elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  sslstrip & arpspoof (cerrar conexión)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: sslstrip & arpspoof (cerrar conexión)  (Leído 16,555 veces)
rigg

Desconectado Desconectado

Mensajes: 10


Ver Perfil
sslstrip & arpspoof (cerrar conexión)
« en: 13 Noviembre 2011, 20:21 pm »

Hola a todos, aunque llevo tiempo siguiendo este foro hoy he decidido poner en un hilo una cuestión que me trae de cabeza.

Llevo tiempo usando sslstrip para monitorizar las conexiones SSL y junto con arpspoof pues perfecto de la siguiente manera:

Código:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080
arpspoof -i wlan0 -t 192.168.1.100 192.168.1.1
python sslstrip.py -l 8080

Después miro el archivo.log de sslstrip y listo ahí aparecen los usuarios y contraseñas, pero con un problema. Aparecen, si no tiene iniciada la sesión en la página. Si ya ha iniciado la sesión me aparecen caracteres raros de "id" (secuencia de números).

¿Como puedo obligarle a cerrar la sesión para que tenga que logearse de nuevo?. Con ettercap lo he hecho pero el problema es que ettercap no funciona nada bien con el sslstrip en backtrak. Me da el famoso error "send l3 error".

Gracias a todos.

En línea

adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: sslstrip & arpspoof (cerrar conexión)
« Respuesta #1 en: 14 Noviembre 2011, 10:28 am »

Si, te salen caracteres "raros" porque el trafico viaja cifrado y SSLStrip te vale para convertir HTTPS por HTTP en el proceso de autenticación, solamente para eso te podria valer. Si quieres cerrar la sesión del usuario, (suponiendo que se encuentre en una red inalambrica) podrias utilizar aireplay-ng para enviar paquetes de DeAuthentication para interrumpir su conexión con el AP y obligarle a volver a conectarse (y posteriormente a volver a iniciar sesión). De momento es lo que se me ocurre...  :)
En línea

adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: sslstrip & arpspoof (cerrar conexión)
« Respuesta #2 en: 14 Noviembre 2011, 10:41 am »

Bueno, se me olvidaba, ya que estas utilizando dsniff, puedes jugar un poco tambien con otras utilidades incluidas como por ejemplo tcpnice y tcpkill, de esa forma podras "matar" la conexión del usuario y el sitio web con el que interactua, obligandole de esta a autenticarse nuevamente...
En línea

rigg

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Re: sslstrip & arpspoof (cerrar conexión)
« Respuesta #3 en: 14 Noviembre 2011, 15:16 pm »

Muchas gracias adastra

voy a probar a ver que tal. El problema es que ettercap me da muchisimos problemas y no puedo utilizarlo. La verdad es que esa opción en ettercap era muy facil, pero no me ha dado por buscar lo que me acabas de comentar...

voy a probar y te digo, a ver que tal funciona.

Gracias!!!!!!!!!!
En línea

d00ze13

Desconectado Desconectado

Mensajes: 78


Ver Perfil
Re: sslstrip & arpspoof (cerrar conexión)
« Respuesta #4 en: 14 Noviembre 2011, 19:41 pm »

Otra opcion, puede ser acceder al router y resetearlo, aunque no se si se le quedara guardada la cookie con la sesion, en ese intervalo de tiempo tan pequeño.
En línea

rigg

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Re: sslstrip & arpspoof (cerrar conexión)
« Respuesta #5 en: 14 Noviembre 2011, 23:41 pm »

Pues he probado la opción "tcpkill host <ip victima>" y efectivamente se queda sin conexión, pero cuando lo paro y actualizo la página se mantiene. Ejemplo: dentro del correo de hotmail. Ejecuto y no se puede cargar la página pero cuando pulso Crtl+C y se detiene, actualizo en el cliente y sigue dentro del correo, por tanto la sesión se mantiene.

No es una opción válida. Lo ideal sería un comando que cuando lo ejecutara al actualizar o navegar por la página le cerrara la sesión y por tanto le redirigiera a la página de login para forzarlo a introducir los datos, si no, como monitorices una conexion ya logueada sólo ves "id" y secuenciaans de numeros.

Probare reseteando el router.

Thanks
En línea

adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: sslstrip & arpspoof (cerrar conexión)
« Respuesta #6 en: 15 Noviembre 2011, 00:29 am »

Reseteando el router tampoco conseguirás nada...
La razón? la sesión se mantiene porque el servicio al que esta conectado el usuario es una cuenta de correo como gmail, o algo parecido, que para mantener la sesión almacena una cookie en el navegador del usuario, a efectos prácticos, resetear el router o matar la conexión es exactamente lo mismo. Por otro lado, casi todas las cookies son temporales, así que tienes dos opciones, dejar el tcpkill hasta que la cookie de la sesión expire (lo que te puede llevar tiempo), o la otra opción es como te dije anteriormente, trastear un poco más con dsniff, existe otra utilidad en ese paquete que se llama dnsspoof que es justo para controlar la navegación de un usuario cuando solicita un dominio, por ejemplo "gmail.com", y en lugar de resolver la dirección IP real, resuelve una que el atacante indica, esa seria la solución que realmente te vendría bien. Sin embargo, a donde redirigirlo? para ello yo utilizaría SET y clonaría el sitio web al que trata de conectarse la víctima, con eso ya tienes el vector de ataque completo! te lo resumo en los siguientes pasos:

