+7 950 002 35 21

Wireshark, захват паролей.

  1. (Будьте внимательны и осторожны)

  2. Материал создан не для взлома и захвата личных данных. А с целью дать понять схему и принцип защиты простому пользователю его данных.
  3. Очень часто они(ваши данные) передаются по сети не в защищенном виде. Поэтому если сайт, на котором вы пытаетесь авторизоваться, использует HTTP протокол, то очень просто выполнить захват этого трафика, проанализировать его с помощью Wireshark и далее с помощью специальных фильтров и программ найти и расшифровать пароль. Но не отчайвайтесь, чтобы ваши пароли перехватить надо подключится к вашей сети. WiFi например надо сначало узнать пароль а уже потом и другие пароли на ваши ресурсы. Почему в данное время много говорят о том что не стоит подключаться к WiFi в кафе или в других не знакомых местах. Потому что ваш трафик пойдет по этой сети, а дальше, что дальше, читайте дальше.
  4. Лучшее место для перехвата паролей – ядро сети, где ходит трафик всех пользователей к закрытым ресурсам (например, почта) или перед маршрутизатором для выхода в Интернет, при регистрациях на внешних ресурсах. Настраиваем зеркало и мы готовы почувствовать себя хакером.
  5. Теперь все по порядку :

    Шаг 1. Устанавливаем и запускаем Wireshark для захвата трафика
  6. Иногда для этого достаточно выбрать только интерфейс, через который мы планируем захват трафика, и нажать кнопку Start. В нашем случае делаем захват по беспроводной сети.
  7. Захват трафика начался.
  8. Шаг 2. Фильтрация захваченного POST трафика
  9. Открываем браузер и пытаемся авторизоваться на каком-либо ресурсе с помощью логина и пароля. По завершению процесса авторизации и открытия сайта мы останавливаем захват трафика в Wireshark. Далее открываем анализатор протоколов и видим большое количество пакетов. Именно на этом этапе большинство ИТ-специалистов сдаются, так как не знают, что делать дальше. Но мы знаем и нас интересуют конкретные пакеты, которые содержат POST данные, которые формируются на нашей локальной машине при заполнении формы на экране и отправляются на удаленные сервер при нажатии кнопки «Вход» или «Авторизация» в браузере.
  10. Вводим в окне специальный фильтр для отображения захваченных пакетов: http.request.method == “POST”
  11. И видим вместо тысячи пакетов, всего один с искомыми нами данными.
  12. Шаг 3. Находим логин и пароль пользователя
  13. Быстрый клик правой кнопки мыши и выбираем из меню пункт Follow TCP Steam
  14. После этого в новом окне появится текст, который в коде восстанавливает содержимое страницы. Найдем поля «password» и «user», которые соответствуют паролю и имени пользователя. В некоторых случаях оба поля будут легко читаемы и даже не зашифрованы, но если мы пытаемся захватить трафик при обращении к очень известным ресурсам типа: Mail.ru, Facebook, Вконтакте и т.д., то пароль будет закодирован:
  15. HTTP/1.1 302 Found
  16. Date: Mon, 10 Nov 2014 23:52:21 GMT
  17. Server: Apache/2.2.15 (CentOS)
  18. X-Powered-By: PHP/5.3.3
  19. P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
  20. Set-Cookie: non=non; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
  21. Set-Cookie: password=e4b7c855be6e3d4307b8d6ba4cd4ab91; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
  22. Set-Cookie: scifuser=networkguru; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
  23. Location: loggedin.php
  24. Content-Length: 0
  25. Connection: close
  26. Content-Type: text/html; charset=UTF-8
  27. Таким образом, в нашем случае:
  28. Имя пользователя: networkguru
  29. Пароль: e4b7c855be6e3d4307b8d6ba4cd4ab91
  30. Шаг 4. Определение типа кодирования для расшифровки пароля
  31. Заходим, например, на сайт onlinehashcrack и вводим наш пароль в окно для идентификации. Выбираете протокол кодирования:
  32. MD5
  33. NTLM
  34. MD4
  35. LM
  36. Шаг 5. Расшифровка пароля пользователя
  37. На данном этапе можем воспользоваться утилитой hashcat:
  38. ~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
  39. На выходе мы получили расшифрованным пароль: simplepassword
  40. Таким образом, с помощью Wireshark мы можем не только решать проблемы в работе приложений и сервисов, но и также попробовать себя в роли хакера, осуществляя перехват паролей, которые пользователи вводят в веб-формах. Также можно узнавать и пароли к почтовым ящикам пользователей, используя незатейливые фильтры для отображения:
  41. Протокол POP и фильтр выглядит следующим образом: pop.request.command == "USER" || pop.request.command == "PASS"
  42. Протокол IMAP и фильтр будет: imap.request contains "login"
  43. Протокол SMTP и потребуется ввод следующего фильтра: smtp.req.command == "AUTH"
  44. polosa
    Подписка на новости сайта
    Ваш e-mail: