16.5.10

packet sniffing... o como conseguir passwords (y otras cosas) en cualquier red.

habia prometido hace unos meses 1 articulo sobre arp poisoning en la practica (ARP Poisoning), esto x supuesto llevo a agregar algo d sniffing y el sniffing a otras cosas asi q decidi dividirlo en varias entradas para mantener el orden y no hacerlo tan largo.

c recomienda leer el articulo anterior para tener idea d lo q estan haciendo y d esa forma poder desarrollar otro tipo d tecnicas asi como tener la posibilidad d usar cualquier soft q quieran ya q sabiendo el proceso c puede hacer d muchas maneras distintas.

este metodo es aplicable en cualquier red lan, no importa si tiene 2 o 2000 maquinas, no importa si son win o linux, si es cableada o wifi, si usan firefox, ie, opera o lo q sea... no importa casi nada, salvo q tengamos nuestra maquina conectada a la red.


packet sniffing

tambien llamado packet analysis es el proceso de capturar trafico de la red y analizarlo. aunque normalmente es asociado con actividades "hacker" el analisis d paquetes es una herramienta valiosisima para cualquier admin d redes, util para diagnosticar problemas q haya en la misma, asi como tambien detectar cualquier tipo d ataque, anomalia o hasta algun user q consume demasiado trafico... ;)

el trafico de red, como todos sabemos (o deberiamos saber si queremos hacer estas cosas), se divide en paquetes q cumplen distintas funciones. en la entrada anterior hablamos de los paquetes arp pero hay muchas otras clases. como seria 1 tema muy extenso (tal vez 1 futura entrada en el blog) dejo una animacion muuuyyy facil d entender para los q no tienen idea. la mayoria es aplicable, salvo algunas cosas en desuso como el viejo "ping d la muerte"...

entonces todo lo q tenemos q hacer es usar 1 sniffer para capturar s trafico y ver lo q nos interesa. con la tecnica del arp poisoning vimos q podemos engañar a 1 maquina para q crea q nosotros somos el router y al router para q crea q somos esa maquina, d esta forma nos "paramos" entre medio d las dos y realizamos el ataque llamado Man In The Middle (MITM). pero antes algunas aclaraciones.


verdades y mitos

la red esta llena d personitas preguntando "como hackear passwords de hotmail" y lleno d otras tantas q ponen tutos en los q hacen 1 simple envenenamiento y activan el sniffer mostrando resultados con passwords d hotmail, gmail, yahoo, etc. lo cierto es q c puede hacer, pero no es tan facil y se requiere hacer alguna cosa mas.

las passwords no c transmiten todas del mismo modo, no es lo mismo el login d 1 ftp q el d hotmail x ej donde entra en juego encriptacion ssl, intercambio d certificados, etc., para ver s tipo d contraseñas necesitamos hacer algun paso adicional.

hasta no hace mucho la tecnica acostumbrada era enviar al navegador 1 certificado falso, el cual muestra el tipico mensaje d q el certificado no es valido. como el 90% (si no mas) d los users simplemente lo aceptan y siguen su camino c podria decir q tiene bastante efectividad...

sin embargo el año pasado c presento en el black hat dc 2009 la tecnica llamada sslstrip. lo q hace basicamente es reescribir todos los links https a http, despues reconstruye las urls con 1 certificado valido y redirige la conexion hacia su destino original despues d quedarse con los datos... sin alertas, sin llamar la atencion d nadie... perfecto xD


sniffing/poisoning basico

como dije q era practica dejo las explicaciones d lado y vamos a ver el tipico tuto d ettercap (sin errores ni omisiones) q sirve para capturar passwords en texto plano. esto es ftp, telnet, foros e infinidad d paginas, sitios e intranets q no usan encriptacion en los logins.

hay versiones d ettercap tanto para win como para linux, obviamente c recomienda linux para este tipo d "actividades". la instalacion del programa no tiene demasiadas complicaciones. para win c puede descargar d aca (la version q dice win32.exe):

http://sourceforge.net/projects/ettercap/files/

en linux desde el gestor d paquetes o:

http://ettercap.sourceforge.net/download.php

en win abre directamente en modo grafico en linux desde la consola en modo root (o con sudo) ejecutar "ettercap -G".

