main in the middle or sniffing
TRANSCRIPT
INTRODUCCIÓN.
Este documento va dedicado a todos los usuarios que quieran aprender
sobre el Ataque “Man in the Middle” o “Sniffing”
y en especial a los que me pidieron este tutorial Win7,Bloodstar.
Darles las Gracias a mi maestro y amigo PervershO,
también a Zykl0n-B que me sirvió de mucho su tutex.
XXXX Berserker XXXX
XXXX Berserker XXXX
ATAQUE MAIN IN THE MIDDLE OR SNIFFING
(CAIN && ABEL, WIRESHARK)
El ataque Main in the Middle o Sniffing consiste básicamente en la captura de los paquetes que
envía nuestra Red (ya sea una computadora en LAN o nuestro PC) en esos paquetes se transporta
toda la información que se está enviando por Internet. Alguno de estos servicios que utilizan
usuarios y contraseñas, o datos confidenciales, están encriptados o codificados para que no se
puedan leer (por ejemplo las páginas web que contienen HTTPS al inicio del URL). Muchos otros
como el servicio de FTP (File Transfer Protocol) viajan en texto plano de manera que cualquiera
que intercepte esos paquetes puede llegar a interpretar los datos.
El mejor sniff que recomiendo para Windows es Caín&&Abel el cual es una herramienta de
recuperación de passwords para sistema Microsoft .Permite recuperar fácilmente varios tipos de
passwords encriptados usando diccionarios, fuerza bruta y ataques mediante criptoanálisis.
También graba conversaciones VoIP, decodifica passwords, recupera claves de red o claves
almacenadas en caché, crackea redes inalámbricas. El programa no hace exploit de ninguna
vulnerabilidad de software, en cambio lo que hace es cubrir algunos aspectos de seguridad
presentes en los protocolos estándares, métodos de autentificación y mecanismos de caché .Su
principal propósito es el de recoger passwords de diversos lugares. Como se afirma en la página
web de la herramienta; esta ha sido desarrollada con la esperanza de que sea útil a los
administradores de redes, profesores, testeadores de intrusiones en el sistema y a cualquier
otro profesional de seguridad.
Wireshark es un capturador/analizador de paquetes de red. Wireshark te permitirá ver, aun nivel
bajo y detallado, qué está pasando en tu red. Además es gratuito, open source, y multiplataforma.
Sin duda la mejor opción al momento de auditar nuestra red.
Posee una interfaz gráfica y muchas opciones de organización y filtrado de información. Así,
permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es
compatible con algunas otras).
Supongo que en la instalación del programa no debe haber ningún problema, aunque el
Caín&&Abel no funciona en Windows 8 por la falta de packet.dll, después de la instalación
también nos pedirá la instalamos del Winpcap lo cual tenemos que hacerla si no disponemos
de esto. Wireshark está disponible para todos los Sistemas Operativos (multiplataforma).
Con ningún inconveniente más vayamos a la práctica.
Abrimos el Caín, necesitamos configurarlo y nos dirigimos al Menú “Configure”, ahí seleccionamos nuestro adaptador de red.
En la pestaña "APR (Arp Poison Routing)" tenemos opciones de utilizar nuestras direcciones IP y MAC reales, o spoofearlas.
Bueno antes de empezar el ataque para mayor seguridad vamos a cambiar nuestra dirección MAC y IP. Este paso es opcional. Nos vamos a “APR”, le damos en “Use Spofed IP and MAC addresses”, luego en la parte izquierda donde “IP” le ponemos una ip que por lo general es 192.168.1.xxx, xxx tienen un rango de variación de 2 a 255, el 1 lo utiliza el rooter.
Ahora en la parte derecha tenemos “MAC” para hacer el cambio del MAC nos vamos a botón de Windows escribimos REGEDIT, HKEY_CLASSES_USER/Software/Caín/Settings...abrimos SpoofMAC y nos sale lo siguiente:
En aquí por defecto el Caín nos pone 001122334455, cambiamos nuestra MAC (12 dígitos) y le damos en Aceptar.
Reiniciamos el Caín se darán cuenta que el registro MAC ya se cambió y hacemos lo mismo que hemos explicado y le damos en aceptar. Con este cambio es casi imposible que nos detecten. Bueno ahora vamos a darle click en Start/Stop Sniffer , luego en la parte superior vamos a Sniffer , en la pestaña inferior a Hosts :
Ahora hacemos click secundario sobre Caín y seleccionamos "Scan Mac Addresses" como en la Imagen:
Podemos hacer un escaneo básico dándole en All hosts in my subnet o un escaneo total dándole
a All host in my subnet +All Test luego le damos ok. Con esto se estará escaneando todas las
computadoras conectadas a nuestra RED.
Esperamos unos momentos mientras realiza el escaneo de la red…Una vez terminado el escaneo
podemos sacar el nombre de la PC dándole clik derecho luego Resolve Host Name:
Ahora en la parte inferior nos vamos a “APR”, click dentro del icono “Add to List”:
Nos saldrá una ventana doble, en la parte izquierda tenemos que escoger la dirección IP del
router que generalmente termine en .1 por defecto y la parte derecha se rellenara con las demás
IPs que tenemos como objetivos los resaltamos haciendo click sin soltar, luego ok, con el relleno
de estas tablas indicamos a Caín a quien(es) va dirigido el ataque:
XXX Nota: Si estás en una red concentrada (Conectada por Hubs), no es necesario envenenar las tablas ARP de nadie, ya que los paquetes llegan solos, en cambio, si estás en una red conmutada (Switch), sí es necesario envenenar las tablas ARP de la red. XXX
Bueno para envenenar de una vez por todas la RED le damos click en la superior al botón “Start Stop APR”, notaremos en las tablas como va corriendo el proceso de envenenamiento en tiempo real:
Para ver cómo va la captura de usuarios y passwords. Nos vamos a la parte inferior “Passwords” luego en la parte izquierda HTTP, vemos como en tiempo real va capturando todas las navegaciones que van haciendo las computadoras envenenadas, donde así obtendremos contraseñas de FTP, SMTP, HTTP, POP3, VNC, MYSQL, ICQ, etc. . Y además, Caín contiene "Certificados de Autenticidad" falsos, para hacerle creer a la víctima que todo anda bien y legal, como verán, "Hackear contraseñas" no es nada del otro mundo cuando disponemos de Caín.
Ahora, ¿qué sucede cuando el Caín detecta passwords encriptados? ¿Los desecha? Pues no, Caín, automáticamente los lleva a la pestaña superior "Cracker" ¿Qué es eso? ¡Hombre! es lógico lo que es, un crackeador múltiple de contraseñas. Ahí tenemos una lluvia de opciones, podemos desencriptar contraseñas a través de diversos modos, Bruteforce, Criptoanálisis, Ataque por Diccionario, etc... Caín, también funciona Sniffando paquetes Wireless, y hasta tiene herramientas de Wep Cracking y demás, y puede ser combinado con otras herramientas tales como Airpcap, Airdump, etc.,.. Un dato importante son las páginas que tengan protocolos HTTPS las cuales podrán ser obtenidas pero estas estarán encriptados…XDD
Para maximizar este tipo de ataque ya que Caín no nos da todos los detalles de los paquetes que van pasando por la red utilizaremos Wireshark (El Tiburón) jajaja. Nos vamos al Tiburón le damos en List the available capture interfaces… nos saldrá una ventana donde podremos elegir nuestra tarjeta de red a utilizar:
Ya hecho esto le damos en Start, con el cual empezaremos a capturar los paquetes de red que
entrar y salen de nuestro computador.
Teniendo esta captura de paquetes, para mayor comodidad podemos filtrar los datos poniéndole
a Filter :
http.request.method == "POST" || http.request.method == "GET"
Solo nos mostrara los paquetes con método POST y GET que son por donde pasan las contraseñas,
pero las paginas con HTTPS no nos dejan ver estas contraseñas, mm… No nos preocupemos
cuando nosotros hacemos una conexión a un servidor (loguearnos) nos asignara un cookie. Y esto
es lo buscamos, analizando los paquetes capturados obtendremos:
En este ejemplo de www.facebook.com obtendremos la Cookie, que es lo que buscamos para
páginas que tengan HTTPS en el url.
Teniendo este cookie podemos hacernos pasar en una seccion como si fueramos los usuarios
verdaderos. Para esto nos vamos a Cookies Manager+ (plugin de Firefox)este es un Gestor de
cookies se utiliza para ver, editar y crear nuevas cookies. Ya instalado el Cookies Manager+ en
Firefox lo abrimos, apretamos “Alt”, nos vamos a Herramientas, buscamos Cookies Manager+:
Bueno ahora hacemos doble click sobre uno de los sitios, de ahí empezamos a configurarlo
Nombre: Le ponemos cualquier nombre(Hacked for Berserker).
Contenido: Le copiamos el valor de la cookie del Tiburón que anteriormente ya la hemos obtenido.
Servidor: La página donde se encuentra alojada la cookie en este caso (www.facebook.com).
Le damos en “Save”, luego “Cerrar”. Nos vamos a las página donde pusimos la dirección del
Servidor( www.facebook.com),le damos F5, obtendremos la sección de facebook de la victima:
Nota: Al hacer este tipo de ataque, ten en cuenta que se desconectara si el usuario cierra sección,
esto se da porque la cookie caduca justo al momento de que el usuario cierre sección. Como se
darán cuenta es más fácil de lo que pensaban jajaja…
Ataque DNS Poisoning.
Como su nombre indica, es un ataque basado en el "Envenenamiento" de la Caché DNS de la víctima, es decir, agregaremos valores de relación Dominio-IP de su Caché DNS. Imagínate que cambiáramos la Caché DNS de la víctima, y le dijéramos que al nombre de dominio "www.google.com" le corresponde la dirección IP de una página XXX cualquiera. ¿Qué pasará cuando la víctima escriba en su Navegador "www.google.com"? Exacto, irá directamente a la página XXX que le hemos indicado a la Caché. Interesante, ¿no? Y lo mejor es que podemos hacer esto con cuantos nombres de dominio se nos ocurran. Hacemos exactamente lo mismo anteriormente explicado, un ataque Main in the Middle o Sniffing. Ya tenemos al Caín obteniendo paquetes donde navegan nuestras víctimas. Ahora en la parte inferior nos vamos a “APR”, en la parte izquierda ubicamos “APR-DNS”, estando dentro del “APR-DNS”, hacemos “click” sobre la tabla, como notamos se activa el botón “Add to list” le hacemos click:
Nos saldrá una ventana “DNS Spoofer for APR”, teniendo las siguientes partes: “DNS Name Requested”: En esta parte ponemos la página que queremos Spoofear en este caso será www.google.com. “IP address to rewrite in response packets”: Ponemos la IP de la página donde queremos que la víctima vaya. En este caso va ser la dirección de www.petardas.com, pero como obtenemos su IP? Fácil, apretamos el botón Resolve, en ahí ponemos la dirección de la página www.petardas.com le ponemos ok.
Ya teniendo todo como que queremos le damos ok y estará envenenada la víctima, también nos da la opción de ver el número de veces de la paginas Spoofeada.
A la víctima le parecerá esto:
Bueno espero que les sirva, hasta un próximo tutex. XXX Berserker XXX