habia prometido hace unos meses 1 articulo sobre arp poisoning en la practica (ARP Poisoning), esto x supuesto llevo a agregar algo d sniffing y el sniffing a otras cosas asi q decidi dividirlo en varias entradas para mantener el orden y no hacerlo tan largo.c recomienda leer el articulo anterior para tener idea d lo q estan haciendo y d esa forma poder desarrollar otro tipo d tecnicas asi como tener la posibilidad d usar cualquier soft q quieran ya q sabiendo el proceso c puede hacer d muchas maneras distintas.
este metodo es aplicable en cualquier red lan, no importa si tiene 2 o 2000 maquinas, no importa si son win o linux, si es cableada o wifi, si usan firefox, ie, opera o lo q sea... no importa casi nada, salvo q tengamos nuestra maquina conectada a la red.
packet sniffing
tambien llamado packet analysis es el proceso de capturar trafico de la red y analizarlo. aunque normalmente es asociado con actividades "hacker" el analisis d paquetes es una herramienta valiosisima para cualquier admin d redes, util para diagnosticar problemas q haya en la misma, asi como tambien detectar cualquier tipo d ataque, anomalia o hasta algun user q consume demasiado trafico... ;)
el trafico de red, como todos sabemos (o deberiamos saber si queremos hacer estas cosas), se divide en paquetes q cumplen distintas funciones. en la entrada anterior hablamos de los paquetes arp pero hay muchas otras clases. como seria 1 tema muy extenso (tal vez 1 futura entrada en el blog) dejo una animacion muuuyyy facil d entender para los q no tienen idea. la mayoria es aplicable, salvo algunas cosas en desuso como el viejo "ping d la muerte"...
el trafico de red, como todos sabemos (o deberiamos saber si queremos hacer estas cosas), se divide en paquetes q cumplen distintas funciones. en la entrada anterior hablamos de los paquetes arp pero hay muchas otras clases. como seria 1 tema muy extenso (tal vez 1 futura entrada en el blog) dejo una animacion muuuyyy facil d entender para los q no tienen idea. la mayoria es aplicable, salvo algunas cosas en desuso como el viejo "ping d la muerte"...
entonces todo lo q tenemos q hacer es usar 1 sniffer para capturar s trafico y ver lo q nos interesa. con la tecnica del arp poisoning vimos q podemos engañar a 1 maquina para q crea q nosotros somos el router y al router para q crea q somos esa maquina, d esta forma nos "paramos" entre medio d las dos y realizamos el ataque llamado Man In The Middle (MITM). pero antes algunas aclaraciones.
verdades y mitos
la red esta llena d personitas preguntando "como hackear passwords de hotmail" y lleno d otras tantas q ponen tutos en los q hacen 1 simple envenenamiento y activan el sniffer mostrando resultados con passwords d hotmail, gmail, yahoo, etc. lo cierto es q c puede hacer, pero no es tan facil y se requiere hacer alguna cosa mas.
las passwords no c transmiten todas del mismo modo, no es lo mismo el login d 1 ftp q el d hotmail x ej donde entra en juego encriptacion ssl, intercambio d certificados, etc., para ver s tipo d contraseñas necesitamos hacer algun paso adicional.
hasta no hace mucho la tecnica acostumbrada era enviar al navegador 1 certificado falso, el cual muestra el tipico mensaje d q el certificado no es valido. como el 90% (si no mas) d los users simplemente lo aceptan y siguen su camino c podria decir q tiene bastante efectividad...
sin embargo el año pasado c presento en el black hat dc 2009 la tecnica llamada sslstrip. lo q hace basicamente es reescribir todos los links https a http, despues reconstruye las urls con 1 certificado valido y redirige la conexion hacia su destino original despues d quedarse con los datos... sin alertas, sin llamar la atencion d nadie... perfecto xD
hasta no hace mucho la tecnica acostumbrada era enviar al navegador 1 certificado falso, el cual muestra el tipico mensaje d q el certificado no es valido. como el 90% (si no mas) d los users simplemente lo aceptan y siguen su camino c podria decir q tiene bastante efectividad...
sin embargo el año pasado c presento en el black hat dc 2009 la tecnica llamada sslstrip. lo q hace basicamente es reescribir todos los links https a http, despues reconstruye las urls con 1 certificado valido y redirige la conexion hacia su destino original despues d quedarse con los datos... sin alertas, sin llamar la atencion d nadie... perfecto xD
sniffing/poisoning basico
como dije q era practica dejo las explicaciones d lado y vamos a ver el tipico tuto d ettercap (sin errores ni omisiones) q sirve para capturar passwords en texto plano. esto es ftp, telnet, foros e infinidad d paginas, sitios e intranets q no usan encriptacion en los logins.
hay versiones d ettercap tanto para win como para linux, obviamente c recomienda linux para este tipo d "actividades". la instalacion del programa no tiene demasiadas complicaciones. para win c puede descargar d aca (la version q dice win32.exe):
hay versiones d ettercap tanto para win como para linux, obviamente c recomienda linux para este tipo d "actividades". la instalacion del programa no tiene demasiadas complicaciones. para win c puede descargar d aca (la version q dice win32.exe):
http://sourceforge.net/projects/ettercap/files/
en linux desde el gestor d paquetes o:
http://ettercap.sourceforge.net/download.php
en win abre directamente en modo grafico en linux desde la consola en modo root (o con sudo) ejecutar "ettercap -G".
c abre la ventana del programa, seleccionamos el menu SNIFF -> UNIFIED SNIFFING...
c abre la ventana del programa, seleccionamos el menu SNIFF -> UNIFIED SNIFFING...
se abre la ventana d seleccion del dispositivo d entrada, en mi caso ath0, si estuviera en red cableada seria el eth0... simplemente seleccionen su dispositivo conectado a la red.
cambia el menu superior, seleccionamos HOSTS -> SCAN FOR HOSTS...
esto corre 1 scanneo en la red para ver q hay conectado...
hacemos click en HOSTS -> HOSTS LIST en este caso salen 3 ips. 2 son pcs conectadas a la red y la 3era el router. lo q tenemos q saber es cual es la ip del router y la de la pc a envenenar.
para saber cual es el router en windows hacemos 1 ipconfig desde la consola y la ultima linea (gateway o "puerta d enlace predeterminada") es la ip del router.
en linux, desde la consola "ip route show" y sale tambien en la ultima linea (default via).
la maquina a envenenar ya deberian saberla o averiguarla, para eso c puede usar 1 scanner o simples ping -a en win para saber el nombre, nbtstat, etc. mmblookup, dig o lo q sea en linux.
en este caso el router es el 192.168.0.254 y la pc a envenenar la 192.168.0.101. seleccionamos la 254 y hacemos click en "add to target 1", despues seleccionamos la 101 y hacemos click en "add to target 2". en la consola inferior del programa se ve el log con los cambios que vamos haciendo.
en linux, desde la consola "ip route show" y sale tambien en la ultima linea (default via).
la maquina a envenenar ya deberian saberla o averiguarla, para eso c puede usar 1 scanner o simples ping -a en win para saber el nombre, nbtstat, etc. mmblookup, dig o lo q sea en linux.
en este caso el router es el 192.168.0.254 y la pc a envenenar la 192.168.0.101. seleccionamos la 254 y hacemos click en "add to target 1", despues seleccionamos la 101 y hacemos click en "add to target 2". en la consola inferior del programa se ve el log con los cambios que vamos haciendo.
seleccionamos el menu MITM -> ARP POISONING y en la ventana q sale checkeamos "SNIFF REMOTE CONNECTIONS" y aceptar.
ya esta corriendo el envenenamiento, d manera q todo el trafico entre 101 y 254 pasa por nosotros, ahora queda activar el sniffer para capturar. menu START -> START SNIFFING
solo queda esperar a q alguien meta 1 password para q salga en la parte inferior.
este metodo como dije solo sirve para contraseñas de texto plano, en la proxima entrada voy a poner el uso practico de certificados falsos y d sslstrip combinados con esto.
ahhh... las conversaciones d msn viajan en texto plano x si a alguien le interesa, activando ettercap junto con wireshark c pueden ver... tal vez lo explique con mas detalle tambien en el futuro pero no c si vale la pena 1 entrada... es bastante facil agregandolo a lo anterior ;)
Entradas
4 comentarios:
Me da error el Dll "Packet" y cuando lo baje me da otro error "PacketGetNetInfoEx" que no pudo encontrar la entrada del procedimineto.
hola. el packet.dll deberia estar en /windows/system32/, si lo ves ahi copialo al directorio donde tenes instalado ettercap y sacale la extension.
si no c arregla proba con otra version d winpcap, el problema parece ser d ahi, no del ettercap. lo podes bajar d aca:
http://www.winpcap.org/install/default.htm
aca tenes las versiones anteriores x las dudas:
http://www.winpcap.org/archive/
habria q ver tambien q version d ettercap es y algunas otras cosas...
lo mejor seria hacerlo desde algun linux, si no queres instalarlo podes usar algun booteable como backtrack q ya viene todo instalado:
http://www.backtrack-linux.org/
saludos!
gracias amigo, por el psot
ya he probado casi todas las versiones del ettercap y wn oros windows
y u bien me la falta el packet dll
o me dice que no eunctra las instruciionesw dentro de ese de archivode mierda
te agradeceria que me recomiendes otro snifer, que sea de fascil uso para windows
hola. para windows yo usaria el cain:
http://www.oxid.it/cain.html
creo q vas a tener mejores resultados ya q t vas a complicar menos.
con el tema del packet.dll la respuesta q puse antes deberia servirte. instala la ultima version de winpcap y copia la dll al directorio de ettercap.
y sino usa linux... es lo mejor para estas cosas ;)
saludos
Publicar un comentario