of 16
8/19/2019 capturando datos
1/16
Si usted tiene fácil acceso a la red, ya sea abierto o encriptadas con WEP o WPA, los archivos
de captura puede mostrar una gran cantidad de información sobre lo que la red de destino se
proponía
dsniff El !oolSuite, consiste en dsniff, filesnarf, mailsnarf, msgsnarf , urlsnarf y WebSpy "oy a
estar mirando#urlsnarf muestra los sitios $eb %&'(s) que fueron visitadas con redes de
deriva pueden mostrar fotos de los sitios $eb visitados %*offff ) dsniff puede mostrar las
contrase+as utiliadas en formularios $eb mailsnarf muestra correos electrónicos
descargados -ásicamente lo que estamos haciendo es# . la captura de tráfico de red
utiliando airodump . descifrar el tráfico de red utiliando airdecap . repetir el tráfico de red
utiliando tcpreplayy el uso de las herramientas anteriores para echa un vistao a la sesión de
red Primera parada es identificar la red que desea supervisar
airmon/ng
airmon/ng start $lan0
airodump/ng mon0
8/19/2019 capturando datos
2/16
-usque la red, especifique el archivo del canal, bssid y salida
airodump/ng/c mon0 1 / bssid 00233244255211266/$ $pa
A medida que se captura desde una red WPA, y desea descifrar lateron, un apretón de manos
debe estar en el archivo de captura
%(os paquetes sólo se descifran a partir del momento en que se obtuvo el apretón de manos)
Así que despu7s de arrancar el airodump captura, inicie una nueva consola y deauth un
usuario forar que el usuario vuelva a asegurar el apretón de manos estarán en el archivo de
captura#
%aquí hice el ataque deauth dos veces para asegurarse de que la captura sería incluido)
aireplay/ng /0 /6 mon0/a 66211255244233200 00233244255211266/c
8/19/2019 capturando datos
3/16
En airodump veremos el apretón de manos capturado en la parte superior derecha de la
pantalla Ahora %el P8 de destino) felimente navegar fuera y despu7s de un tiempo detener
la captura de airodump Para descifrar el archivo de captura WPA, utiliaremos airdecap/
ng !to descifrar correctamente necesitamos el ESS9: de la red, el archivo de captura con
apretón de manos y la frase de contrase+a WPA
8/19/2019 capturando datos
4/16
airdecap/ng/e ESS9:/p ;$pa Abre una nueva consola y puesta en marcha urlsnarf, especificando la interfa local#
8/19/2019 capturando datos
5/16
urlsnarf/i lo
Para reproducir la sesión de red, utiliamos tcpreplay en la interfa local usando el archivo
descifrado#
tcpreplay/i lo $pa/03/deccap
En la consola e?ecutando urlsnarf usted verá los detalles que vienen en los sitios $eb
visitados Para acelerar la reproducción, puede utiliar la opción/t para ir tan rápido como
sea posible
tcpreplay/i lo/t $pa/03/deccap
8uando la reproducción se haya completado, simplemente se detiene y se puede cerrar el
cierre de las otras consolas despu7s de comprobar lo que quería comprobar
Puede e?ecutar las herramientas ?untas#
Abre consolas separadas para cada instrumento, precisando de nuevo la interfa local
8/19/2019 capturando datos
6/16
dsniff/i lo
mailsnarf/i lo
redes de deriva/i lo
%'edes de deriva se abre una ventana que muestra las redes de deriva separada fotos) (uego,
cuando esos son, abrir una consola y e?ecutar tcpreplay/i lo $pa/03/deccap :espu7s de
visitar varios sitios, introducir contrase+as a los sitios, revisando mi correo electrónico en
*utloo@ E=press, cheques varios semi/decente sitios !os mis resultados
fueron2 urlsnarf funciona bien en mostrar las &'( visitadas, nada que destacar en ese país A
continuación los resultados de la comprobación hacia fuera uno de 'eino &nido Bme?oresB los
periódicos
redes de derivaCo muestra la cantidad de fotos que estaba esperando a ver pero se muestra muy pocos,
8/19/2019 capturando datos
7/16
depende de la especie de los sitios visitados, tendrá que hacer la comprobación de un poco
más en este caso
A continuación le consecuencia de su navegación a trav7s de dicho periódico en la ventana de
redes de deriva Du7 clase >
Si CSFW emigrar #)
dsniff
sólo funcionaba en 3 de cada 6 sitios pass$orded he intentado, no demasiado impresionado,
pero bastante aliviado de ser honesto>
(os resultados de un ?uego de navegador estoy en#
mailsnarf
a veces mostró correos electrónicos que he descargado desde *utloo@ E=press, a veces no
8uando tuve varios correos que les mostraba, cuando yo sólo 3 para descargar, no fue así,
parte del resultado del tiempo que hio el traba?o#
En con?unto, no un resultado impecable, pero sin duda interesante y entretenido> Gasta
ahora no he podido conseguir traba?o utiliando WebSpy tcpreplay, una pena, ya WebSpy se
informa, capa de mostrar el uso de 9nternet en tiempo real en una ventana del navegador, lo
