Hackeando com Wireshark


Capturando senha e Login

Caso você esteja com Men In The middle ou Fake Access Point é possível também conseguir Senhas e abrir o Cookie de login do Alvo utilizando o Wireshark



Para achar o Login e Senha deve-se filtrar por http e procurar POST

Abrindo os dados pode-se ver o login e senha

Outra forma de pesquisar é ir em Edit - Find Packet (ou control+F)


Mudar para Packet Details e String - Você pode procurar pelo nome do login se souber ou por outro texto que lhe envie direto para o packet em que tenha o Login e Senha.

Capturando Cookies

Se o alvo estiver conectado com algum cookie em um site também é possível capturar igual quando vimos com o hamster no artigo de men in the middle

Para isso só precisa filtrar por http.cookie
Depois procura em qual packet foi acessado ao site e o POST de antes terá o Cookie.


Basicamente, o que você faz é extrair cookies de um arquivo de pcap no Wireshark e injetá-lo no navegador através de uma ferramenta, por exemplo GreaseMonkey (http://caleudum.com/cookie-injection-with-greasemonkey/) e você estará logado na conta.

Cookies manager para firefox é um ótimo plugin para isso

Detectando tráfego Suspeito Com Wireshark



Antes precisa ir em

Edit - Preferences (Ctrl+Shift+P) - Protocols - ARP/RARP

Ativar a opção "Detect ARP request storms"


Quando o Hacker faz um comando de análise como o netdiscover que verifica tudo que está conectado na rede o resultado será:


Podemos ver que tem um broadcast que envia a todos perguntando who has para todos os IPs possíveis.

Agora vá até Analyze - Expert Information





Podemos ver que há um ARP Storm Detected, que é um único dispositivo enviando pedidos ARP para vários outros dispositivos o que pode ser um Netdiscover. Veriamos algo assim também se estivessem procurando por portas abertas.

Se o Hacker fez um MITM podemos perceber um Warm Duplicate IP address Configured o que significa que um mesmo IP tem dois MAC Address diferentes.



Cores do Wireshark:
Green - TCP Traffic
Dark Blue - DNS Traffic
Light Blue - UDP Traffic


Black - TCP packets com problemas

Comentários

Mais visitadas

Usando GPU para Brute-Force com HashCat

Ataque Evil Twin

XSS - Cross-site scripting

Man-in-the-Middle e MITMf - DNS Spoofing e suas defesas

Mitmproxy 1 - Conhecendo