Wireshark

Iniciado por pipiolin, 27 Octubre 2021, 22:25 PM

0 Miembros y 1 Visitante están viendo este tema.

pipiolin

Buenas a todos!

Os llevo leyendo bastante tiempo y probando cosillas que veo ya que me interesa estudiar sobre el tema de seguridad.
El caso es que probando Wireshark no consigo ver paginas webs ni imagenes ni nada.
Capturar me captura muchos paquetes pero no consigo ver nada.
No encuentro por ejemplo archivos GIF (despues de estar viendo varios en la web) ni tampoco encuentro nada filtrando HTTP..
Lo he probado en windodws y en kali.
se que algo estoy haciendo mal pero no se el que.
Decir que intento ver las paginas visitadas de mi propio pc (no de otro de la red local)
¿alguna ayuda?

Muchas gracias

Un saludo

MCKSys Argentina

Hola!

Sabes que en Wireshark ves sólo paquetes, no? No es un navegador. Por ejemplo, no verás las imágenes per-se, pero sí verás el contenido del archivo de la imagen (el cual puedes escribir en disco y luego visualizar; pero nos vamos del tema).

Además, si usas un browser y capturas lo navegado, ten en cuenta que si visitas sitios "HTTPS", en Wireshark verás los paquetes cifrados.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


pipiolin

#2
Cita de: MCKSys Argentina en 27 Octubre 2021, 22:30 PM
Hola!

Sabes que en Wireshark ves sólo paquetes, no? No es un navegador. Por ejemplo, no verás las imágenes per-se, pero sí verás el contenido del archivo de la imagen (el cual puedes escribir en disco y luego visualizar; pero nos vamos del tema).

Además, si usas un browser y capturas lo navegado, ten en cuenta que si visitas sitios "HTTPS", en Wireshark verás los paquetes cifrados.

Saludos!

Gracias por tu respuesta!
Sí, se que solo veo paquetes. Pero he visto tutoriales y la gente logra saber que pagina es la que se esta visitando. Y al tema de las imagenes me referia a lo que dices, a ver el archivo y luego grabarlo en el disco.
¿hay que hacer algo para poder ver que pagina se visita?
Gracias de nuevo


Puede ser que tenga que meter mi clave en algún sitio para así descifrar los datos? Es a la conclusión que llego después de mucho leer..

MOD: No hacer doble post

MCKSys Argentina

Hola!

Para ver los paquetes cifrados, necesitas configurar el sistema.

Revisa este post: https://wiki.wireshark.org/TLS En especial la parte de Using the (Pre)-Master-Secret.

También puede servirte: https://charlesreid1.com/wiki/MITM_Labs/Decrypting_HTTPS_Traffic_by_Obtaining_Browser_SSL_Session_Info

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


pipiolin

Cita de: MCKSys Argentina en 27 Octubre 2021, 23:15 PM
Hola!

Para ver los paquetes cifrados, necesitas configurar el sistema.

Revisa este post: https://wiki.wireshark.org/TLS En especial la parte de Using the (Pre)-Master-Secret.

También puede servirte: https://charlesreid1.com/wiki/MITM_Labs/Decrypting_HTTPS_Traffic_by_Obtaining_Browser_SSL_Session_Info

Saludos!

Buenas noches!
He estado leyendo todo lo que me pasaste.
He usado el premaster. Usando Networkminer para leer los resultados de wireshark he podido ver sin problemas las paginas webs que se han visitado. Así como imágenes de dichas paginas webs.
Ahora me surge una duda.
De esta forma seria posible ver las contraseñas que viajan encriptadas?
me salen varias credenciales pero me salen encriptadas. ¿habría posibilidad de verlas? ¿Cómo protegerse de esto?

Un saludo y gracias

El_Andaluz

#5
CitarDe esta forma seria posible ver las contraseñas que viajan encriptadas?


Cuando lleves un rato, detén la captura y prueba los siguientes filtros para ver cuantas contraseñas "viajan" por tu red en texto plano:


Credenciales con POP:

pop.request.command == "USER" || pop.request.command == "PASS"


Credenciales con IMAP:

imap.request contains "login"


Credenciales con SMTP:


smtp.req.command == "AUTH"



Filtrar peticiones HTTP con el método POST:

http.request.method == "POST"


Y cuando encuentres estos paquetes, pulsa sobre ellos con el botón derecho y selecciona "Follow TCP Stream".

Mira la información que te aparece y a ver cuantos "user y passwords" encuentras.



orion999



https://borrowbits.com/2013/12/sniffing-contrasenas-con-wireshark/

Mas o menos lo que te dice el compañero , un poco mas extenso y citando la fuente de donde lo sacó.

Un saludo.
debajo del rio amarillo... no hay dios que se encienda un pitillo

pipiolin

Gracias a todos.

He ido un paso mas allá y he dirigido hacia mi móvil un ataque con bettercap para poder descifrar todos los paquetes https convirtiéndolos en http con un proxy. (no se si estoy diciendo una burrada)
Funciona y puedo ver todas las paginas visitadas así como algunas claves.
El caso es que al navegar desde mi móvil la conexión se hace tan lenta que es imposible navegar.
¿Es normal? Supongo que si..

Muchas gracias
Un saludo.