O

tatnio przenosząc usługę FTP, która przechowywała zaszyfrowane i posolone hasła w bazie MySQL napotkałem na prosty problem – zaszła potrzeba przetestowania jej działania na nowym serwerze. Jednym z mechanizmów całej instalacji był check czuwający nad dostępnością usługi, który logował się na serwer FTP i pobierał wybrany plik. Odzyskanie hasła zarówno po stronie urządzenia sprawdzającego dostępność, jak i serwera FTP było niemożliwe. Dlatego należało je podsłuchać…

Pierwszym narzędziem, jakie przychodzi na myśl, jeśli chodzi o podsłuchiwanie nieszyfrowanej transmisji to tcpdump. Szukając szybkiej składni, która pozwoli mi osiągnąć cel oszczędzając kopania się z manualem – natrafiłem na stronę wroot. Przedstawił on do tego zadania dwa jednolinijkowce, które doskonale spełniają się w tej roli:

tcpdump port http or port ftp or port smtp or port imap or port pop3 -l -A | egrep -i \
'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username: \
|password:|login:|pass |user ' --color=auto --line-buffered -B20

oraz analogicznie przy użyciu ngrep:

ngrep '[&\s?](?:login|user(?:name|)|p(ass(?:word|wd|)|w|wd))[\s:=]\s?([^&\s]*)' -q -i

Więcej informacji: Quick and dirty ngrep credential (username/password) sniffer