Cómo utilizar WireShark para descifrar contraseñas de sitios web

Cuando ingresamos nuestro número de cuenta y contraseña para iniciar sesión en el sitio web, si el sitio web le permite autenticarse usando HTTP (texto sin cifrar), es muy sencillo capturar el tráfico de comunicación en este momento y luego podrá obtener el nombre de inicio de sesión. y contraseña analizando el tráfico capturado. Este método no sólo es aplicable a LAN, sino también a Internet. Esto significa que un atacante podrá descifrar la contraseña de cualquier sitio web que utilice el protocolo HTTP para la autenticación.

Es tan fácil realizar esta tarea en una red de área local que uno no puede evitar sorprenderse de lo inseguro que es HTTP. Puede probar este truco en una red de dormitorio, una red de trabajo o incluso una red de campus, pero la red del campus debe permitir el tráfico de transmisión y su tarjeta LAN puede configurarse en modo promiscuo.

Probemos este método en un sitio web sencillo, que hice en la misma computadora que esta práctica de laboratorio. A la hora de practicar, puedes hacerlo entre una máquina virtual y una máquina física.

Tenga en cuenta que algunos enrutadores no admiten la función de transmisión de tráfico y pueden fallar en dichos enrutadores.

Paso 1: Ejecute WireShark y capture el tráfico

A continuación se explica cómo ejecutar WireShark en Kali Linux:

Aplicación > Kali Linux > Las 10 mejores herramientas de seguridad >.< / p>

En WireShark, haga clic en la opción Captura > Interfaz y seleccione la interfaz de tarjeta de red correspondiente. En mi caso, estoy usando una tarjeta de red inalámbrica USB, así que seleccioné wlan0.

Si todo va bien, entonces puedes presionar el botón de inicio y Wireshark comenzará a capturar tráfico. Si omitió este paso, puede volver a Capturar > Interfaces > Iniciar y comenzar a capturar tráfico.

Paso 2: Filtrar el tráfico POST

En este punto, Wireshark comenzará a escuchar y capturar todo el tráfico web. Luego abro un navegador, inicio sesión en un sitio web usando mi nombre de usuario y contraseña, y cuando se completa el proceso de verificación y el inicio de sesión es exitoso, regreso y detengo la captura de tráfico de Wireshark.

Normalmente, se capturan muchos datos de tráfico, pero solo nos interesan los datos POST. ¿Por qué PUBLICAR datos?

Porque cuando ingresas tu nombre de usuario y contraseña y haces clic en el botón de iniciar sesión, se generará un método POST para enviar los datos que ingresaste al servidor remoto.

Para filtrar y filtrar datos POST, puede ingresar el siguiente comando en el cuadro de entrada del filtro:

http.request.method=== "POST"

El evento POST se muestra en la siguiente figura.

Paso 3: Analiza el nombre de usuario y la contraseña en los datos POST

A continuación, haz clic en la fila del evento POST, luego haz clic derecho y selecciona "Seguir TCPSteam".

Se abrirá una nueva ventana con el siguiente contenido:

HTTP/1.1 302 encontrado

Fecha: lunes, 10 de noviembre de 2014 23:52:21 GMT

p>

Servidor: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP= "NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"

Set-Cookie: non=non; expires=jueves, 7 de noviembre de 2024 23::52:21 GMT = jueves, 7 de noviembre; -Nov-2024 23: :52:21 GMT