Cómo descubrir contraseñas y e-mails enviados con Wireshark

Si estamos conectados a una red local, sea por cable o vía inalámbrica, podemos vigilar el tráfico HTTP para descubrir el contenido de correos electrónicos o incluso contraseñas de cuentas de usuario en páginas webs o servicios de mensajería instantánea.

Para eso tenemos que usar determinados filtros. Primero habría que saber la dirección MAC o dirección IP del equipo a través del cual entra y sale la información que queremos obtener. Para eso usaríamos uno de estos dos filtros: ip.addr == 10.22.21.226 También podríamos indicar si la información entra: ip.src = 10.22.21.226 O si sale: ip.dst == 10.22.21.226 Por último para filtrar por dirección mal sería algo así: eth.src == 00:1d:60:6b:ec:83

1

22.request == "POST" El primer filtro nos indicaría la información que la dirección IP recibe en el tráfico HTTP.request. y el segundo filtro nos serviría para ver qué información inyecta esa dirección IP en el tráfíco HTTP. Por ejemplo. Ahora que tenemos la cuenta creada (victima. los destinatarios y el contenido de los mensajes enviados desde ahí.21.method.22. si ponemos un filtro dentro de un signo de exclamación y unos paréntesis eso omitiría los resultados obtenidos de ese filtro en la salida del Wireshark. Ahora que sabemos esto vamos a crear una cuenta de correo de ejemplo en Gmail.method == "GET" ) omitiría todos los resultados del tráfico correspondientes.request.Ahora que sabemos aplicar ese filtro podemos conjuntarlo con otro que nos muestre solo el tráfico http o las acciones GET y POST en este protocolo. para ver cómo podemos obtener tanto la contraseña como las direcciones de e-mail del emisor. También lo registraremos en Windows Live ID para ver cómo podemos descubrir la contraseña una vez esa persona se haya conectado a algún medio de mensajería instantánea on-line como eBuddy.addr == 10. También podríamos omitir determinadas direcciones IP o MAC.addr == 10. De modo que ambos filtros se podían combinar del siguiente modo: ip.21.method == "POST" También podríamos hacer excepciones. es decir: http.com) y registrada para usarla en la red del Windows Live Messenger vamos al programa y aplicamos el siguiente filtro: ip.request == "GET" | http. Por ejemplo ! (http.method.request.method == "POST" Y probamos a enviar un e-mail a alguien.226 and http.226 and http. 2 .wireshark@gmail.

Le damos al botón enviar y vamos al Wireshark. Veremos una entrada de tráfico en la que ponga POST /mail/?ui=… en la información del paquete. 3 . Hacemos clic con el botón derecho sobre él y escogemos Follow TCP Stream.

Nos empezará a filtrar los trazos TCP y nos saldrá una ventana como ésta: Aquí si bajamos más o menos a la mitad veremos lo siguiente (en color rojo): 4 .

Veremos cómo donde pone Content-Disposition: form-data. name="from" pone la dirección de e-mail del que envía el correo. Ahora supongamos que esa persona se conecta al Messenger por eBuddy o algún medio similar que no de la protección suficiente. name="to") el asunto del email (Content-Disposition: form-data. Veríamos lo siguiente: 5 . name="msgbody"). name="subject") y el cuerpo del mensaje (Content-Disposition: form-data. así como más abajo aparecen las direcciones de e-mail del o los destinatarios (Content-Disposition: form-data.

6 .wireshark%40 gmail.Si debajo en la información desplegáramos la sección Line-based text data veríamos los siguientes parámetros de envío: En donde se ve perfectamente la contraseña (password=PepePerez). y más a la izquierda el nombre de la cuenta de correo a la que corresponde (&username= victima.com…).

Después en Firefox. podríamos insertar la información de la cookie que hemos capturado y acceder a cualquier sitio como la persona que entró en determinada página web o servicio web. también podríamos copiar y pegar el contenido de las cookies. 7 . En la sección Hypertext Transfer Protocol si desplegamos donde pone Cookie y le damos a Follow TCP Stream obtenemos la información necesaria. con un editor de cookies.Por último.

Sign up to vote on this title
UsefulNot useful