El tiburon sniffeando de forma remota con Wireshark
Ahora venimos con un TIP que es poco conocido, el uso de Wireshark como un agente de sniffeo remoto, es decir el poder escuchar a partir de otra tarjeta de red en un equipo, seria pivotear!!! ;) ya lo veremos mas a fondo a continuación.
Primero logramos compromete una pc, pero no podemos ver lo que anda en el trafico circulando quizás podemos identificar algunos credenciales que navegan en texto claro por la red para ello lo que hacemos es tras la explotación poder visualizar el resto, tal vez alguno se le ocurra la instalación de wireshark y por escritorio remoto, poder visualizar :P pero naaaa eso nos puede delatar, entonces ahí viene el tiburón con su opción de sniffeo remoto.
Por ello lo que haremos es instalar en el host remoto WinPcap, el bichito que se instala junto a wireshark para instalar esto podemos ver de mil y un formas por decirlo desde Ing Social, hasta tomando el control del equipo por medio de una shell, o por un escritorio remoto.
Tras la instalación de WinPcap en el equipo se crea un nuevo servicio que se llama Remote Packet Capture Protocol, el cual anda off y tiene que ser levantado iniciado de forma manual el proceso para poder mandarlo arriba depende de cada uno, podemos hacerlo por medio de la shell obtenida y acceder a WinpPcap y de ahí lanzarlo con rpcapd -n o con alguna herramienta adicional eso ya se los dejo a su imaginación.
Iniciando el Servicio |
Mi primera prueba fue arrancar el servicio e intentar conectarme, pero no conseguía validarme. La solución que encontré fue arrancar el servicio sin necesidad de autenticación, escribiendo rpcapd -n en una ventana de comandos.
Configuraciones |
Despues vamos a capture, interfaces y options.
Tras ello obtendremos la captura de arriba nos vamos a Add y procedemos a llenar los puntos respectivos.
Tras realizar esto veremos que ya se tiene la interfaz adicionada
Tras realizar esto ya tenemos la interfaz solo queda iniciar la captura de paquetes de forma remota.
Espero les agrade el tip, y a usarlo en los pentesting!
Gracias por el post