Neste artigo, apresentarei um passo a passo sobre como utilizar o Netsniff-ng e o Wireshark para capturar credenciais de login, destinado àqueles que desejam adquirir conhecimentos básicos em ferramentas de teste de penetração utilizando o Kali Linux.
Para ver tudo sobre o que é Netsniff-ng, você pode executar o seguinte comando no Kali Linux.
- Comando:
- man netsniff-ng
O Netsniff-ng é uma ferramenta de interceptação e manipulação de pacotes, essencial para a análise e modificação do tráfego de rede. Sua versatilidade permite aos usuários capturar e ajustar pacotes em tempo real, tornando-a uma ferramenta indispensável para uma variedade de tarefas relacionadas à rede e avaliações de segurança. Com uma estrutura flexível e poderosa, o Netsniff-ng oferece recursos robustos para analisar e alterar o tráfego de rede de forma eficiente.
Por outro lado, o Wireshark destaca-se como um analisador de protocolo de rede de código aberto amplamente reconhecido. Utilizado para a resolução de problemas de rede, análise e avaliação de segurança, o Wireshark é uma ferramenta fundamental para capturar e examinar pacotes de dados em trânsito pela rede. Sua capacidade de exibir informações detalhadas sobre cada pacote facilita aos administradores de rede e profissionais de segurança a obtenção de insights sobre o comportamento da rede, identificando potenciais problemas e ameaças à segurança.
Para iniciar o Netsniff-ng e começar a capturar pacotes de rede na interface eth0, executaremos o comando abaixo. Os pacotes capturados serão salvos em um arquivo de saída chamado "captura.pcap"
- Comando:
- netsniff-ng --in eth0 --out captura.pcap
À medida que abrimos nosso navegador da Web e navegamos para o Google e acessamos a pagina web vulnweb.com, podemos observar o tráfego de rede sendo gerado no terminal Netsniff-ng.
Como aqui o intuito é o aprendizado estarei usando um site projetado para fins educacionais quando o assunto é segurança da informação e hacking
- Link do site:
- vulnweb.com
Com a pagina Web carregada clique em URL do Acuforum na página do Acunetix Vulnhub como mostrado na imagem abaixo
Para o próximo passo devemos clicar na guia de login na parte superior do site como mostrado abaixo.
Aqui irei digitar algo aleatório, então isso fica a sua escolha, para prosseguir digite um nome de usuário e uma senha e clique em Login.
Exemplo que irei utilizar será esse:
- Nome do usuário: foryousec
- Senha: 123456789
Após clicar em Login aparecerá uma mensagem de "Login inválido", mas tudo bem, digitamos algo aleatório apenas para teste. O objetivo é capturar esse pacote contendo as credenciais de login, visitei alguns outros sites apenas pra gerar mais trafego de rede, agora podemos parar de capturar pacotes com o netsniff-ng para isso basta dar um CTRL + C no terminal
Agora no terminal se executarmos o comando ls e poderemos ver o arquivo captura.pcap gerado pelo netsniff-ng.
Agora iremos partir para a segunda etapa, iremos analisar os pacotes capturado com o Wireshark, com o Wireshark aberto iremos temos que abrir o arquivo .pcap, para isso ou usamos o atalho CTRL + O, ou podemos ir em File - Open, e posteriormente abrir o arquivo .pcap gerado pelo netsniff-ng
Após abrir o arquivos iremos ver os pacotes gerados pelo Netsniff-ng dentro no Wireshark como podemos ver na imagem abaixo.
O Wireshark tem recursos avançados que facilitam a vida de quem está analisando pacote de redes, se digitarmos TCP no campo de filtros teremos apenas os pacotes TCP
Para visualizar pacotes DNS, podemos digitar "dns" e observar todas as consultas DNS correspondentes, e assim para os demais filtros, lembrando que podemos usar combinações na busca do Wireshark para filtrarmos apenas o que desejamos analizar
E é assim que você usamos o Netsniff-ng para capturar o tráfego e o Wireshark para analisar pacotes em redes.
Bom depois dessa prévia vamos ao que realmente interessa localizar o nome de usuário e a senha, para isso iremos fazer um filtro HTTP digitando "http", precisamos de pacote específico que é uma solicitação POST.
Uma solicitação POST é um método HTTP usado para enviar dados a um servidor com a finalidade de criar ou atualizar um recurso nesse servidor. Em alguns casos, esse tipo de solicitação também pode conter credenciais de login, especialmente quando um usuário está tentando autenticar e acessar recursos ou serviços restritos.
Acima podemos ver a solicitação POST que precisamos abrir. Clique duas vezes no pacote para abri-lo.
Para visualizar as credenciais de login do pacote que capturamos com o Netsniff-ng, basta clicar em HTML Form URL, e ali estará as informações de login usadas para fazer o testes.
É importante salientar que, embora esta ferramenta possam não capturar pacotes HTTPS, é essencial reconhecer que redes mal implementadas ou desprotegidas por HTTPS ainda estão suscetíveis a diversos riscos de segurança. Mesmo ao lidar apenas com o tráfego HTTP, a exposição a ameaças persiste se a rede não estiver adequadamente protegida."
Atenção
Lembramos que as técnicas de hacking apresentadas em nosso blog são para uso em ambientes controlados e com autorização. Aplicá-las em redes não autorizadas é ilegal e pode ter consequências sérias.
Promovemos o uso responsável do conhecimento em hacking ético para aprimorar a segurança cibernética. Utilize as habilidades aprendidas de forma ética e legal.