#instalamos herramienta para spoofear arp en caso de no tenerla, para win dos usar cain arpspoofing

 
apt-get install dsniff
 
# echo 1 > /proc/sys/net/ipv4/ip_forward
 
# arpspoof -t IP_DEL VERDE IP_DE LA PUERTA

En la segunda terminal ejecuta el comando:

 
# arpspoof -t IP_DE LA PUERTA IP_DEL VERDE
 

Empezamos captura, detenemos  la escucha (desde el menú: capture→stop) al ver la web que nos interese. En el tráfico capturado encuentra el paquete en el cual el navegador envió al servidor el nombre de usuario y la contraseña. Si tienes problemas con reconocerlo, busca el paquete que en la columna protocol tiene puesta HTTP, en la columna info – GET/ruta/ HTTP/1.1, en cambio, en el contenido de la petición (ventana central) tiene el campo authorization: basic (...).

En el campo authorization: basic (...) se envía el nombre de usuario y la contraseña, codificados en base64 – encuéntralos (por ejemplo, en la figura es una serie  "adasdasdasd"

Para descifrar el capturado nombre de usuario y contrseña, emplearemos el convertidor online: http://makcoder.sourceforge.net/demo/base64.php (en caso de problemas podemos también emplear cualquier convertidor, por ejemplo

http://www.motobit.com/util/base64-decoder-encoder.asp, http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/, http://www.dillfrog.com/tools/base-64_encode/ czy http://www.paulschou.com/tools/xlate/). Copia la contraseña en forma cifrada en la ventana enter text... (sería más cómodo copiarla, pero, desgraciadamente, ethereal no tiene la posibilidad de copiar cómodamente este contenido).