het sniffen beëindigen met CTRL-C.

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
12:21:28.067122 IP mybox.mynetwork.loc.60107 > web04-shared01.priorweb.be.http: F 3347713605:3347713605(0) ack 2221291325 win 55

Je krijgt een datum en allerlei informatie over netwerkverbindingen die gelegd worden.

Van al het netwerkverkeer wil je alleen dat naar de mailserver gaat (hier 192.168.1.100 als “destination”)
Tik (als root):
tcpdump 'dst 192.168.1.100'

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
12:26:45.007912 arp who-has server.mynetwork.loc tell otherserver.mynetwork.loc
12:26:46.611336 IP mybox.mynetwork.loc.59621 > server.mynetwork.loc.http: S 139516758:139516758(0) win 5840

en bovendien wil je de “inhoud” zien van het verkeer, niet alleen de “metadata”:

tcpdump 'dst 192.168.1.100' -A

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
12:29:39.825366 IP mybox.mynetwork.loc.45737 > myserver.mynetwork.loc.pop3: S 2866693104:2866693104(0) win 5840
E..< .;@.@..............n..C.................... [........... 12:29:39.825494 IP mybox.mynetwork.loc.45737 > myserver.mynetwork.loc.pop3: . ack 776736383 win 46
E..4.< @.@..#...........n..C..L......tH..... [...}./7 12:29:39.826776 IP mybox.mynetwork.loc.45737 > myserver.mynetwork.loc.pop3: . ack 38 win 46

E..4.=@.@..”………..n..C..L……t!…..
[…}./9
12:29:39.827761 IP mybox.mynetwork.loc.45737 > myserver.mynetwork.loc.pop3: P 0:18(18) ack 38 win 46

E..F.>@.@…………..n..C..L………….
[…}./9USER pinguim@mynetwork.loc

12:29:39.828306 IP mybox.mynetwork.loc.45737 > myserver.mynetwork.loc.pop3: P 18:33(15) ack 44 win 46
E..C.?@.@…………..n..D..L………….
[…}./:PASS Ky45-ZsfQ

De interessante stukken hieruit zijn natuurlijk:

[…}./9USER pinguim@mynetwork.loc

en

[…}./:PASS Ky45-ZsfQ

E-mail gegevens zijn teruggevonden. Natuurlijk werkt dit niet bij een versleutelde verbinding naar de mailserver.

Powered by WordPress