que yo había esperado que podrá realiarse mediante tcpreplay tambi7n !engo que
profundiar en esto más adelante voy a seguir buscando más en la forma de obtener los
má=imos resultados de estas herramientas y actualiando este post en consecuencia
8/19/2019 capturando datos
8/16
P & - ( 9 8 A : * P * ' 8 9 C ! A E C 3H25I
!he toolsuite dsniff, consists of dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf and $ebspy
9;ll be loo@ing at #
urlsnarf sho$s the $ebsites %urls) $hich $ere visited
driftnet can sho$ pics of $ebsites visited %ooffff)
dsniff can sho$ pass$ords used in $ebforms
mailsnarf sho$s do$nloaded emails
-asically $hat $e are doing is#
. capturing net$or@ traffic using airodump
. decrypting the net$or@ traffic using airdecap
. replaying the net$or@ traffic using tcpreplay
and using the above tools to chec@ out the net$or@ session
First stop is to identify our net$or@ that $e $ant to monitor
airmon/ng
airmon/ng start $lan0
airodump/ng mon0
http://adaywithtape.blogspot.com.es/2009/09/monitoring-network-with-dsniff-urlsnarf.htmlhttp://adaywithtape.blogspot.com.es/2009/09/monitoring-network-with-dsniff-urlsnarf.html
8/19/2019 capturando datos
9/16
(ocate the net$or@, specify channel, bssid and output file
airodump/ng mon0 /c 1 //bssid 00233244255211266 /$ $pa
As $e are capturing from a WPA net$or@, and $ant to decrypt lateron, a handsha@e needs to
be in the capture file
%!he pac@ets $ill only be decrypted as from the moment the handsha@e is obtained)
So after starting the airodump capture, start a ne$ console and deauth a user forcing that
user to reconnect ensuring the handsha@e $ill be in the capture file #
%Gere i did the deauth attac@ t$ice ?ust to be sure the capture $ould be included)
aireplay/ng mon0 /0 /6 /a 00233244255211266 /c 66211255244233200
8/19/2019 capturando datos
10/16
9n airodump $e $ill see the handsha@e captured in the top right of the screen
Co$ $e %the target P8) happily bro$se a$ay and after a $hile stop the airodump capture
8/19/2019 capturando datos
11/16
!o decrypt the WPA capture file, $e $ill use airdecap/ng
!to correctly decrypt $e need the net$or@ ESS9:, the capture file $ith handsha@e and the
WPA passphrase
airdecap/ng /e ESS9: /p ;$pa
*pen a ne$ console and startup urlsnarf, specifying the local interface#
urlsnarf /i lo
!o replay the net$or@ session, $e use tcpreplay on the local interface using the decrypted
file #
8/19/2019 capturando datos
12/16
tcpreplay /i lo $pa/03/deccap
9n the console running urlsnarf you $ill see details coming by of the $ebsites visited
!o speed up the replay, you can use the /t option to go as fast as is possible
tcpreplay /i lo /t $pa/03/deccap
When the replay is completed it simply stops and you can close the close the other consoles
after chec@ing $hat you $anted to chec@
Jou can run the tools together #
*pen up seperate consoles for each tool, again specifying the local interface
dsniff /i lo
mailsnarf /i lo
driftnet /i lo
%driftnet opens up a seperate driftnet $indo$ sho$ing the pictures)
!hen $hen those are up, open a console and run tcpreplay /i lo $pa/03/deccap
8/19/2019 capturando datos
13/16
After visiting several sites, entering pass$ords to sites, chec@ing my email on *utloo@
E=press, chec@ing several semi/decent sites cough my results $ere #
urlsnarf
$or@s $ell in sho$ing the urls visited, nothing to remar@ on there
-elo$ the results of chec@ing out one of &K;s BfinestB ne$spapers
driftnet
:id not sho$ the amount of pics 9 $as e=pecting to see but does sho$ quite a fe$, it
depends on the sort of sites visited, $ill need to do some more chec@ing on this one
-elo$ he result of bro$sing through said ne$spaper in the driftnet $indo$ What class >
9f CSFW emigrate #)
8/19/2019 capturando datos
14/16
dsniff
*nly $or@ed on 3 out 6 pass$orded sites 9 tried, not too impressed, but quite relieved to be
honest >
!he results from a bro$ser game 9 am into#
8/19/2019 capturando datos
15/16
mailsnarf
sometimes sho$ed emails 9 do$nloaded from *utloo@ E=press, sometimes didn;t
When 9 had several mails it sho$ed them, $hen 9 only 3 to do$nload, it didnt, part of a result
of the time it did $or@ #
8/19/2019 capturando datos
16/16
All in all not a fla$less result, but definately interesting and entertaining >
As yet 9 have been unable to get $ebspy $or@ing using tcpreplay, a shame as $ebspy is
reportedly able to
sho$ realtime internet use in a bro$ser $indo$, $hich 9 had hoped $ould be able to be done
using tcpreplay as $ell
Gave to loo@ deeper into this later on
9 $ill be loo@ing further into ho$ to get ma=imum results from these tools and updating this
post accordingly
P*S!E: -J !APE A!