Domanda Intercettare traffico http

[Hero467]

Salve gente,
sto cercando di intercettare del traffico http in una rete con wireshark, e ovviamente sono connesso a quella rete. Per il momento sto facendo delle prove con dei dispositivi miei, ma mi servirà su una rete non mia. La finalità è quella di intercettare username e password del pannello di amministrazione di una rete wifi, che non sono crittografate. Nelle prove che ho fatto non riesco ad intercettare le richieste di altri dispositivi, ma solo del mio, e non mi è molto utile. Ho abilitato la modalità promiscua, ma comunque non vedo il traffico degli altri. Qualche soluzione?

 

[juvann]

leggi qui https://www.inforge.net/forum/threa...ttacco-arp-spoofing-man-in-the-middle.614482/

Messaggio unito automaticamente: 8 Maggio 2023

la modalità promiscua è utile solo su una rete con hub, ma ora ci sono switch ovunque.
Forse con il wifi è utile la modalità promiscua ma anche in quel caso non è detto che riesci a catturare tutto il traffico

 

[Hero467]

leggi qui https://www.inforge.net/forum/threa...ttacco-arp-spoofing-man-in-the-middle.614482/

Purtroppo credo che la macchina che invia la richiesta abbia già in cache l’indirizzo Mac del router, quindi questo genere di attacco sarebbe abbastanza inutile. Mi servirebbe proprio qualcosa per intercettare la richiesta http con tutti i suoi dati

la modalità promiscua è utile solo su una rete con hub, ma ora ci sono switch ovunque.
Forse con il wifi è utile la modalità promiscua ma anche in quel caso non è detto che riesci a catturare tutto il traffico

C’è qualche altra soluzione?

 

[--- Ra ---]

ma mi servirà su una rete non mia

Tieni presente che è un'azione illegale e se dovessero scoprirti potresti passare un bel po' di guai.

Detto questo, ti consiglio di descrivere più dettagliatamente le azioni che hai svolto per configurare il tutto e magari mandare anche qualche screenshot, altrimenti diventa difficile aiutarti. Dato che Wireshark cattura tutti i pacchetti che circolano nella rete può essere che magari hai intercettato le richieste, ma non le hai viste. Prova ad utilizzare il filtro di visualizzazione di Wireshark e di inserire nella barra di ricerca "http": in questo modo il software filtrerà tutte le richieste di tipo http. In particolare dovresti cercare delle richieste http di tipo POST (dato che si parla di inoltro di credenziali). Inoltre, puoi anche configurare il colore con cui visualizzare i pacchetti http, in modo da vederli subito.

Per quanto riguarda il problema della cache, esso non è un vero problema. Facendo MAC spoofing puoi comunque impersonare altri dispositivi, a prescindere che siano salvati nella cache o meno del device vittima. Il fatto che i MAC ADDRESS vengano salvati nella cache serve solo per non eseguire ogni volta il protocollo ARP quando due sistemi informatici vogliono comunicare in LAN.

 

[Hero467]

Tieni presente che è un'azione illegale e se dovessero scoprirti potresti passare un bel po' di guai.

Ne sono consapevole, e non ho intenzione di arrecare danni di nessun tipo. È solo per il gusto di farlo, e non è la rete di nessuna azienda o simili, ste cose di solito le faccio con i miei amici, solo senza che loro lo sappiano. Quando glielo dico non mi dicono mai nulla

Detto questo, ti consiglio di descrivere più dettagliatamente le azioni che hai svolto per configurare il tutto e magari mandare anche qualche screenshot, altrimenti diventa difficile aiutarti. Dato che Wireshark cattura tutti i pacchetti che circolano nella rete può essere che magari hai intercettato le richieste, ma non le hai viste. Prova ad utilizzare il filtro di visualizzazione di Wireshark e di inserire nella barra di ricerca "http": in questo modo il software filtrerà tutte le richieste di tipo http. In particolare dovresti cercare delle richieste http di tipo POST (dato che si parla di inoltro di credenziali). Inoltre, puoi anche configurare il colore con cui visualizzare i pacchetti http, in modo da vederli subito.

Ho già provato a impostare i filtri, ma se non faccio niente dal mio dispositivo non esce nulla di nulla. Per la configurazione ho semplicemente installato il programma, la modalità promiscua era attiva di default e quindi l’ho lasciata lì. Poi ho fatto qualche cattura per provare, ma non escono richieste http di nessun tipo. Se servono altri dettagli o screenshot appena torno a casa. Mando tutto

 

[--- Ra ---]

Ne sono consapevole, e non ho intenzione di arrecare danni di nessun tipo. È solo per il gusto di farlo, e non è la rete di nessuna azienda o simili, ste cose di solito le faccio con i miei amici, solo senza che loro lo sappiano. Quando glielo dico non mi dicono mai nulla


Ho già provato a impostare i filtri, ma se non faccio niente dal mio dispositivo non esce nulla di nulla. Per la configurazione ho semplicemente installato il programma, la modalità promiscua era attiva di default e quindi l’ho lasciata lì. Poi ho fatto qualche cattura per provare, ma non escono richieste http di nessun tipo. Se servono altri dettagli o screenshot appena torno a casa. Mando tutto

C'è anche una probabilità che la tua scheda di rete integrata non sia adatta per intercettare tutto il traffico, quindi non abbia una vera e propria modalità monitor. Su Wireshark devi attivare la modalità monitor. Controlla anche il chipset.

