Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Wireshark
Si estamos conectados a una red local, sea
por cable o va
inalmbrica, podemos
vigilar el trfico
HTTP para descubrir
el
contenido de correos electrnicos o incluso contraseas de cuentas de
usuario en pginas webs o servicios de mensajera instantnea.
Ahora que sabemos aplicar ese filtro podemos conjuntarlo con otro que nos
muestre solo el trfico http o las acciones GET y POST en este protocolo, es
decir:
http.method.request == "GET" | http.method.request ==
"POST"
El primer filtro nos indicara la informacin que la direccin IP recibe en el
trfico HTTP, y el segundo filtro nos servira para ver qu informacin
inyecta esa direccin IP en el trfco HTTP.
De modo que ambos filtros se podan combinar del siguiente modo:
ip.addr == 10.22.21.226 and http.request.method == "POST"
Tambin podramos hacer excepciones. Por ejemplo, si ponemos un
filtro dentro de un signo de exclamacin y unos parntesis eso
omitira los resultados obtenidos de ese filtro en la salida del Wireshark.
Por ejemplo ! (http.request.method == "GET" ) omitira todos los
resultados del trfico correspondientes. Tambin podramos omitir
determinadas direcciones IP o MAC.
Ahora que sabemos esto vamos a crear una cuenta de correo de ejemplo en
Gmail, para ver cmo podemos obtener tanto la contrasea como las
direcciones de e-mail del emisor, los destinatarios y el contenido de los
mensajes enviados desde ah. Tambin lo registraremos en Windows Live ID
para ver cmo podemos descubrir la contrasea una vez esa persona se
haya conectado a algn medio de mensajera instantnea on-line
como eBuddy.
Ahora que tenemos la cuenta creada (victima.wireshark@gmail.com)
y registrada para usarla en la red del Windows Live Messenger vamos
al programa y aplicamos el siguiente filtro:
ip.addr == 10.22.21.226 and http.request.method ==
"POST"
Y probamos
alguien.
enviar
un
Nos empezar a filtrar los trazos TCP y nos saldr una ventana como sta:
Veremos
cmo donde
pone
Content-Disposition:
form-data;
name="from" pone la direccin de e-mail del que enva el correo, as como
ms abajo
aparecen las
direcciones
de e-mail
del
o
los
destinatarios (Content-Disposition:
form-data;
name="to")
el
asunto
del
email (Content-Disposition:
form-data;
name="subject")
y
el cuerpo del mensaje (Content-Disposition:
form-data; name="msgbody").
Ahora supongamos que esa persona se conecta al Messenger por eBuddy o
algn medio similar que no de la proteccin suficiente. Veramos
lo siguiente: