Laboratorio: Realizar análisis de protocolos con la herramienta Wireshark

• Wireshark 🎣 es una herramienta que nos ayuda a posicionarnos en medio de una red para analizar su tráfico, detectar vulnerabilidades y capturar datos donde viajan las contraseñas de acceso a otros equipos.

Hola amigos, wireshark solo captura paquetes que circulen a traves de la interfaz seleccionada por eso solo puede analizar el trafico de tu PC, para poder analizar el trafico de toda la red se debe primero realizar un ARP spoofing. Espero les ayude. saludos.

Controles de Wireshark

Tomado de https://comofriki.com/como-usar-wireshark-capturar-filtrar-analizar-paquetes/

Wireshark no escuchaba ftp.

Tenía virtualizado “metasploitable-linux” en VMware y “kali linux” en VirtualBox. Cuando quiero capturar el usuario y la contraseña con wireshark no me mostraba nada. No me había dado cuenta que para trabajar con VMware se genera una subred y para VirtualBox otra subred, imagino que por eso wireshark no podía analizar el tráfico de datos. Al virtualizar los dos sistemas operativos con VMware ya funciono todo, ya estaban en la misma red. =)

En mi caso, uso red NAT interna (para no desactivar firewall en mi computadora) entre tres sistemas virtuales, siendo uno de ellos Windows 7, y en el cual hago las pruebas como indica el profesor. Así, todo queda en un ambiente de prueba sin afectar mi computadora.
Se debe crear una nueva red, la cual se le deberá configurar tanto Adaptador como Servidor DHCP:

Y a cada máquina virtual, en la sección de Red, en el adaptador 1, conectar a red NAT, con el nombre por defecto, y en Avanzadas, Modo promiscuo, Permitir todo:

Con todo eso, podrán ver el tráfico FTP al husmear con Wireshark.

FEEL LIKE MR. ROBOT

En el caso que no puedas ver el trafico ftp desde tu kali, intenta activar el modo promiscuo desde la configuraion de VirtualBox.

El modo promiscuo, nos permite ver por ese adaptador de red todo el trafico que circula por la red no solo el que va a la tarjeta, debe activarse si vamos a poner un sniffer.

Ve a configuración --> red --> avanzadas --> y asegúrate que en modo promiscuo diga “Permitir todo”

Laboratorio: Realizar análisis de protocolos con la herramienta Wireshark

Wireshark es una herramienta que nos ayuda a ser un mediador y poder analizar una red donde viajan los accesos a otros equipos.

Enlace para profundizar el tema 😉
https://www.varonis.com/blog/how-to-use-wireshark/

No muestra tráfico FTP. Estoy intentando capturar el tráfico desde una VM Windows 7 hacia mi metasploitable. Obviamente el wireshark sobre una tercer VM con Kali Linux. No puedo hacerlo desde mi máquina física ya que uso mac y no tiene protocolos ftp desde ciertas versiones del macOS en adelante. Probé desactivando el firewall de la máquina windows y poniendo las redes de todas las máquinas en conexión de tipo “Adaptador puente”… De redes se poco y no encuentro información sobre el tema en internet que contemple mi caso. A alguien le pasó?

Les comparto mi resumen del laboratorio 🤠
RESUMEN DEL LABORATORIO
En esta ocasión se va a realizar la captura de la contraseña de nuestra maquina vulnerable y acceder a ella mediante telnet