1. Envenenas como lo has hecho hasta el momento.
2. Inicias el servicio de DNSSPOOF apuntando a una dirección que controlarás con SET.
3. Inicias el "Site Cloner" de SET con un Java Attack por certificado.
4. Capturas los datos ingresados por la victima (login y clave)

Lo siento si ahora he excluido SSLStrip del proceso, pero en esta ocasión no te será útil para lo que quieres hacer, si una conexión SSL/TLS ya ha sido establecida, SSLStrip es inutilizado completamente, ya no servirá absolutamente para nada, lo mejor es lo que te he comentado anteriormente.
Para mayor información sobre SET, puedes leer esta serie de tutoriales:

http://thehackerway.com/2011/09/12/conceptos-basicos-y-avanzados-de-set-social-engineer-toolkit-%e2%80%93-parte-i/

http://thehackerway.com/2011/09/14/conceptos-basicos-y-avanzados-de-set-social-engineer-toolkit-%e2%80%93-spear-phishing-%e2%80%93-parte-ii/

http://thehackerway.com/2011/09/16/conceptos-basicos-y-avanzados-de-set-social-engineer-toolkit-%e2%80%93-web-attack-vectors-%e2%80%93-parte-iii/

http://thehackerway.com/2011/09/19/conceptos-basicos-y-avanzados-de-set-social-engineer-toolkit-%e2%80%93-web-attack-vectors-%e2%80%93-parte-iv/

Son los introductorios, si sigues las siguientes partes y profundizaras aun más en su uso. Con los pasos que te he indicado, creo que conseguirás tu objetivo, te lo digo porque ya lo he probado en el pasado variassss veces y nunca me ha fallado...
Un Saludo.
En línea

zosemu

Desconectado Desconectado

Mensajes: 39


Ver Perfil
Re: sslstrip & arpspoof (cerrar conexión)
« Respuesta #7 en: 15 Noviembre 2011, 00:41 am »

Código:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080
arpspoof -i wlan0 -t 192.168.1.100 192.168.1.1
python sslstrip.py -p -k -w /home/tu_user/algun_archivo.log -l 8080
Para eso sirve el parámetro -k para cerrar las conexiones existentes el -p es para capturar solo el contenido post.

Otra alternativa es verificar a que dirección IP se encuentra conectado ejecuta el wireshark con filtro para esa IP, luego que detectes el sitio a donde tiene la conexión SSL usas:
Código:
tcpkill -i wlan0 host ip_del_sitio

Ahora esperas un poco en lo que se cae su conexión y listo en unos segundos, al usuario se le cae la conexión, cierra el navegador, vuelve a abrirlo y habrás ganado.
En línea

rigg

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Re: sslstrip & arpspoof (cerrar conexión)
« Respuesta #8 en: 15 Noviembre 2011, 11:30 am »

Muchas gracias por vuestro interes.
Voy a leerme la información que me has pasado adastra y de ese modo hacer pruebas con DNSSPOOF. Gracias porque además estoy aprendiendo bastante con todo ello.

Esta tarde pruebo zosemu y os comento. No se si resultará.

Os tengo informados.
En línea

rigg

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Re: sslstrip & arpspoof (cerrar conexión)
« Respuesta #9 en: 15 Noviembre 2011, 15:42 pm »

Pues prueba realizada pero sin exito.

Al ejecutar
Código:
python sslstrip -p -k -w micaptura.log -l 10000
efectivamente. Se queda sin conexión. Pero totalmente. No navega, por tanto tengo que cortar todos los procesos. Hasta arpspoof para que vuelva a terner internet.

Con dnsspoof no he hecho en profundidad las pruebas pero básicamente es redirigir a otra dirección. Supongo que a esa dirección estará clonada por mi, pero el problema es el certificado. Se nota un montón (al menos con ettercap se notaba) ya que aparece el mensaje típico lo que pega un cantazo bestial.

Voy a seguir bicheando a ver que encuentro para poder cerrar una sesión. Me basta con hacerle que la cookie caduque. A ver que encuentro y os sigo comentando.

Ah, me vendría muy bien poder monitorizar no sólo un cliente, si no toda la red. Podría simplificarme la cosa pero ahora mismo estoy que no me entero por las pruebas. Si se os ocurre como....
Thanks
« Última modificación: 15 Noviembre 2011, 15:45 pm por rigg » En línea

Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
La mejor forma de cerrar una conexión
Bases de Datos
dimitrix 3 2,926 Último mensaje 16 Mayo 2011, 12:49 pm
por dimitrix
¿como cerrar conexiones para usar sslstrip?
Hacking
thedevilini 5 4,945 Último mensaje 5 Enero 2012, 23:45 pm
por adastra
ARPSPOOF me deja sin conexion a internet
Hacking
luza 0 2,740 Último mensaje 18 Diciembre 2012, 05:42 am
por luza
ARPspoof + SslStrip
Hacking
karrax 7 6,552 Último mensaje 18 Agosto 2014, 12:36 pm
por faddlenope
ayuda con arpspoof y sslstrip.
Hacking
passgpc 2 2,804 Último mensaje 27 Octubre 2015, 03:34 am
por passgpc
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines