capturando datos

8/19/2019 capturando datos

1/16

Si usted tiene fácil acceso a la red, ya sea abierto o encriptadas con WEP o WPA, los archivos

de captura puede mostrar una gran cantidad de información sobre lo que la red de destino se

proponía

dsniff El !oolSuite, consiste en dsniff, filesnarf, mailsnarf, msgsnarf , urlsnarf y WebSpy "oy a

estar mirando#urlsnarf muestra los sitios $eb %&'(s) que fueron visitadas con redes de

deriva pueden mostrar fotos de los sitios $eb visitados %*offff ) dsniff puede mostrar las

contrase+as utiliadas en formularios $eb mailsnarf muestra correos electrónicos

descargados -ásicamente lo que estamos haciendo es# . la captura de tráfico de red

utiliando airodump . descifrar el tráfico de red utiliando airdecap . repetir el tráfico de red

utiliando tcpreplayy el uso de las herramientas anteriores para echa un vistao a la sesión de

red Primera parada es identificar la red que desea supervisar

airmon/ng

airmon/ng start $lan0

airodump/ng mon0


2/16

-usque la red, especifique el archivo del canal, bssid y salida

airodump/ng/c mon0 1 / bssid 00233244255211266/$ $pa

A medida que se captura desde una red WPA, y desea descifrar lateron, un apretón de manos

debe estar en el archivo de captura

%(os paquetes sólo se descifran a partir del momento en que se obtuvo el apretón de manos)

Así que despu7s de arrancar el airodump captura, inicie una nueva consola y deauth un

usuario forar que el usuario vuelva a asegurar el apretón de manos estarán en el archivo de

captura#

%aquí hice el ataque deauth dos veces para asegurarse de que la captura sería incluido)

aireplay/ng /0 /6 mon0/a 66211255244233200 00233244255211266/c


3/16

En airodump veremos el apretón de manos capturado en la parte superior derecha de la

pantalla Ahora %el P8 de destino) felimente navegar fuera y despu7s de un tiempo detener

la captura de airodump Para descifrar el archivo de captura WPA, utiliaremos airdecap/

ng !to descifrar correctamente necesitamos el ESS9: de la red, el archivo de captura con

apretón de manos y la frase de contrase+a WPA


4/16

airdecap/ng/e ESS9:/p ;$pa Abre una nueva consola y puesta en marcha urlsnarf, especificando la interfa local#


5/16

urlsnarf/i lo

Para reproducir la sesión de red, utiliamos tcpreplay en la interfa local usando el archivo

descifrado#

tcpreplay/i lo $pa/03/deccap

En la consola e?ecutando urlsnarf usted verá los detalles que vienen en los sitios $eb

visitados Para acelerar la reproducción, puede utiliar la opción/t para ir tan rápido como

sea posible

tcpreplay/i lo/t $pa/03/deccap

8uando la reproducción se haya completado, simplemente se detiene y se puede cerrar el

cierre de las otras consolas despu7s de comprobar lo que quería comprobar

Puede e?ecutar las herramientas ?untas#

Abre consolas separadas para cada instrumento, precisando de nuevo la interfa local


6/16

dsniff/i lo

mailsnarf/i lo

redes de deriva/i lo

%'edes de deriva se abre una ventana que muestra las redes de deriva separada fotos) (uego,

cuando esos son, abrir una consola y e?ecutar tcpreplay/i lo $pa/03/deccap :espu7s de

visitar varios sitios, introducir contrase+as a los sitios, revisando mi correo electrónico en

*utloo@ E=press, cheques varios semi/decente sitios !os mis resultados

fueron2 urlsnarf funciona bien en mostrar las &'( visitadas, nada que destacar en ese país A

continuación los resultados de la comprobación hacia fuera uno de 'eino &nido Bme?oresB los

periódicos

redes de derivaCo muestra la cantidad de fotos que estaba esperando a ver pero se muestra muy pocos,


7/16

depende de la especie de los sitios visitados, tendrá que hacer la comprobación de un poco

más en este caso

A continuación le consecuencia de su navegación a trav7s de dicho periódico en la ventana de

redes de deriva Du7 clase >

Si CSFW emigrar #)

dsniff

sólo funcionaba en 3 de cada 6 sitios pass$orded he intentado, no demasiado impresionado,

pero bastante aliviado de ser honesto>

(os resultados de un ?uego de navegador estoy en#

mailsnarf

a veces mostró correos electrónicos que he descargado desde *utloo@ E=press, a veces no

8uando tuve varios correos que les mostraba, cuando yo sólo 3 para descargar, no fue así,

parte del resultado del tiempo que hio el traba?o#

En con?unto, no un resultado impecable, pero sin duda interesante y entretenido> Gasta

ahora no he podido conseguir traba?o utiliando WebSpy tcpreplay, una pena, ya WebSpy se

informa, capa de mostrar el uso de 9nternet en tiempo real en una ventana del navegador, lo

que yo había esperado que podrá realiarse mediante tcpreplay tambi7n !engo que

profundiar en esto más adelante voy a seguir buscando más en la forma de obtener los

má=imos resultados de estas herramientas y actualiando este post en consecuencia


8/16

P & - ( 9 8 A : * P * ' 8 9 C ! A E C 3H25I

!he toolsuite dsniff, consists of dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf and $ebspy