1. Primero vamos a garantizar que ambos equipos están en la misma red para ello usamos el comando ping en CMD de Windows, debería aparecernos que existe una respuesta.
2. En Kali Linux abrimos Wireshark ya mea mediante interfaz o en la consola se puede acceder digitando Wireshark, indicamos la captura de trafico
3. En la maquina de Windows en CMD digitamos el comando: ftp ip-de-metasploitable aqui estamos simulando la conexión típica entre dos equipos que pertenecen a la misma empresa, a continuación digitar el usuario y contraseña de metasploitable
4. una vez estemos seguros de que accedimos a la maquina, en Wireshark vamos a poner en la barra del buscador la palabra ftp
5. En Wireshark reconocemos que se ha realizado un intercambio de información mediante las direcciones ip de los equipos.
**6. **Buscamos el mensaje en el cual se muestra el usuario y contraseña que para este caso sera USER msfadmin y PASS msfadmin
7. Por ultimo accedemos a metasploitable desde Kali Linux, ejecutamos en la terminal el comando telnet ip-de-metasploitable, a continuacion nos pedira el usuario y contraseña
|
en Kali Linux estamos simulando una persona externa a la empresa que ha detectado una vulnerabilidad y ha aprovechado esta situación.

Buenos noche, al ejecutar el wireshark me sale el siguiente error

[email protected]:~# wireshark
qt.qpa.xcb: could not connect to display
qt.qpa.plugin: Could not load the Qt platform plugin “xcb” in “” even though it was found.
This application failed to start because no Qt platform plugin could be initialized. Reinstalling the application may fix this problem.

Available platform plugins are: eglfs, linuxfb, minimal, minimalegl, offscreen, vnc, xcb.

Abortado

Hola! Otra manera de visualizar las conversaciones TCP (incluyendo la de FTP vista en este video) es con estos pasos:

Y luego le das click a uno de los logs de wireshark que pertenecen a la conversacion que te interesa y se ve así en orden:

Difícilmente encontraras una computadora que tenga el puerto de telnet abierto, a menos que sea intencional.

poco a poco aprendiendo más y más…

en windows “netstat” muestra los puertos abiertos

No he podido hacer ningún laboratorio 😦( Me quedare solo con la teoría.

es realmente impresionante esta herramienta

Como cifro los password para que no se leean los password cuando un atacante esta dentro de nuestra red y no tenga acceso o lectura a los password usando WireShark o otros programas.

Por eso nunca te fies de una red WiFi abierta, como decia mi abuelito “Nada en la vida es gratis”; por algo te dejan nomas conectarte jejeje

Ejemplo muy básico, el profesor no explica que telnet es un protocolo donde la información se envía en texto plano por lo cual es facilmente vulnerable.

Telnet no se debe usar en ningún ambito.

¿Cómo Wireshark fue capaz de interceptar la comunicación FTP si la conexión iba dirigida a otra máquina?

Cuando hice la prueba de ftp en linux me salio esto y no terminó de cargar

¿Cómo lo soluciono?

Vamos directo a la practica !

colocar telnet y la ip me marca error
dice orden no encontrada

En mi caso me da error al comando telnet, intenté instalarlo pero no he logrado,mi equipo es Mac OS y viene deshabilitada la herramienta telnet, alguien tiene el mismo caso o posible solución? Gracias.

Que fácil se vuelve hackear una PC.

Muy buena practica me funciono al 100%

Muy buena practica.

Hola, forzosamente solo puedes “hackear” la computadora de alguien cuando estás en la misma LAN que esa computadora verdad? Si usas SSH necesitas también necesitas estar en la red local de esa computadora no? Por ejemplo si sabes la IP pública de un servidor de una página x no puedes usar SSH incluso aunque tengas la contraseña porque no estás en la misma LAN estoy en lo correcto? Pero si de alguna manera tu estuvieras dentro de una VPN que se conecta a la red local así si podrías entrar a la computadora de cualquier persona desde cualquier parte del mundo, estoy en lo correcto? De esa manera pueden entrar a tu computadora desde cualquier parte del mundo?

Hola compañeros, deben poder todas las máquinas en modo promiscuo, para que puedan capturar todos los paquetes de la red.

No todo sale al primer intento, insistiendo logre realizar toda la practica
esta es una de las mejores clases que he tenido en Platzi top 5.

Excelente clase, gracias.

mi aporte para esta clase

Wireshark : es una herramienta que nos ayuda a posicionarnos en medio de una red para analizar su tráfico, detectar vulnerabilidades y capturar datos donde viajan las contraseñas de acceso a otros equipos.

Siempre usen Proxy

Cabe mencionar que esto funciona con TELNET porque es un protocolo de sesión remota viejísimo que funciona con texto plano al igual que http por el puerto 80. Por eso desde hace muchos años se utiliza SSH como método de sesión remota al ser encriptado.

Escaneo de puertos mediante wireshark tiene las funcionalidades de un snifer, se coloca delante de una red y analiza toda la información que viaja de un punto a otro.
Para así capturar paquetes de datos y buscar información en claro.

[email protected]: -

Desde el análisis de puertos de la consola :
Para atacar un servicio que este abierto texteamos:

Service —.---.—
Ej_: telnet 192.168.223.8

Una vez dentro puedo que el servicio necesite que ingresemos con un usuario usamos
Wireshark para colocarnos en el medio del servicio y un usuario que ingrese.

Ahora abro una consola de comando emulando una computadora que si tenga el acceso al sistema. Un user normal entregara la contraseña al sistema. (pueden usar honeydrive que ya está instalado)

Para probar la contabilidad uso:
ping --.–.--

Si la maquina quiere conectar a metasploitable

Ftp --.—.–.--

User: msfadmin
Pass: msfadmin

Ahora usaremos wireshark para intervenir:
Wireshark funciona en un entorno grafico donde puedes ver el tráfico de paquetes e inclusive filtrar.
En este caso le damos a la tarjeta eth0 que es la que estamos analizando

Esperamos que el usuario se conecte de nuevo y esperamos que wireshark acumule datos
,filtramos ftp y vemos que la dos ip se comunicaron y hubo un envío de paquetes .

Ahora creo una terminal desde la computadora atacante y desde ahí loguear como usuario.

Lo importante es que el atacante gane el acceso a la red.
Lo importante es la configuración adecuada para prevenir este tipo de situación, que los password viajen de forma cifrada.

Después de renegar un rato para montar la imagen de Kali me di cuenta que necesitaba entrar como administrador, cosa que antes no me pedía !

De ahora en adelante no podre ver a Wireshark con los mismos ojos

Que emoción 😛

Excelente clases! Muy buena practica.

que pasa si pongo el wireshark haciendo lo del video pero captura todo menos los paquetes ftp? estaré haciendo algo mal, desactivado el firewall en todos lados 3 maquinas virtuales distintas win 7 pregunta al metaexploiteable y kali escuchando
también probé con el pc anfitrión con el snifer y entrando por ftp

Que bueno este curso 😄

interesante la práctica

Buena practica !

En este caso muy específico es que evitemos configurar servicios especializados usando puertos estándar. En este caso en vez de configurar nuestro FTP con su puerto predeterminado, podemos optar por poner un puerto distinto.

entonces necesito 3 VM?

Buen curso, para ser una introducción!!

Gracias, buena pactica, qué versión de metaxplotable?

todo muy bien hay qu practicar!!!

muy interesante esta practica

Se conecta mediante el protocolo ftp porque es el (file transfer protocol) o protocolo de transferencía de archivos

Muy interesante!

Cuando se tienen dos Sistemas Operativos en una misma máquina , los programas instalados por ejemplo en windows, se pasan automaticamente el LINUX?

genial

obviamente todo esto es un escenario viable como ejemplo ya que en el presente es muy poco probable este tipos de escenario salvo que sea un misconfiguration pero es aceptable como método para el aprendizaje.

Muy buena practica, pero el servicio en cmd, en ftp se bloqueaba al procesar ls

Nota: En un ambiente productivo el hecho que no responda una máquina un ping, no quiere decir que no sea alcanzable. Puede que tengan ICMP dehabilitado. Pueden cersiorarse con un nmap -Pn a la IP en caso de que el ping no responda.

Buenas Moachos… En la prueba, desde la maquina Mac que tengo todos los servicios virtualizados, doy ping a la maquina a la que me quiero conectar y da respuesta. Pero al tratar de conectarme via ftp no me deje dice comando no encontrado. Pero si lo hago desde la maquina virtual de igual manera si me deja conectarme y crear el directorio… Me pueden dar una mano.

No me muestra nada al filtrar el protocolo ftp en wireshark, alguien sabe porque? 😦

Espectacular esta clase!!! LO que estoy aprendiendo con estos cursos es increible

agradezco,me pudieran orientar para solucionar este error

buena clase

hay que tener los adaptadores de ambas maquinas en puente

Análisis de protocolos (Wireshark)
-interceptar el intercambio de información mediante wireshark
-Una vez conseguida la info deseada ( usuario y contraseña en este caso) probar la intromicion desde la maquina atacante.
-Una vez el atacante consigue tener comunicación puede realizar todo tipo de actividades que vulneren el sistema.

Por si alguien no puede comunicar las dos maquinas virtuales o tiene restringidos ciertos puertos en la red que usan, pueden crear una red NAT en los adaptadores de la sección de red y conectar las 2 maquinas a la misma.

Si requieren conexión a internet para descargar paquetes o establecer conexion con el equipo físico se utiliza el adaptador puente que lo vincula a la tarjeta de red física mediante una “tarjeta de red virtual”.

Consulta, el wireshark no me toma el trafico FTP al querer filtrarlo… el resto lo toma bien. alguein sabra por que?

Excelente clase, bien explicado

Muchas gracias poe el aporte

Hola @atovarg cuando ejecuto wireshark y accedo a la tarjeta eth0 no me genera ningún tráfico. ¿A que se debe?

Yo tengo ambas máquinas configuradas en “adaptador puente” y en “permitir todo” y aún así Wireshark no detecta el tráfico FTP. Y además me sale esto al ejecutar el comando:

┌──(root💀kali)-[/home/kali]
└─# wireshark
QStandardPaths: XDG_RUNTIME_DIR not set, defaulting to '/tmp/runtime-root'

Muchachos, espero me puedan ayudar con la siguiente duda
¿Cómo puedo acceder a una computadora que tiene un puerto abierto para un servicio o aplicación sin que este sea para acceder de manera remota?

Por ejemplo, sabes que el puerto 21 es para ftp, es decir para transferencia de archivos, por lo anti la computadora pide un usuario y contraseña para el acceso y puedas ingresar, pero para un puerto distinto? El cual es utilizado por un sistema X. El profe mencionó en alguna clase que se puede aprovechar la vulnerabilidad del sistema o aplicación que utiliza el puerto. Esto cómo puede ser explotado para que el atacante pueda acceder por medio de ese puerto?

Gracias por tus respuestas

A mi no me detecta el comando telnet
telnet ********** ( command not found)

Me toma todo menos el FTP, porque es eso?

Es increíble lo sencillo que es localizar usuario y contraseña con wireshark.

gente ayuda, no me aparecen los puertos abiertos ni nada de informacion cuando coloco nmap, miren

┌──(kali㉿kali)-[~]
└─$ nmap 192.168.223.*
Starting Nmap 7.91 ( https://nmap.org ) at 2020-12-06 18:11 EST
Nmap done: 256 IP addresses (0 hosts up) scanned in 5.13 seconds
                                                                    

pq cuando pongo telnet y xxx xxx xxx xxx me sale command not found nesesito una ayudita

Peor aún, ahorita con el famoso home office gracias a la pandemia Covid-19, por las redes del internet circulan un sin fin de datos sensibles que las corporaciones al no estar bien preparadas se han vuelto enormemente vulnerables. Ejemplos uso de mensajerías externas a la organización, conexiones a las corporaciones desde una entidad externa, etc.

.