Dai un'occhiata a questo link:

CaptureSetup/WLAN - Wireshark Wiki

 

[Hero467]

C'è anche una probabilità che la tua scheda di rete integrata non sia adatta per intercettare tutto il traffico, quindi non abbia una vera e propria modalità monitor. Su Wireshark devi attivare la modalità monitor. Controlla anche il chipset.

Dai un'occhiata a questo link:

CaptureSetup/WLAN - Wireshark Wiki

Nonostante io l'abbia attivata (da riga di comando, perché non avevo la spunta) non mi mostra comunque il traffico esterno. A questo punto presumo mi serva un adattatore di rete

 

[--- Ra ---]

Nonostante io l'abbia attivata (da riga di comando, perché non avevo la spunta) non mi mostra comunque il traffico esterno. A questo punto presumo mi serva un adattatore di rete

Credo di sì a questo punto, che sistema operativo utilizzi?

 

[Hero467]

Credo di sì a questo punto, che sistema operativo utilizzi?

Ubuntu 23.04

 

[--- Ra ---]

Ubuntu 23.04

Quando andrai a comprare un adattatore wireless cerca di optare per questi chipset:

-Atheros AR9271
-Ralink RT5370N
-Ralink RT3572
-Ralink RT3070
-Realtek 8187L
-Realtek RTL8812AU

Sono quelli che danno meno problemi di configurazione e driver. Inoltre, funzionano con la maggior parte dei SO Linux. Nota bene, quelli che ti ho elencato non sono i nomi dei modelli di adattatori wireless, ma sono i circuiti che permettono il funzionamento dell'adattatore: questo significa che, quando andrai a comprare l'adattatore, dovrai cercare tra le caratteristiche tecniche del prodotto i chipset elencati. Spero di essere stato di aiuto.

 

[juvann]

Purtroppo credo che la macchina che invia la richiesta abbia già in cache l’indirizzo Mac del router, quindi questo genere di attacco sarebbe abbastanza inutile.

Se avessi letto quello che ti ho segnalato non avresti scritto una cosa simile. L'articolo è molto completo e dettagliato.
Io non perdo tempo a pubblicare risposte a caso, se lo faccio è per dare un reale contributo.

 

[Hero467]

Se avessi letto quello che ti ho segnalato non avresti scritto una cosa simile. L'articolo è molto completo e dettagliato.
Io non perdo tempo a pubblicare risposte a caso, se lo faccio è per dare un reale contributo.

Ho letto, e c'era scritto ( o almeno questi ho capito) che se un host ha in cache il Mac dell'altro non esegue la richiesta arp, quindi non avrebbe molto senso questo tipo di attacco, a meno che io non trovi il modo di svuotare questa cache

 

[TheWorm91]

Ho letto, e c'era scritto ( o almeno questi ho capito) che se un host ha in cache il Mac dell'altro non esegue la richiesta arp, quindi non avrebbe molto senso questo tipo di attacco, a meno che io non trovi il modo di svuotare questa cache

Se leggi bene la guida troverai scritto:

L'arrivo di un ARP-request ad un host aggiorna completamente la tabella ARP presente nella cache a lei dedicata dal protocollo, senza rispetto per le voci preesistenti nella tabella.

Tramite ettercap aggiorni la arp cache della vittima resettandola e inserendo il mac address dell'attaccante (cioè il tuo) al posto di quello del router.
Mentre al router dirai che il tuo mac address corrisponde all'ip della vittima, così facendo realizzi un attacco MITM.

 

[Hero467]

Se leggi bene la guida troverai scritto:

Tramite ettercap aggiorni la arp cache della vittima resettandola e inserendo il mac address dell'attaccante (cioè il tuo) al posto di quello del router.
Mentre al router dirai che il tuo mac address corrisponde all'ip della vittima, così facendo realizzi un attacco MITM.

Ah, mi ero perso quella parte, scusate. Ma non c’è un aumento di rischio con questo attacco?

 

[TheWorm91]

Ah, mi ero perso quella parte, scusate. Ma non c’è un aumento di rischio con questo attacco?

Nella prova che ho fatto per la vittima risulta tutto trasparente.
Ettercap mentre è in funzione invia a intervalli predefiniti richieste arp per mantenere aggiornata l'arp cache "avvelenata".
Cosa intendi per aumento di rischio?
Il rischio c'è se fai l'attacco su una rete privata senza consenso (e senza spoofare il tuo MAC e IP address), cosa che ti sconsiglio vivamente.

 

[Hero467]

Cosa intendi per aumento di rischio?

Niente niente, ancora non avevo letto tutto l’articolo, ora non ho più dubbi, grazie.

Il rischio c'è se fai l'attacco su una rete privata senza consenso (e senza spoofare il tuo MAC e IP address), cosa che ti sconsiglio vivamente.

Sisi, non farò nulla a chi non è mutualmente d’accordo. I miei amici non sono nuovi a questi miei scherzi

 

[dosxpana]

Non è il migliore modo per fare esperienza, dai retta a chi (quantomeno a giudicare dalle domande che fai) ha più esperienza di te... sii responsabile.
Se un amico di mio fratello venisse a casa mia a giocare con la mia rete sarebbero c*zzi amari per lui