Крок 1. Встановлюємо і запускаємо Wireshark для захоплення трафіку
Іноді для цього достатньо вибрати лише інтерфейс, через який ми плануємо захоплення трафіку, і натиснути кнопку Start. У нашому випадку робимо захоплення по бездротовій мережі.
Захоплення трафіку почався.
Крок 2. Фільтрація захопленого POST трафіку
І бачимо замість тисячі пакетів, всього один з шуканими нами даними.
Крок 3. Знаходимо логін і пароль користувача
Швидкий клік правою кнопки миші і вибираємо з меню пункт Follow TCP Steam
Крок 4. Визначення типу кодування для розшифровки пароля
Заходимо, наприклад, на сайт onlinehashcrack і вводимо наш пароль у вікно для ідентифікації. Вибираєте протокол кодування:
MD5
NTLM
MD4
LM
Крок 5. Розшифровка пароля користувача
На даному етапі можемо скористатися утилітою hashcat:
# Hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
На виході ми отримали розшифрованих пароль: simplepassword
Таким чином, за допомогою Wireshark ми можемо не тільки вирішувати проблеми в роботі додатків і сервісів, а й також спробувати себе в ролі хакера, здійснюючи перехоплення паролів, які користувачі вводять в веб-формах. Також можна дізнаватися і паролі до поштових скриньок користувачів, використовуючи невигадливі фільтри для відображення:
Протокол POP і фільтр виглядає наступним чином: pop.request.command == "USER" || pop.request.command == "PASS"
Протокол IMAP і фільтр буде: imap.request contains "login"
Протокол SMTP і потрібно вводити наступне фільтра: smtp.req.command == "AUTH"