Robando credenciales de acceso con Wireshark en 4 pasos

En esta ocasión, aprenderemos cómo robar credenciales de sitios web sobre HTTP, en una red LAN, utilizando Wireshark.

Y sí... voy a reutilizar pantallas del post anterior "Robando cookies de sesión con Wireshark en 15 pasos", pero no solo pantallas, también el texto 😝

Primero que nada vamos a dar un poco de contexto.

1. Una red local (LAN) implica que sí, será a través de Internet, pero deberás estar conectado a la misma red, ya sea inalámbrica o vía ethernet (por cable) que tu víctima.
2. Vulnerabilidad aprovechada.- Vamos a aprovecharnos de que la página web donde se inicie sesión va sobre HTTP y no HTTPS (aunque es posible hacerlo también sobre HTTPS).
3.   A nuestra víctima no le importa o no sabe nada sobre seguridad de la información, y considera una buena práctica iniciar sesión en una red gratuita, digamos una cafetería, porque le gusta trabajar cómodamente mientras disfruta de su bebida.

¿Qué necesitamos?

1. Una máquina virtual con Kali Linux o con Parrot OS
2. Tener la red de nuestra máquina virtual en modo bridge
3. Estar conectados en la misma red que la víctima
4. Un pasamontañas, por si quieres verte como los hackers que nos pintan en las televisoras 😋 (nunca pasa de moda)

Realizando el ataque

Ya tenemos los datos de la víctima, es decir, la dirección IP y ahora vamos a realizar el ataque.

El tipo de ataque que haremos se conoce como MITM (Man In The Middle). A continuación les dejo un gráfico que les dejará más claro cómo funciona este tipo de ataques.

Como se puede apreciar, básicamente se trata de ponernos entre el usuario víctima y su conexión a Internet, con la finalidad de poder capturar su tráfico y así robar su cookie de sesión. Vamos entonces a realizar el ataque (ahora sí):

1.- Vamos a abrir una terminal y vamos a iniciar wireshark, el cual nos permitirá capturar el tráfico de red de nuestra víctima y con el cual podremos robar las credenciales válidas de sesión. Recuerda que si tienes algún problema al ejecutar el comando wireshark, siempre puedes antecederlo de sudo, quedando como sudo wireshark, o bien, ejecútalo como root.

2.- Una vez abierto wireshark, vamos a dar doble clic sobre nuestra interfaz de red (eth0), para ver la captura de paquetes de red en esa interfaz, donde veremos el tráfico de red de nuestra víctima.

3.- Ya estamos por terminar... ha sido un largo camino para llegar hasta aquí 😒 ahora solo resta hacer un filtro para obtener las credenciales válidas de sesión. Para esto, en wireshark vamos a escribir lo siguiente:

http.request.method == "POST"

Esto nos va a filtrar los paquetes capturados, para facilitarnos encontrar las credenciales válidas.

4.- Ahora vamos a buscar las credenciales válidas dentro de este paquete capturado del método POST. Damos clic en HTML Form URL Encoded: application/x-www-form-urlencoded y ¡listo! Ya tenemos nuestras credenciales válidas para iniciar sesión en la aplicación web (y de nada ha servido que el usuario utilice una contraseña robusta. Ya solo queda copiar este usuario y contraseña e ir a la aplicación web para iniciar sesión.

Esto nos sirve durante las Pruebas de Intrusión para demostrar varias vulnerabilidades:

• Protocolos en texto claro (HTTP)
• Manejo inadecuado de sesiones, sobre todo si nos permite iniciar sesión y no cierra la sesión del otro usuario.

Hasta aquí llega el post de hoy, con imágenes y textos reutilizados del post anterior, pero con un método mucho más corto para el robo de credenciales.