wireshark usuario y contraseña de windows

Kase · 17 Enero 2012, 17:27 PM

hola.. vengo con una dudota y seguro que me diran usa el buscador pero no encontre nada.. $:-\$

bajo que protocolo busco el usuario y contraseña de windows en wireshark?
o que filtro existe para buscarlo mas facil?

y cuando el usuario de windows es capturado? me imagino que es cuando hay comunicacion entre computadoras... si no no veo motivo para lanzar ese dato a la red.
y tambien funciona con vista/seven?

-- KiLiaN -- · 17 Enero 2012, 20:34 PM

Al iniciar windows y meter tu contraseña (con tu usuario) no se lanza nada a la red es todo local (creo yo vaya), otra cosa es logearte en otro pc de tu red por ejemplo por netbios.

beholdthe · 17 Enero 2012, 23:51 PM

Pues eso yo tb lo pense.
Al iniciar no va por red nada, pero claro, si metes tus credenciales en otro pc, de alguna manera tiene que viajar y poder ser capturada.
Jamas probe como hacerlo

-- KiLiaN -- · 17 Enero 2012, 23:55 PM

Pues dependera del software que uses para realizar esa conexion y el protocolo que utilice ese software para comunicarse, busca en la wikipedia sobre escritorio remoto que te vienen varios programas y tambien te dicen el protocolo que usan.

тαптяα · 18 Enero 2012, 00:09 AM

El link está roto. Si quieres añadir info de todas formas, ponla en el foro, no pegues un enlace de tu blog. Si todos hicíeramos lo mismo el foro sería un campo de enlaces inútiles.

Te va a servir, conseguir contraseña Windows a través de WiFi.

skapunky · 18 Enero 2012, 00:22 AM

Como han dicho...

1º Se inicia windows, se inicia tu sesion (en caso de que exístan sesiones).
2º Se inician las aplicaciónes, servicios, se activa el accéso a redes..

Conclusión: En que moménto quieres capturar esa contraseña, si cuando el usuario la escribe es antes de cualquier conexión?. Además esta contraseña no se envia a la red y el wireshark sirve para capturar paquetes que se salen para internet.

En tal caso sería un keylogger pero tampoco te sirve, porque el pass se inserta antes de que se pueda iniciar.

m0rf · 18 Enero 2012, 02:50 AM

Las autentificaciones en windows se realizan con: LM, NTLMv1, NTLMv2, NTLM Session, NTLMSSP, Kerberos. Entre otras pero estas són las que más utiliza, algunas estan desfasadas como ya sabreis. Si se os ocurre alguna otra comentadla.

Se utiliza en estos protocolos normalmente:SMB,DCE/RPC. Estos otros que supongo se usaran en entorno servidor ms: SMTP,POP3,IMAP,HTTP.

Un sniffer que soporte las autentificaciónes de arriba es Cain&Abel, si el arxiconocido.

Con wireshark he encontrado esto: http://www.wireshark.org/docs/dfref/n/ntlmssp.html
Es el filtro para ntlmssp, en este momento no estoy muy enterado de en que sistema se utiliza pero me parece que utilizan Kerberos normalmente los servidores si tienen en cuenta las advertencias de seguridad.

Supongo que puedes hacerlo con wireshark, pero tendras interpretar los paquetes manualmente con algun programa tal vez o investigar como funciona la autentificación que quieras olisquear.

Bueno nada solo era para dar un poquito de información.

Saludos.

EDITO:

Para linux hay un modulo en metasploit y supongo que con wireshark tienes que filtrar los SMB, para que te llegue tendras que hacer envenenamiento, no lo he probado.
Este es el modulo para metasploit:
http://www.offensive-security.com/metasploit-unleashed/Capture_SMB

Kase · 18 Enero 2012, 05:13 AM

muchas gracias m0rf

creo que el resto se desbio un pokito... es bastante ovio que al iniciar tu session no crren datos por la red..
la pregunta era cuando si...

y lo que mas me interesaba era el protocolo... para saber donde buscar en la inmensidad de paquetes que captura el wireshark =P