c abre la ventana del programa, seleccionamos el menu SNIFF -> UNIFIED SNIFFING...

se abre la ventana d seleccion del dispositivo d entrada, en mi caso ath0, si estuviera en red cableada seria el eth0... simplemente seleccionen su dispositivo conectado a la red.

cambia el menu superior, seleccionamos HOSTS -> SCAN FOR HOSTS...

esto corre 1 scanneo en la red para ver q hay conectado...

hacemos click en HOSTS -> HOSTS LIST en este caso salen 3 ips. 2 son pcs conectadas a la red y la 3era el router. lo q tenemos q saber es cual es la ip del router y la de la pc a envenenar.

para saber cual es el router en windows hacemos 1 ipconfig desde la consola y la ultima linea (gateway o "puerta d enlace predeterminada") es la ip del router.

en linux, desde la consola "ip route show" y sale tambien en la ultima linea (default via).

la maquina a envenenar ya deberian saberla o averiguarla, para eso c puede usar 1 scanner o simples ping -a en win para saber el nombre, nbtstat, etc. mmblookup, dig o lo q sea en linux.

en este caso el router es el 192.168.0.254 y la pc a envenenar la 192.168.0.101. seleccionamos la 254 y hacemos click en "add to target 1", despues seleccionamos la 101 y hacemos click en "add to target 2". en la consola inferior del programa se ve el log con los cambios que vamos haciendo.

seleccionamos el menu MITM -> ARP POISONING y en la ventana q sale checkeamos "SNIFF REMOTE CONNECTIONS" y aceptar.

ya esta corriendo el envenenamiento, d manera q todo el trafico entre 101 y 254 pasa por nosotros, ahora queda activar el sniffer para capturar. menu START -> START SNIFFING

solo queda esperar a q alguien meta 1 password para q salga en la parte inferior.

este metodo como dije solo sirve para contraseñas de texto plano, en la proxima entrada voy a poner el uso practico de certificados falsos y d sslstrip combinados con esto.

ahhh... las conversaciones d msn viajan en texto plano x si a alguien le interesa, activando ettercap junto con wireshark c pueden ver... tal vez lo explique con mas detalle tambien en el futuro pero no c si vale la pena 1 entrada... es bastante facil agregandolo a lo anterior ;)

4 comentarios:

ClassicalBug dijo...

Me da error el Dll "Packet" y cuando lo baje me da otro error "PacketGetNetInfoEx" que no pudo encontrar la entrada del procedimineto.

|_ocutus dijo...

hola. el packet.dll deberia estar en /windows/system32/, si lo ves ahi copialo al directorio donde tenes instalado ettercap y sacale la extension.

si no c arregla proba con otra version d winpcap, el problema parece ser d ahi, no del ettercap. lo podes bajar d aca:

http://www.winpcap.org/install/default.htm

aca tenes las versiones anteriores x las dudas:

http://www.winpcap.org/archive/

habria q ver tambien q version d ettercap es y algunas otras cosas...

lo mejor seria hacerlo desde algun linux, si no queres instalarlo podes usar algun booteable como backtrack q ya viene todo instalado:

http://www.backtrack-linux.org/


saludos!

Anónimo dijo...

gracias amigo, por el psot
ya he probado casi todas las versiones del ettercap y wn oros windows

y u bien me la falta el packet dll
o me dice que no eunctra las instruciionesw dentro de ese de archivode mierda
te agradeceria que me recomiendes otro snifer, que sea de fascil uso para windows

|_ocutus dijo...

hola. para windows yo usaria el cain:

http://www.oxid.it/cain.html

creo q vas a tener mejores resultados ya q t vas a complicar menos.

con el tema del packet.dll la respuesta q puse antes deberia servirte. instala la ultima version de winpcap y copia la dll al directorio de ettercap.

y sino usa linux... es lo mejor para estas cosas ;)


saludos