|
Título: Wireshark Publicado por: pipiolin en 27 Octubre 2021, 22:25 pm Buenas a todos!
Os llevo leyendo bastante tiempo y probando cosillas que veo ya que me interesa estudiar sobre el tema de seguridad. El caso es que probando Wireshark no consigo ver paginas webs ni imagenes ni nada. Capturar me captura muchos paquetes pero no consigo ver nada. No encuentro por ejemplo archivos GIF (despues de estar viendo varios en la web) ni tampoco encuentro nada filtrando HTTP.. Lo he probado en windodws y en kali. se que algo estoy haciendo mal pero no se el que. Decir que intento ver las paginas visitadas de mi propio pc (no de otro de la red local) ¿alguna ayuda? Muchas gracias Un saludo Título: Re: Wireshark Publicado por: MCKSys Argentina en 27 Octubre 2021, 22:30 pm Hola!
Sabes que en Wireshark ves sólo paquetes, no? No es un navegador. Por ejemplo, no verás las imágenes per-se, pero sí verás el contenido del archivo de la imagen (el cual puedes escribir en disco y luego visualizar; pero nos vamos del tema). Además, si usas un browser y capturas lo navegado, ten en cuenta que si visitas sitios "HTTPS", en Wireshark verás los paquetes cifrados. Saludos! Título: Re: Wireshark Publicado por: pipiolin en 27 Octubre 2021, 22:36 pm Hola! Sabes que en Wireshark ves sólo paquetes, no? No es un navegador. Por ejemplo, no verás las imágenes per-se, pero sí verás el contenido del archivo de la imagen (el cual puedes escribir en disco y luego visualizar; pero nos vamos del tema). Además, si usas un browser y capturas lo navegado, ten en cuenta que si visitas sitios "HTTPS", en Wireshark verás los paquetes cifrados. Saludos! Gracias por tu respuesta! Sí, se que solo veo paquetes. Pero he visto tutoriales y la gente logra saber que pagina es la que se esta visitando. Y al tema de las imagenes me referia a lo que dices, a ver el archivo y luego grabarlo en el disco. ¿hay que hacer algo para poder ver que pagina se visita? Gracias de nuevo Puede ser que tenga que meter mi clave en algún sitio para así descifrar los datos? Es a la conclusión que llego después de mucho leer.. MOD: No hacer doble post Título: Re: Wireshark Publicado por: MCKSys Argentina en 27 Octubre 2021, 23:15 pm Hola!
Para ver los paquetes cifrados, necesitas configurar el sistema. Revisa este post: https://wiki.wireshark.org/TLS (https://wiki.wireshark.org/TLS) En especial la parte de Using the (Pre)-Master-Secret. También puede servirte: https://charlesreid1.com/wiki/MITM_Labs/Decrypting_HTTPS_Traffic_by_Obtaining_Browser_SSL_Session_Info (https://charlesreid1.com/wiki/MITM_Labs/Decrypting_HTTPS_Traffic_by_Obtaining_Browser_SSL_Session_Info) Saludos! Título: Re: Wireshark Publicado por: pipiolin en 28 Octubre 2021, 21:52 pm Hola! Para ver los paquetes cifrados, necesitas configurar el sistema. Revisa este post: https://wiki.wireshark.org/TLS (https://wiki.wireshark.org/TLS) En especial la parte de Using the (Pre)-Master-Secret. También puede servirte: https://charlesreid1.com/wiki/MITM_Labs/Decrypting_HTTPS_Traffic_by_Obtaining_Browser_SSL_Session_Info (https://charlesreid1.com/wiki/MITM_Labs/Decrypting_HTTPS_Traffic_by_Obtaining_Browser_SSL_Session_Info) Saludos! Buenas noches! He estado leyendo todo lo que me pasaste. He usado el premaster. Usando Networkminer para leer los resultados de wireshark he podido ver sin problemas las paginas webs que se han visitado. Así como imágenes de dichas paginas webs. Ahora me surge una duda. De esta forma seria posible ver las contraseñas que viajan encriptadas? me salen varias credenciales pero me salen encriptadas. ¿habría posibilidad de verlas? ¿Cómo protegerse de esto? Un saludo y gracias Título: Re: Wireshark Publicado por: El_Andaluz en 30 Octubre 2021, 16:16 pm Citar De esta forma seria posible ver las contraseñas que viajan encriptadas? Cuando lleves un rato, detén la captura y prueba los siguientes filtros para ver cuantas contraseñas “viajan” por tu red en texto plano: Credenciales con POP: Código: pop.request.command == "USER" || pop.request.command == "PASS" Credenciales con IMAP: Código: imap.request contains "login" Credenciales con SMTP: Código: smtp.req.command == "AUTH" Filtrar peticiones HTTP con el método POST: Código: http.request.method == "POST" Y cuando encuentres estos paquetes, pulsa sobre ellos con el botón derecho y selecciona “Follow TCP Stream”. Mira la información que te aparece y a ver cuantos “user y passwords” encuentras. https://borrowbits.com/2013/12/sniffing-contrasenas-con-wireshark/ (https://borrowbits.com/2013/12/sniffing-contrasenas-con-wireshark/) Título: Re: Wireshark Publicado por: orion999 en 31 Octubre 2021, 00:15 am https://borrowbits.com/2013/12/sniffing-contrasenas-con-wireshark/ Mas o menos lo que te dice el compañero , un poco mas extenso y citando la fuente de donde lo sacó. Un saludo. Título: Re: Wireshark Publicado por: pipiolin en 1 Noviembre 2021, 20:53 pm Gracias a todos.
He ido un paso mas allá y he dirigido hacia mi móvil un ataque con bettercap para poder descifrar todos los paquetes https convirtiéndolos en http con un proxy. (no se si estoy diciendo una burrada) Funciona y puedo ver todas las paginas visitadas así como algunas claves. El caso es que al navegar desde mi móvil la conexión se hace tan lenta que es imposible navegar. ¿Es normal? Supongo que si.. Muchas gracias Un saludo. |