9;ll be loo@ing at #

urlsnarf sho$s the $ebsites %urls) $hich $ere visited

driftnet can sho$ pics of $ebsites visited %ooffff)

dsniff can sho$ pass$ords used in $ebforms

mailsnarf sho$s do$nloaded emails

-asically $hat $e are doing is#

. capturing net$or@ traffic using airodump

. decrypting the net$or@ traffic using airdecap

. replaying the net$or@ traffic using tcpreplay

and using the above tools to chec@ out the net$or@ session

First stop is to identify our net$or@ that $e $ant to monitor

airmon/ng

airmon/ng start $lan0

airodump/ng mon0

http://adaywithtape.blogspot.com.es/2009/09/monitoring-network-with-dsniff-urlsnarf.htmlhttp://adaywithtape.blogspot.com.es/2009/09/monitoring-network-with-dsniff-urlsnarf.html


9/16

(ocate the net$or@, specify channel, bssid and output file

airodump/ng mon0 /c 1 //bssid 00233244255211266 /$ $pa

As $e are capturing from a WPA net$or@, and $ant to decrypt lateron, a handsha@e needs to

be in the capture file

%!he pac@ets $ill only be decrypted as from the moment the handsha@e is obtained)

So after starting the airodump capture, start a ne$ console and deauth a user forcing that

user to reconnect ensuring the handsha@e $ill be in the capture file #

%Gere i did the deauth attac@ t$ice ?ust to be sure the capture $ould be included)

aireplay/ng mon0 /0 /6 /a 00233244255211266 /c 66211255244233200


10/16

9n airodump $e $ill see the handsha@e captured in the top right of the screen

Co$ $e %the target P8) happily bro$se a$ay and after a $hile stop the airodump capture


11/16

!o decrypt the WPA capture file, $e $ill use airdecap/ng

!to correctly decrypt $e need the net$or@ ESS9:, the capture file $ith handsha@e and the

WPA passphrase

airdecap/ng /e ESS9: /p ;$pa

*pen a ne$ console and startup urlsnarf, specifying the local interface#

urlsnarf /i lo

!o replay the net$or@ session, $e use tcpreplay on the local interface using the decrypted

file #


12/16

tcpreplay /i lo $pa/03/deccap

9n the console running urlsnarf you $ill see details coming by of the $ebsites visited

!o speed up the replay, you can use the /t option to go as fast as is possible

tcpreplay /i lo /t $pa/03/deccap

When the replay is completed it simply stops and you can close the close the other consoles

after chec@ing $hat you $anted to chec@

Jou can run the tools together #

*pen up seperate consoles for each tool, again specifying the local interface

dsniff /i lo

mailsnarf /i lo

driftnet /i lo

%driftnet opens up a seperate driftnet $indo$ sho$ing the pictures)

!hen $hen those are up, open a console and run tcpreplay /i lo $pa/03/deccap


13/16

After visiting several sites, entering pass$ords to sites, chec@ing my email on *utloo@

E=press, chec@ing several semi/decent sites cough my results $ere #

urlsnarf

$or@s $ell in sho$ing the urls visited, nothing to remar@ on there

-elo$ the results of chec@ing out one of &K;s BfinestB ne$spapers

driftnet

:id not sho$ the amount of pics 9 $as e=pecting to see but does sho$ quite a fe$, it

depends on the sort of sites visited, $ill need to do some more chec@ing on this one

-elo$ he result of bro$sing through said ne$spaper in the driftnet $indo$ What class >

9f CSFW emigrate #)


14/16

dsniff

*nly $or@ed on 3 out 6 pass$orded sites 9 tried, not too impressed, but quite relieved to be

honest >

!he results from a bro$ser game 9 am into#


15/16

mailsnarf

sometimes sho$ed emails 9 do$nloaded from *utloo@ E=press, sometimes didn;t

When 9 had several mails it sho$ed them, $hen 9 only 3 to do$nload, it didnt, part of a result

of the time it did $or@ #


16/16

All in all not a fla$less result, but definately interesting and entertaining >

As yet 9 have been unable to get $ebspy $or@ing using tcpreplay, a shame as $ebspy is

reportedly able to

sho$ realtime internet use in a bro$ser $indo$, $hich 9 had hoped $ould be able to be done

using tcpreplay as $ell

Gave to loo@ deeper into this later on

9 $ill be loo@ing further into ho$ to get ma=imum results from these tools and updating this

post accordingly

P*S!E: -J !APE A!

Date post:	07-Jul-2018
Category:	Documents
Upload:	larata
View:	214 times
Download:	0 times

capturando datos

Documents