Capturar Credenciales en Texto Plano utilizando WireShark

  • Posted on: 2 October 2014
  • By: ReYDeS

Wireshark es un analizador de protocolos, el cual permite observar aquello suscitándose en las redes a un nivel microscópico. Es una herramienta muy utilizada en diversos tipos de organizaciones o instituciones, la cual se desarrolla gracias a las contribuciones de expertos de todo el mundo.

Para el siguiente ejemplo ser consciente y considerar lo indeseable de transferir credenciales en texto plano a través de las redes. En algunos escenarios el hecho de transferir las contraseñas cifradas no implica necesariamente la confidencialidad de las mismas, pues es harto conocido y difundido el uso de herramientas cuyo propósito principal es tratar de “adivinar” las contraseñas cifradas.

El escenario de los siguientes ejemplos implica la capacidad de definir el estado promiscuo en la interfaz de red, y la utilización en la red local de un dispositivo como un “hub”, lo cual posibilita aceptar tráfico no destinado a nuestro sistema.

Iniciar Wireshark


# wireshark &

Definir la interfaz la interfaz de red desde la cual se realizará la captura, ubicado en el panel inferior izquierdo de Wireshark. En este sistema será “eth0”. Luego proceder a hacer clic en el botón con la aleta de color verte ubicado en el menú superior.

Se establece una conexión hacia un servicio FTP. WireShark mostrará todas las interacciones realizadas entre el cliente y servidor, como el establecimiento de la conexión y el intercambio de las credenciales en texto plano.

<

Para visualizar mejor esta interacción se utiliza la opción “Follow TCP stream” de WireShark, la cual permite visualizar los datos desde un flujo TCP en la forma en que la capa de aplicación lo visualiza.

Con esta acción es más sencillo visualizar el nombre de usuario y contraseña utilizada para autenticarse al servicio FTP.

En ciertos escenarios, aunque la contraseña transmitida este cifrada también, es factible poder capturarla para posteriormente tratar de “descifrarla”. Para el siguiente ejemplo se utilizará una aplicación web.

Se utiliza nuevamente la opción “Follow TCP Stream” de Wireshark.

Notar en la cabecera “Authorization” la inclusión de una codificación en Base64. Resulta muy sencillo decodificarla, con lo cual se obtiene el usuario y contraseña utilizado para autenticarse contra una aplicación web.


# echo "dXNlcjp1c2Vy" | base64 -d

Fuentes:

https://www.wireshark.org/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete