-->

Snifar passwords com o Wireshark

Instalar o Wireshark Packet Sniffer

Requisitos

• Um PC com acesso à Internet no qual se tenham privilégios administrativos.

• Este artigo foi criado em Windows 7

Abrir o browser e aceder a WireShark.org

Fazer o download e instalar a última versão da aplicação que inclui também o driver WinPCap.

Nota: Se tiver problemas com o WinPCap em Windows 10, instalar a versão disponível em http://www.win10pcap.org/

 

Iniciar uma captura

Iniciar a aplicação.

No menu Capture, seleccionar Options

clip_image002

Verifique que as suas interfaces estão em modo promíscuo. Carregue em Manage Interfaces

clip_image004

Na janela Manage Interfaces, seleccionar a interface onde se pretende capturar o tráfego.

clip_image006

De volta à janela inicial, fazer duplo clique na interface para iniciar a captura

clip_image008

Deve começar imediatamente a surgir uma lista dos pacotes capturados no interface de rede selecionado. Todo o tráfego de entrada e saída é mostrado, num excesso de informação para o propósito que desejamos neste artigo.

clip_image010

 

Enviar uma password para um website de teste

Abrir o browser e ir para uma destas páginas:

http://testphp.acunetix.com/login.php

ou

http://testasp.vulnweb.com/Login.asp?RetURL=%2FDefault%2Easp%3F

Introduzir como username OSEUNOME@DOMINIO.LOCAL e como password a palavra topsecretpassword.

clip_image011

Carregar no botão login.

O login vai falhar mas isso não importa.

Na janela do Wireshark clique no botão em forma de quadrado vermelho para parar a captura.

clip_image013

 

Descobrir a password no Wireshark

Na janela do Wireshark, escrever na barra de filtros uma parte do texto que utilizou como nome de utilizador:

frame contains rumos.local

clip_image014

O Wireshark exibe um pacote HTTP contendo o texto procurado. No painel superior do Wireshark, utilizar o botão direito do rato sobre o pacote e seleccionar "Follow/TCP Stream".

clip_image016

Expandir a janela Follow TCP Stream" de modo a que seja possível visualizar OSEUNOME e a topsecretpassword.

clip_image018

Conclusão:

Ao fazer login em websites que usam http simples, as credenciais são enviadas em texto claro e podem ser facilmente capturadas e descobertas.

 

Utilizar um website seguro

Inicie outra captura de pacotes indo ao menu do Wireshark, Capture/Start (ou clicando no botão azul em forma de barbatana no canto superior esquerdo). Uma janela vai perguntar “Do you want to save the captured packets before starting a new capture?" Clique "Continue without saving".

No browser, vá a http://gmail.com. Repare que é imediatamente redireccionado para https://accounts.google.com. Pode utilizar outro website seguro, não tem que ser no GMail

Utilize uma conta válida e a mesma password topsecretpassword.

Clique no botão "Sign in".

clip_image019

O Gmail vai rejeitar as credenciais, tal como o outro website fez.

No Wireshark, clique Capture/Stop.

Procurar a password no Wireshark

No menu do Wireshark, vá a Edit/Find Packet.

clip_image020

Na caixa Find Packet, seleccione String. Introduza a palavra secret, como mostrado na figura.

clip_image021

Na caixa Search In, seleccione Packet bytes. Click Find.

clip_image022

Na barra de estado do Wireshark, surge uma mensagem "No packet contained that string". Isto significa que a o texto da password não foi encontrado em nenhum dos pacotes capturados porque a troca de informação com o website do Gmail foi devidamente cifrada.

clip_image024

Conclusão:

Ao fazer login em websites seguros, as credenciais do utilizador são cifradas pelo protocolo SSL/TLS e, embora o sniffer consiga capturar o tráfego, é virtualmente impossível visualizar o conteúdo da informação trocada com o website seguro

Sem comentários: