-
Cmo descubrir contraseas y e-mails enviados con Wireshark
Si estamos conectados a una red local, sea por cable o va
inalmbrica, podemos vigilar el trfico HTTP para descubrir el
contenido de correos electrnicos o incluso contraseas de cuentas de
usuario en pginas webs o servicios de mensajera instantnea.
Para eso tenemos que usar determinados filtros.
Primero habra que saber la direccin MAC o direccin IP del equipo
a travs del cual entra y sale la informacin que queremos obtener.
Para eso usaramos uno de estos dos filtros:
ip.addr == 10.22.21.226
Tambin podramos indicar si la informacin entra:
ip.src = 10.22.21.226
O si sale:
ip.dst == 10.22.21.226
Por ltimo para filtrar por direccin mal sera algo as:
eth.src == 00:1d:60:6b:ec:83
1
-
Ahora que sabemos aplicar ese filtro podemos conjuntarlo con
otro que nos muestre solo el trfico http o las acciones GET y POST
en este protocolo, es decir:
http.method.request == "GET" | http.method.request == "POST"
El primer filtro nos indicara la informacin que la direccin IP
recibe en el trfico HTTP, y el segundo filtro nos servira para ver
qu informacin inyecta esa direccin IP en el trfco HTTP.
De modo que ambos filtros se podan combinar del siguiente
modo:
ip.addr == 10.22.21.226 and http.request.method == "POST"
Tambin podramos hacer excepciones. Por ejemplo, si ponemos un
filtro dentro de un signo de exclamacin y unos parntesis eso
omitira los resultados obtenidos de ese filtro en la salida del
Wireshark. Por ejemplo !(http.request.method == "GET" ) omitira
todos los resultados del trfico correspondientes. Tambin podramos
omitir determinadas direcciones IP o MAC.
Ahora que sabemos esto vamos a crear una cuenta de correo de
ejemplo en Gmail, para ver cmo podemos obtener tanto la contrasea
como las direcciones de e-mail del emisor, los destinatarios y el
contenido de los mensajes enviados desde ah. Tambin lo
registraremos en Windows Live ID para ver cmo podemos descubrir la
contrasea una vez esa persona se haya conectado a algn medio de
mensajera instantnea on-line como eBuddy.
Ahora que tenemos la cuenta creada ([email protected])
y registrada para usarla en la red del Windows Live Messenger vamos
al programa y aplicamos el siguiente filtro:
ip.addr == 10.22.21.226 and http.request.method == "POST"
Y probamos a enviar un e-mail a alguien.
2
-
Le damos al botn enviar y vamos al Wireshark.
Veremos una entrada de trfico en la que ponga POST /mail/?ui= en
la informacin del paquete. Hacemos clic con el botn derecho sobre l
y escogemos Follow TCP Stream.
3
-
Nos empezar a filtrar los trazos TCP y nos saldr una ventana
como sta:
Aqu si bajamos ms o menos a la mitad veremos lo siguiente (en
color rojo):
4
-
Veremos cmo donde pone Content-Disposition: form-data;
name="from" pone la direccin de e-mail del que enva el correo, as
como ms abajo aparecen las direcciones de e-mail del o los
destinatarios (Content-Disposition: form-data; name="to") el asunto
del email (Content-Disposition: form-data; name="subject") y el
cuerpo del mensaje (Content-Disposition: form-data;
name="msgbody").
Ahora supongamos que esa persona se conecta al Messenger por
eBuddy o algn medio similar que no de la proteccin suficiente.
Veramos lo siguiente:
5
-
Si debajo en la informacin desplegramos la seccin Line-based
text data veramos los siguientes parmetros de envo:
En donde se ve perfectamente la contrasea (password=PepePerez),
y ms a la izquierda el nombre de la cuenta de correo a la que
corresponde (&username= victima.wireshark%40 gmail.com).
6
-
Por ltimo, tambin podramos copiar y pegar el contenido de las
cookies. En la seccin Hypertext Transfer Protocol si desplegamos
donde pone Cookie y le damos a Follow TCP Stream obtenemos la
informacin necesaria. Despus en Firefox, con un editor de cookies,
podramos insertar la informacin de la cookie que hemos capturado y
acceder a cualquier sitio como la persona que entr en determinada
pgina web o servicio web.
7
