El tiburon sniffeando de forma remota con Wireshark

6 comments
Ahora venimos con un TIP que es poco conocido, el uso de Wireshark como un agente de sniffeo remoto, es decir el poder escuchar a partir de otra tarjeta de red en un equipo, seria pivotear!!! ;) ya lo veremos mas a fondo a continuación.


Primero logramos compromete una pc, pero no podemos ver lo que anda en el trafico circulando quizás podemos identificar algunos credenciales que navegan en texto claro por la red para ello lo que hacemos es tras la explotación poder visualizar el resto, tal vez alguno se le ocurra la instalación de wireshark y por escritorio remoto, poder visualizar :P pero  naaaa eso nos puede delatar, entonces ahí viene el tiburón con su opción de sniffeo remoto.


Por ello lo que haremos es  instalar en el host remoto WinPcap, el bichito que se instala junto a wireshark para instalar esto podemos ver de mil y un formas por decirlo desde Ing Social, hasta tomando el control del equipo por medio de una shell, o por un escritorio remoto.

Tras la instalación de WinPcap en el equipo se crea un nuevo servicio que se llama Remote Packet Capture Protocol, el cual anda off y tiene que ser levantado iniciado de forma manual el proceso para poder mandarlo arriba depende de cada uno, podemos hacerlo por medio de la shell obtenida y acceder a WinpPcap y de ahí lanzarlo con rpcapd -n o con alguna herramienta adicional eso ya se los dejo a su imaginación.

Iniciando el Servicio
Mi primera prueba fue arrancar el servicio e intentar conectarme, pero no conseguía validarme. La solución que encontré fue arrancar el servicio sin necesidad de autenticación, escribiendo rpcapd -n en una ventana de comandos.

Configuraciones

Despues vamos a capture, interfaces y options. 





Tras ello obtendremos la captura de arriba nos vamos a Add y procedemos a llenar los puntos respectivos.


 Tras realizar esto veremos que ya se tiene la interfaz adicionada 


Tras realizar esto ya tenemos la interfaz solo queda iniciar la captura de paquetes de forma remota.


Espero les agrade el tip, y a usarlo en los pentesting!

Regards,
Snifer

6 comentarios

  1. interesante para usarlo con un raspberry pi

    ResponderEliminar
  2. Esa sección de uso no se me vino a la cabeza!!!

    Buena!

    Regards,
    Snifer

    ResponderEliminar
  3. Es más fácil realizar lo mismo desde metasploit a partir de una shell, el instalar winpcap, te delata, pero esta bien para algún noob

    ResponderEliminar
  4. Si es mas facil como lo dices, pero que sucede si se pierde la shell ??? no obtenemos ya acceso?, el winpcap delata si el otro sabe que lo instalaste de otro modo si es un usuario normal no se dara cuenta.

    El punto de vista de este uso es post explotación que se puede dar.

    Regards,
    Snifer

    ResponderEliminar
  5. Snifer tengo unas preguntar muy basicas tengo que instalar el WinPcap en otra computadora tengo que tener un puerto abierto cual quiera? o tiene que ser el mismo ahora si se supone que lo instalo en otra computadora ahi mismo lo tengo que leventar y la ip que esta poniendo es de la misma computadora que instalamos el winpcap?

    ResponderEliminar
    Respuestas
    1. Hola Anónimo, las respondo cada una...

      1.- El puerto abierto tiene que ser el que levantes con el Winpcap.

      2.- Si tienes que levantarlo, para hacerlo puedes currarte un PowerShell o un batch.

      3. Claro que si tiene que ser la ip donde isntalaste el winpcap.

      Regards,
      Snifer

      Eliminar