Sniffer

Em uma rede de computadores, um Sniffer (farejador), ou também conhecido como Analisador de Pacotes, é um programa de computador ou hardware que pode interceptar e registrar tráfego que passa sobre uma rede digital ou parte de uma rede. Captura de pacotes é o processo de interceptação e registro de tráfego. Importante entender também como realizar um ataque MITM, para que esse processo Sniffer funcione corretamente.

DICA: Sempre que estiver no Wireshark e pegar alguma algum HTTP codificado (anexo / compressão), clique o botão direito em cima de alguma solicitação ou resposta HTTP e vá em Follow > HTTP Stream. Assim o Wireshark irá decodificar e mostrar em texto limpo e organizado.

UUDECODE

Esse tipo de Decode é útil quando estamos "sniffando" uma rede e pegamos por exemplo, o conteúdo de um arquivo anexado em um e-mail (SMTP). Este começa com begin e termina com end. Pode também ser feito utilizando ferramentas como Wireshark ou Tcpdump.

uudecode <file_encode>

DICA: Ao executar esse comando, não é exibido nada, no entando será extraído o seu conteúdo em formato zip.

Wireshark

# Filtra por determinado IP (Origem ou Destino)
ip.addr == <ip>

# Filtra por determinado IP de Origem
ip.src == <ip>

# Filtra por determinado IP de Destino
ip.dst == <ip>

# Filtra por determinada porta
tcp.port == <port>

# Pesquisa por determinada strings dentro dos pacotes
tcp contains <find>

# Exibe somente requisições HTTP
http.request

# Pesquisa por URL's que contém determinada strings
http.request.uri contains <find>

TCPDump

Filtros em Tempo Real

# Host
tcpdump -i <interface> -n host <ip>

# Filtrando por mais de 1 host
tcpdump -i <interface> <host1> and <host2>

# Porta
tcpdump -i <interface> port <port>

# Filtrando por IP e Porta
sudo tcpdump -p -s 0 -w <file_output.pcap> port <port> and host <ip>

# Range de Portas
tcpdump -i <interface> tcpdump portrange 21-80

# ICMP
tcpdump -i <interface> -n icmp

# ICMP, mas que não seja do tipo icmp-echo e icmp-echoreply
tcpdump -i <interface> 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

# Pegando Credenciais FTP
tcpdump -i <interface> -n port ftp or ftp-data
tcpdump -i <interface> port ftp -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '

# Definindo a quantidade de pacotes que serão sniffados
tcpdump -i <interface> -c <qtde_pacotes>

Gravando Arquivo pcap

# Salvando tudo
tcpdump -i <interface> -w <file.pcap>

# Salva o tráfego icmp
tcpdump -v -i <interface> icmp -w <file.pcap>

Lendo Arquivo pcap

# Lendo arquivo
tcpdump -i <interface> -tttt -r <file.pcap>

# Com resolução de IP
tcpdump -r <file.pcap>

# Sem resolução de IP
tcpdump -nr <file.pcap>

# Ativa o modo verbose
tcpdump -vnr <file.pcap>

# Mostra detalhes do Ethernet, para detalhes da parte física (MAC Address)
tcpdump -venr <file.pcap>

# Filtra por determinado IP (Origem ou Destino)
tcpdump -vnr <file.pcap> host <ip>

# Filtra por determinado IP de Origem
tcpdump -vnr <file.pcap> src host <ip>

# Filtra por determinado IP de Destino
tcpdump -vnr <file.pcap> dst host <ip>

# Filtra por determinado IP de Origem e outro IP de Destino
tcpdump -vnr <file.pcap> src host <ip> and dst host <ip>

# Filtra por determinado IP de Origem que utilizou ICMP
tcpdump -vnr <file.pcap> src host <ip> and icmp

# Filtra por um determinado protocolo, como udp, tcp, icmp, etc
tcpdump -vnr <file.pcap> <protocol>

# Filtra por portas
tcpdump -vnr <file.pcap> port <port>

# Resultado em Ascii
tcpdump -vnAr <file.pcap>

# Resultado em Hexadecimal
tcpdump -vnXr <file.pcap>

Codificando a Saída

# ASCII
tcpdump -i <interface> -A

# Hexadecimal
tcpdump -i <interface> -X

Verificando Interfaces de Rede

tcpdump -D

Metasploit

Esse Sniffer do Metasploit tem como objetivo pegar senhas, atuando nos protocolos POP3, IMAP, FTP e HTTP GET.

use auxiliary/sniffer/psnuffle

AdminSniff

admsniff -i <interface_rede>

URLSnarf

Capturando URLs que estão sendo acessadas via browser

urlsnarf -i <interface_rede>

DSniff

Sniffando a rede

sudo dsniff -i <interface_rede>

DriftNet

Capturando todas as imagens que são carregadas no browser do alvo

sudo dsniff -i <interface_rede>

HTTPCapture

httpcapture -debug -interface <interface_rede>

Mailsnarf

Capturando e-mails de forma genérica

mailsnarf

Capturando e-mails de forma genérica e encaminhando para um arquivo

mailsnarf | tee <file.log>

Capturando e-mails de forma genérica e encaminhando para um arquivo de rede em específico

mailsnarf and src <ip_alvo> | tee <file>.log

Capturando e-mails de forma genérica e encaminhando para um arquivo de host

mailsnarf and src <ip_alvo> or dst <ip_alvo> | tee <file>.log