NBNSCRIPT - Robando cookies envenenando dominios inexistentes por netbios

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

Inicio

Ayuda

Ingresar

Registrarse

27 Mayo 2012, 17:34

Tema destacado: Personaliza-Escoge el diseño del foro que más te guste.

Foro de elhacker.net

Seguridad Informática

Hacking Avanzado (Moderadores: ANELKAOS, TRICKY)

NBNSCRIPT - Robando cookies envenenando dominios inexistentes por netbios

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Ir Abajo

Respuesta

Imprimir

Autor

Tema: NBNSCRIPT - Robando cookies envenenando dominios inexistentes por netbios (Leído 2,308 veces)

hkm

Desconectado

Desconectado

Mensajes: 31

http://www.hakim.ws

Ver Perfil

WWW

NBNSCRIPT - Robando cookies envenenando dominios inexistentes por netbios

« en: 24 Mayo 2009, 23:02 »

En una red local (Windows) cuando no se puede resolver un dominio por DNS se intenta resolver usando NBNS. El protocolo NBNS (Netbios Name Service) se utiliza para resolver "nombres de equipo" como por ejemplo IMPRESORAHP esta en la IP 192.168.2.3.

Nosotros podemos envenenar los dominios que DNS no conteste, ya sea porque esta caido, o porque llamamos a dominios inexistentes como: www.google.cmo o www.google.co

Este script (NBNSCRIPT) lo que hace es redireccionar los dominios y subdominios inexistentes a una pagina que obtiene las cookies, pero esto solo nos daria las cookies de los dominios inexistentes. Para obtener cookies de cualquier dominio real, esta pagina contiene iframes apuntados a subdominios inexistentes de los dominios reales, por default: 0.google.com, 0.live.com, .hi5.com Y .facebook.com. Estos subdominios son resueltos a la misma pagina y de ahi obtenemos los cookies validos para el dominio.

Estando en la misma red local, si corres el nbnscript.sh en Backtrak3, usando las opciones por default, cuando alguien que no use Internet Explorer ponga mal algun dominio, o ingrese un dominio que no se pueda resolver, veras sus cookies de google.com, live.com, hi5.com Y facebook.com.

La informacion completa y video se encuentra en: http://www.hakim.ws/nbnscript

Descarga: http://www.hakim.ws/nbnscript.sh

If DNS does not respond to a request, and the domain name is less than 15 characters, Windows tries to resolve it locally using NBNS (Netbios Name Service). NBNS is the name service used for windows network names such as printers o local servers.

This script (NBNSCRIPT.SH) redirects nonexistent (sub)domains to a local page that logs cookies and has iframes with non existing subdomains (but real domains) pointed to itself.

What this means is: If you run this script in backtrack, with default settings, any domain that is not resolved will be directed to a local server that will obtain cookies of: google.com live.com hi5.com and facebook.com (sheeeesh...) and show you their cookies on your screen.

More info, download and video:
http://www.hakim.ws/nbnscript/english.html

ttp://www.underground.org.mx


	En línea

TRICKY

The "Tricky" ..
Moderador

Desconectado

Desconectado

Mensajes: 1.605

Ver Perfil

Re: NBNSCRIPT - Robando cookies envenenando dominios inexistentes por netbios

« Respuesta #1 en: 25 Mayo 2009, 15:16 »

Que tal.

Para Microsoft estariamos hablando mejor del conocido WINS, que es la implementacion de NBNS para Mocosoft.

Es para matizar, nada mas :__).

Saludos.

  /**** MODIFIKO ****/

Por ello, me imagino que debe de estar implementado WINS. O sea, que no todo el mundo implementa WINS y por ende deberia de tratarse de una Red con dicho servicio implementado, creo, aunque en una Red medianamente grande basada en Windoze es muy comun el uso de WINS.

Ahora digo yo, WINS es para resolver nombres de NetBios a IPs dentro de la Red, pero es diferente a DNS. O sea, que el Servidor WINS no creo que vaya a resolver www.facebooks.com, sino el DNS ( recursive-caching/itarative ).. Por ello, creo que me voy a mirar el script ese y como funciona porque me ha dejao intrigado en este sentido.

  /**** MODIFIKO2 ****/

Ah pues parece ser que para recuestas DNS sin exito si que participa WINS.. vaya chasco. O sea, tendre que verme mas esto ya que se deberian de separar las recuestas de nombres DNS y no relevarlas a recuestas de nombres de NetBios/recuestas WINS.., pero Mocosoft.. hehe.. thank God i'm not a mocosoft regular user!

   /**** MODIFIKO3 ****/

Aha, ya vi el script. Pues es una de las aplicaciones que se le puede dar a esa infraestructura tan pobre de WINS.
Otras podrian ser Phishing y cualquier historia que se les ocurra, ya que si se usa WINS para una recuesta DNS invalida, seria como envenenar el propio DNS pero ante una recuesta no valida ( www.dafebook.com ) que es algo bastante usual debido a la torpeza humana.
Bueno, aunque ya puestos tmabien existen atques locales como Rogues DHCP servers y demas que nos permitirian dar la IP del/los DNS a los clientes por una nuestra. Pero el ataque este a WINS parece mas sencillo y ocurrente..

/**** MODIFIKO4 ****/

Muy bueno y felicitaciones, hkm.


« Última modificación: 25 Mayo 2009, 16:01 por averno »	En línea

"La envidia es una declaración de inferioridad"
Napoleón.

Páginas: [1]

Ir Arriba

Respuesta

Imprimir

Ir a:

elotrolado	lawebdegoku	MundoDivx	Hispabyte	Truzone
ZonaPhotoshop	Yashira.org	Videojuegos	indetectables.net	Seguridad Colombia
Indejuegos	Seguridad Informática	Juegos de Mario	Internet móvil	Noticias Informatica
ADSL	eNYe Sec	Seguridad Wireless	Underground México	Biblioteca de Seguridad
InSecurity.Ro - ISR	Soluciones Web	ejemplos de	El Lado del Mal	Blog Administrador Sistemas
Blog Uxio	thehackerway	Tienda Wifi

Todas las webs afiliadas están libres de publicidad engañosa.

Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines