Cómo descubrir contraseñas y e-mails enviados con Wireshark

Si estamos conectados a una red local, sea por cable o vía inalámbrica, podemos vigilar el tráfico HTTP para descubrir el contenido de correos electrónicos o incluso contraseñas de cuentas de usuario en páginas webs o servicios de mensajería instantánea.

Para eso tenemos que usar determinados filtros. Primero habría que saber la dirección MAC o dirección IP del equipo a través del cual entra y sale la información que queremos obtener. Para eso usaríamos uno de estos dos filtros: ip.addr == 10.22.21.226 También podríamos indicar si la información entra: ip.src = 10.22.21.226 O si sale: ip.dst == 10.22.21.226 Por último para filtrar por dirección mal sería algo así: eth.src == 00:1d:60:6b:ec:83

1

wireshark@gmail. y el segundo filtro nos serviría para ver qué información inyecta esa dirección IP en el tráfíco HTTP.22.Ahora que sabemos aplicar ese filtro podemos conjuntarlo con otro que nos muestre solo el tráfico http o las acciones GET y POST en este protocolo.addr == 10.method == "GET" ) omitiría todos los resultados del tráfico correspondientes.21.226 and http. es decir: http. Por ejemplo. los destinatarios y el contenido de los mensajes enviados desde ahí.request == "GET" | http. Por ejemplo ! (http. para ver cómo podemos obtener tanto la contraseña como las direcciones de e-mail del emisor.request. Ahora que sabemos esto vamos a crear una cuenta de correo de ejemplo en Gmail.method == "POST" También podríamos hacer excepciones.method.addr == 10.request. También podríamos omitir determinadas direcciones IP o MAC.22. De modo que ambos filtros se podían combinar del siguiente modo: ip.request.com) y registrada para usarla en la red del Windows Live Messenger vamos al programa y aplicamos el siguiente filtro: ip.226 and http. También lo registraremos en Windows Live ID para ver cómo podemos descubrir la contraseña una vez esa persona se haya conectado a algún medio de mensajería instantánea on-line como eBuddy. Ahora que tenemos la cuenta creada (victima.21.method == "POST" Y probamos a enviar un e-mail a alguien.request == "POST" El primer filtro nos indicaría la información que la dirección IP recibe en el tráfico HTTP.method. 2 . si ponemos un filtro dentro de un signo de exclamación y unos paréntesis eso omitiría los resultados obtenidos de ese filtro en la salida del Wireshark.

Veremos una entrada de tráfico en la que ponga POST /mail/?ui=… en la información del paquete.Le damos al botón enviar y vamos al Wireshark. Hacemos clic con el botón derecho sobre él y escogemos Follow TCP Stream. 3 .

Nos empezará a filtrar los trazos TCP y nos saldrá una ventana como ésta: Aquí si bajamos más o menos a la mitad veremos lo siguiente (en color rojo): 4 .

name="subject") y el cuerpo del mensaje (Content-Disposition: form-data. name="from" pone la dirección de e-mail del que envía el correo. name="msgbody"). name="to") el asunto del email (Content-Disposition: form-data. así como más abajo aparecen las direcciones de e-mail del o los destinatarios (Content-Disposition: form-data. Ahora supongamos que esa persona se conecta al Messenger por eBuddy o algún medio similar que no de la protección suficiente.Veremos cómo donde pone Content-Disposition: form-data. Veríamos lo siguiente: 5 .

wireshark%40 gmail. 6 . y más a la izquierda el nombre de la cuenta de correo a la que corresponde (&username= victima.com…).Si debajo en la información desplegáramos la sección Line-based text data veríamos los siguientes parámetros de envío: En donde se ve perfectamente la contraseña (password=PepePerez).

7 . En la sección Hypertext Transfer Protocol si desplegamos donde pone Cookie y le damos a Follow TCP Stream obtenemos la información necesaria. también podríamos copiar y pegar el contenido de las cookies. con un editor de cookies.Por último. Después en Firefox. podríamos insertar la información de la cookie que hemos capturado y acceder a cualquier sitio como la persona que entró en determinada página web o servicio web.

Sign up to vote on this title
UsefulNot useful