Truly Portable Wireshark
Translate this page to english
Una de las vulnerabilidades graves que siempre encontramos en las empresas durante las pruebas de penetración es el uso de protocolos inseguros como el Telnet, FTP y HTTP cuyo tráfico viaja en texto claro que puede ser fácilmente reensamblado e interpretado y de ahà obtener usuarios y contraseñas de otros aqctivos en la red como el Dominio de Windows, el ERP o el CRM.
Una vez que hemos tomado control del Dominio de Windows empezamos a acceder otros activos en segmentos crÃticos como la red donde se hallan los administradores de los diferentes sistemas; y asÃ, procurarnos unas horas de capturas del tráfico de esa red esperando encontrar credenciales dentro de los protocolos inseguros que aún se emplean.
Uno de los problemas que se nos presentaba era que este procedimiento era intrusivo pues el Wireshark requiere de las librerÃas de Winpcap en el equipo donde lo queremos correr y esto no es aceptable en nuestros procedimientos pues comúnmente no queremos dejar rastros en los equipos tomados.
Buscando en la red hallé una versión portable del mismo pero tenÃa el mismo problema: Instalaba el Winpcap y lo desinstalaba al terminar, siendo el mismo problema.
Luis “El Hellboy” Brauer y yo nos pusimosa investigar como corregir este problema y hallamos en varios foros (cuyas URLs perdÃ, lo siento) varios detalles sobre el funcionamiento de las librerias del Winpcap y asà buscar procedimiento para darle vuelta.
Tengo el gusto de compartirles nuestro desarrollo y esperamos que les sea útil, aunque su descarga está prohibida a aquellos que deseén usarlo para redes ajenas a su administración.
Instrucciones:
Descarga el archivo aqui y descomprÃmelo en alguna raiz ya sea en C:\ o en una unidad de almacenamiento USB. Se ejecuta el arrancador que dará de alta las variables de entorno pertinentes y copiará un archivo en la unidad de %SystemRoot% y al terminar lo borrará sin dejar rastros. Terminada la captura solo hay que cerrar el programa y borrar la carpeta.
Yo recomiendo que se capturen varias horas en archivos no mayores a 200 MB y antes de esto verificar que hay espacio suficiente en la unidad donde guardemos la captura, ¿No queremos que se caiga el servidor por nuestra intervención, verdad?
Bueno, es todo, espero lo encuentren útil e interesante. Esperen nuevas herramientas, técnicas y posts y no dejen de darse una vuelta por el repositorio de herramientas de Hackarandas. Prometo no desaparecer ya tanto y dénse una vuelta por Sound2Sin, un blog hermano que empezamos a armar.
Adrian Puente Z.Technorati Tags: hackarandas, Adrian Puente Z., truly portable wireshark, Wireshark verdaderamente portable, hacking, pentest, sniffer, sniffing
Pingback: Wireshark Portable