elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Chanchullos, dudas y comentarios respecto al ARP Poisoning, DNS Spoofing...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Chanchullos, dudas y comentarios respecto al ARP Poisoning, DNS Spoofing...  (Leído 2,753 veces)
Debci
Wiki

Desconectado Desconectado

Mensajes: 2.021


Actualizate o muere!


Ver Perfil WWW
Chanchullos, dudas y comentarios respecto al ARP Poisoning, DNS Spoofing...
« en: 21 Abril 2013, 23:09 pm »

Buenas noches foreros!
Hoy vengo a plantearos unas cuantas dudas y unos cuantos comentarios sobre ciertos métodos y herramientas como el DNS Spoofing y el ARP Poisoning, a su vez también sobre Ettercap o la suite dsniff.

Debci's Tertulia


En primer lugar, unas cuantas dudas básicas que me rondan la cabeza (las enumero para facilitar su respuesta :D ):

1-En ocasiones tengo problema para hacer un ataque Mitm, porque por algún motivo, no logro por ejemplo redireccionar mediante DNS Spoofing a la víctima a mi web maliciosa. Con ettercap, una vez todo el proceso esta funcionando, ejecuto el plugin chk_poison y este me dice que el envenenamiento ARP está funcionando y además, en mi própia wlan, me he permitido el lujo de comprobar las tablas mediante:
Código:
arp -a
Y puedo observar como mi dirección física se asocia a la del enrutador, es decir que en principio esta funcionando.
Sin embargo al ejecutar el plugin de dns spoof (modificando previamente el fichero etter.dns para hacer las correspondientes redireciones), observo que el equipo víctima se queda sin conexión a internet, es decir, sigue autentificado, pero su navegador no carga ninguna página (cabe mencionar, que mediante el dns spoof estoy redirecionando todas las páginas, marcadas mediante el caracter '*' a mi própio webserver).El webserver malicioso funciona correctamente puesto, que he comprobado que se puede acceder a él desde la máquina víctima y logra infectar como es debido. Que puede estar ocurriendo? Me pasa en muchas redes, pero en concreto en la mía, es quizás por ettercap? Es quizás por el modelo de mi tarjeta de red (creo que soporta modo monitor)?

2-Tras trabajar un poco con otras suite's para sniffing y ataques Mitm diferentes a Ettercap, como por ejemplo dsniff y Wireshark, se me aparecen dos dudas:
2.1-Si consigo hacer funcionar el ARP poison de ettercap, puedo sniffar o hacer el dns spoof con otra suite? supongo que sí no?
2.2-Cuando analizo las trazas de paquetes con wireshark, es dificil distinguir tanta información, se que tiene un completo sistema de filtros, que ya   he tenido el placer de usar en várias ocasiones. Que se supone que debería observar ante un envenenamiento ARP? Que protocolo me lo muestra? ARP? Cuando? Veo muchos paquetes ARP durante el ataque.

3-Exactamente, cuando seleciono en Ettercap o Dsniff las IP's de la gateway y del cliente al que quiero atacar, a que Target (Target 1 o Target 2 según la nomenclatura del programa), corresponde cada una? Lo digo porque en la mayoría de guías, veo que hace seleccionar todos los clientes/IP's de la lan en ambas Targets y quería aclararme al respecto, ya sea que de igual o que de una manera u otra se consigan resultados distintos.

4-Tengo varios filtros para Ettercap preprogramados o sacados de alguna guía tutorial, en concreto uno, que me trae de cabeza, el cual me dispongo a mostraros:
Código:
  	
############################################################################
#                                                                          #
#  Jolly Pwned -- ig.filter -- filter source file                          #
#                                                                          #
#  By Irongeek. based on code from ALoR & NaGA                             #
#  Along with some help from Kev and jon.dmml                              #
#  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!");
  # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}
Hace un par de días, en mi casa, me puse a probarlo, como ya he comentado, suponiendo que el ARP Poisoning funcionaba a la perfección y el resto de historias, correctas. Para mi sorpresa, el filtro arrojaba muchos "zapped Accept-Encoding", por lo que entiendo que había sustituido en la cabecera por "Accept-Rubbish!", pero esto me resultaba de poca utilidad, puesto que lo que yo quería era modificar las imagenes o tan solo algo visible. En algunas ocasiones, salía "Filter ran", pero supuestamente afectaba a otro dispositivo de la red (digo supuestamente porque en mi casa somos 5, con móbiles, tablets, mas pc's, consolas), pero no pude determinar dónde. Supongo que funcionó a medias.
La cosa es que yo cargaba alguna página y saltaban los zap's del primer filtro, y por mas imágenes que había no las sustituia y me aseguré de que en las páginas que visitaba existiesen las tags que han de ser substituidas. Debo suponer entonces que es cuestión de equipos? De páginas? De navegadores? O simplemente el ataque no funcionó como debiere?
Intenté buscar también con Wireshark, pero no sabía ni por donde empezar. Puedo ver en los paquetes el código html que me remite el servidor? Yo no lo consigo, por ignorante, por supuesto.

5-Configuración requerida:
Puse el ip_forwading a 1, se necesita algo mas?

6-Tendré mas posibilidades de que mi ataque sea mas certero, si me conecto mediante un enlace físico (el cable de toda la vida) envezde mediante la wlan?

7-He pensado que quizás los filtros que no funcionaban fuesen porque visitase páginas de tráfico seguro (ssl-https), pero visité muchas (o todas) sin ninguna protección. Ssltrip, parece muy sencillo de usar, tanto que no se si lo estoy haciendo correctamente :O
Código:
sslstrip -w micaptura.cap
Y una vez en este, en principio el tráfico ssl ya será legible, pero... como busco entre tanta morralla información de valor, como credenciales?

Eso es todo por esta noche, se que es mucho para contestar, pero yo agradezco de ante mano que me hayáis leído.

Un saludo y un abrazo para todos!

En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
DUDAS y/o COMENTARIOS 2do CONCURSO « 1 2 »
Diseño Gráfico
skamilo 10 5,066 Último mensaje 28 Septiembre 2004, 13:26 pm
por Arg0s
Dudas con respecto a Base64
Criptografía
final_frontier 1 4,498 Último mensaje 7 Septiembre 2010, 23:37 pm
por APOKLIPTICO
Novato con dudas ataque Man in the middle // ARP-Poisoning
Hacking
rul3s 2 3,722 Último mensaje 24 Abril 2012, 22:56 pm
por Isótopo
Dudas respecto a la DeepWeb « 1 2 »
Hacking
eaguel 16 11,958 Último mensaje 22 Diciembre 2012, 18:45 pm
por peternash
dudas sobre arp-poisoning y wireshark
Hacking
Borito30 1 2,898 Último mensaje 6 Enero 2017, 11:47 am
por Ancasu
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines