Página 2 de 2 Primer 12
  1. #11
    Recien Nacido

    Fecha de ingreso
    27 ago, 10
    Mensajes
    1
    Gracias
    0
    Agradecido 0 veces en 0 Mensajes

    Predeterminado

    Cita Iniciado por lightblade Ver mensaje
    No es por desilucionar a nadie, pero les contaré como trabajan hotmail, ebuddy, gmail, messenger y la gran mayoría con los passwords.

    Primero que todo, el password nunca pasará por la red, con un sniffer no vas a conseguir el password porque simplemente no pasa por allí... Ni siquiera cifrado.

    El sistema funciona así:

    Ej:

    El servidor conoce el password, y el usuario también. ¿Como te idenfica el servidor sin solicitarte la contraseña? Trataré de explicarlo de la forma más simple posible.

    El servidor guarda la contraseña en sus dbs y le asigna un valor numérico, el como la guarda, sea en un formato legible, cifrada o en un hash ya depende de las políticas de cada compañía.

    Supongamos que la contraseña de mi email tiene un valor numerico que equivale a 63. El servidor para no arriesgarse a que haya alguien sniffeando en mi red y que consiga la contraseña no me la pregunta me dice:

    ¿Qué número debo sumar al valor de tu contraseña para que esta operación me de por resultado 118?

    El usuario coloca su contraseña en el cliente, o en la web; esta lo que hace es hacer el calculo (En nuestro caso hipotetico sería: 63 - 118 = 55) y enviar el resultado al servidor, este verifica si el resultado de tu operación es el mismo de la de el, si ambos resultados son iguales significa que el usuario tecleó en el cliente /web la contraseña correcta, si el resultado es distinto, significa que el usuario tecleó en el cliente /web una contraseña equivalente a un número distinto al valor de la contraseña verdadera. En síntesis: Tecleó la contraseña mal.

    Analizando esto desde la perspectiva del sniffer, por la red solamente pasará el resultado de la operación, nunca pasa por allí el password cifrado, ni en formato legible. Por tanto, a tí de nada te sirve el resultado de la operación matemática porque para que tal dato te fuese útil necesitarías saber cual fué la operación que el servidor solicitó, y cual es el valor equivalente a la contraseña del usuario.


    Espero que hayan entendido todos. A través de un sniffer se pueden conseguir muchos datos, incluso contraseñas; pero solamente de servicios inseguros... Hoy generalmente los servicios más atractivos utilizan este sistema para evitar que se filtren contraseñas por un sniffer.
    ¿Estás seguro de lo que dices sobre que solo se puede hacer con servidores inseguros?
    Con SSlStrip se puede conseguir destripar los cifrados Https. Ahora te dejo un Log de prueba que hice y lo ves.


    Saludos.
    Imágenes adjuntadas Imágenes adjuntadas

Página 2 de 2 Primer 12

Visitantes encuentran esta página buscando por:

wireshark hotmail password

wireshark gmail

wireshark hotmail

hotmail

sniffer mitm

capturar contraseñas https

mitm

como funciona un SNIFFER

mitm hotmail

wireshark MITM

capturar password hotmail

capturar contraseña gmail

capturar contraseñas de gmail

wireshark inteco

capturar hotmail con wiresharksniffer gmail passwordcapturar contraseña hotmailsniffercontraseña hotmail wireshark hotmail wireshark mitm cain wiresharkobtener password de gmail con mitmcapturar contraseñas hotmail wiresharkcapturar claves gmailmitm gmail

Etiquetas para este tema

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •  

Iniciar sesión

Iniciar sesión