Foro de elhacker.net

Buenas! Estoy experimentando con el ettercap y el wireshark, a ver si me inicio un poco en el tema: tengo un notebook con Linux mint 13 (atacante) y otro con el mismo SO (víctima).

He conseguido hacer un ARP Poisoning y con el wireshark he filtrado http or ssl and not arp y he podido leer todas las páginas web que visitaba desde el equipo víctima. Lo que pasa es que no puedo capturar logins... por ejemplo, he entrado en este mismo foro y hay una petición POST que pone User=WaAYa HaCK & passwd=&90cookie****. y más arriba pone: COOKIE=5645tehgbijok32efwuh3eduhvoejrwwq(letras a bollo) y PHPSESSID=nrebfvd(a bollo) y más cosas.. la pregunta es: de qué me sirve y cómo puedo aprovecharlo?

Además, en mi móvil Android también he intentado sniffar tráfico... el arp poisoning no funciona :S y con wireshark sólo he captado tráfico ARP, en el que aparece el modelo del móvil, pero nada más... alguien sabe cómo puedo captar el tráfico del móvil?

Muchas gracias!

Verás, te cuento. Al hacer un MITM y absorber el tráfico, a ciencia cierta si puedes ver todo lo que hace.. Pero hay trafico que va cifrado por SSL, tipo facebook, tuenti, hotmail.. Por ello, los datos a iniciar la conexion, van cifrados y no puedes verlos en texto plano por wireshark. Puedes hacer la prueba para comprenderlo, logins de muchos foros no van cifrados y logueandote y sniffando.eL trafico podrías verlo.en texto plano  :), te recomiendo que busques información sobre la herramienta SSLTrip , sobre su funcionamiento y para que sirve, y verás de lo que te hablo :)
Salu2

También lo que puedes hacer, es robar la cookie directamente capturando tráfico, recrearlas , añadirlas al navegador y entrar en la página dl login, si esta bien hecho y la cookie es reciente accederas aL perfil sin conocer la clave, pero cuando la víctima cierre la sesión tu sesión tambien se cerrará. Es un robo de sesion simplemente, hay bastante info sobre todo, si buscas lo comprenderás facil ^^