Cmo descubrir contraseas y e-mails enviados conWireshark

Si estamos conectados a una red local, sea por cable o va inalmbrica, podemos vigilar el trfico HTTP para descubrir el contenido de correos electrnicos o incluso contraseas de cuentas de usuario en pginas webs o servicios de mensajera instantnea.

Para eso tenemos que usar determinados filtros.

Primero habra que saber la direccin MAC o direccin IP del equipo a travs del cual entra y sale la informacin que queremos obtener. Para eso usaramos uno de estos dos filtros:

ip.addr == 10.22.21.226

Tambin podramos indicar si la informacin entra:

ip.src = 10.22.21.226

O si sale:

ip.dst == 10.22.21.226

Por ltimo para filtrar por direccin mal sera algo as:

eth.src == 00:1d:60:6b:ec:83

1

Ahora que sabemos aplicar ese filtro podemos conjuntarlo con otro que nos muestre solo el trfico http o las acciones GET y POST en este protocolo, es decir:

http.method.request == "GET" | http.method.request == "POST"

El primer filtro nos indicara la informacin que la direccin IP recibe en el trfico HTTP, y el segundo filtro nos servira para ver qu informacin inyecta esa direccin IP en el trfco HTTP.

De modo que ambos filtros se podan combinar del siguiente modo:

ip.addr == 10.22.21.226 and http.request.method == "POST"

Tambin podramos hacer excepciones. Por ejemplo, si ponemos un filtro dentro de un signo de exclamacin y unos parntesis eso omitira los resultados obtenidos de ese filtro en la salida del Wireshark. Por ejemplo ! (http.request.method == "GET" ) omitira todos los resultados del trfico correspondientes. Tambin podramos omitir determinadas direcciones IP o MAC.

Ahora que sabemos esto vamos a crear una cuenta de correo de ejemplo en Gmail, para ver cmo podemos obtener tanto la contrasea como las direcciones de e-mail del emisor, los destinatarios y el contenido de los mensajes enviados desde ah. Tambin lo registraremos en Windows Live ID para ver cmo podemos descubrir la contrasea una vez esa persona se haya conectado a algn medio de mensajera instantnea on-line como eBuddy.

Ahora que tenemos la cuenta creada (victima.wireshark@gmail.com) y registrada para usarla en la red del Windows Live Messenger vamos al programa y aplicamos el siguiente filtro:

ip.addr == 10.22.21.226 and http.request.method == "POST"

Y probamos a enviar un e-mail a alguien.

Le damos al botn enviar y vamos al Wireshark.

Veremos una entrada de trfico en la que ponga POST /mail/?ui= en la informacin del paquete. Hacemos clic con el botn derecho sobre l y escogemos Follow TCP Stream.Nos empezar a filtrar los trazos TCP y nos saldr una ventana como sta:

Aqu si bajamos ms o menos a la mitad veremos lo siguiente (en color rojo):

Veremos cmo donde pone Content-Disposition: form-data; name="from" pone la direccin de e-mail del que enva el correo, as como ms abajo aparecen las direcciones de e-mail del o los destinatarios (Content-Disposition: form-data; name="to") el asunto del email (Content-Disposition: form-data; name="subject") y el cuerpo del mensaje (Content-Disposition: form-data; name="msgbody").

Ahora supongamos que esa persona se conecta al Messenger por eBuddy o algn medio similar que no de la proteccin suficiente. Veramos lo siguiente:

Si debajo en la informacin desplegramos la seccin Line-based text data veramos los siguientes parmetros de envo:

En donde se ve perfectamente la contrasea (password=PepePerez), y ms a la izquierda el nombre de la cuenta de correo a la que corresponde (&username= victima.wireshark%40 gmail.com).

Por ltimo, tambin podramos copiar y pegar el contenido de las cookies. En la seccin Hypertext Transfer Protocol si desplegamos donde pone Cookie y le damos a Follow TCP Stream obtenemos la informacin necesaria. Despus en Firefox, con un editor de cookies, podramos insertar la informacin de la cookie que hemos capturado y acceder a cualquier sitio como la persona que entr en determinada pgina web o servicio web.