Tras leer durante bastante tiempo contenido de elhacker, creo que había llegado el momento de registrarse ya. Así que primero un poquito de presentación y luego ya paso a las dudas.
En mi caso desde siempre me han apasionado las tecnologías y la programación, y de un tiempo hacia aquí me llaman también muchísimo las redes, sobretodo todo lo relacionado con su seguridad, por lo que algo sobre lo que me encantaría aprender es pentesting.
En mi caso programo habitualmente en Java (sobretodo orientado a Android), PHP, Python y C, por lo que también intentaré darme una vuelta por esos foros por si pudiera ser de ayuda en algo!
Vengo con muchas ganas de aprender y poco a poco poder ser yo el que responda a alguna preguntas
Y ahora, las dudas que me han surgido.
Intentaré documentarlas tanto como pueda, ya que comprendo que influyen tantas variables que no será fácil saber qué está pasando...
Las preguntas las pondré en rojo, para que os sean más fáciles de identificar
1.- Pérdida de conexión tras ARPSPOOF
Me descargué la máquina virtual para VMware de Kali Linux, para empezar a aprender.
Bien, tras practicar un poco con las herramientas de nmap, ncat, y defenderme un poco con wireshark y hacer cuatro tonterías con ettercap (de las cuales poco saqué), quise probar con una intrusión a una MV (tengo 2 que utilizo para probar, una con Windows XP SP3 y la otra con Windows 7 Ultimate) conectadas en modo Bridged(automatic), y quise hacerlo "a lo grande" (quizás penséis que es algo pronto, pero me llamó).
Quise intentar utilizar SSLStrip y wireshark para obtener un login y pass de PayPal (mío, evidentemente. Repito que únicamente estoy aprendiendo y me infecto a mi mismo).
Mi problema viene a la hora de utilizar el comando arpspoof, el cual se carga el ARP del router y deja a toda la red sin conexión, obligando a desconectar el router durante 1 minuto y despues encenderlo de nuevo y reconectar todos los equipos.
No se por qué, solo ha funcionado una vez, el resto de veces se carga la red.
Os pongo los comandos que sigo:
Código:
sysctl -w net.ipv4.ip_forward=1
cat /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-port 8080
sslstrip -w log.txt -l 8080
Y entonces se queda corriendo el sslstrip generando el archivo log.txt (que casi siempre me da un contenido vacío).
También quiero decir que a veces, simplemente al ejecutar el primer comando,
Código:
sysctl -w net.ipv4.ip_forward=1
Después, si sigo teniendo internet, abro una nueva Terminal y ejecuto:
Código:
arpspoof -i eth0 -t 192.168.1.VICTIMA 192.168.1.ROUTER
Y como habitualmente esto me dejaba sin internet, ejecuto algo que he visto que hace otra gente, aunque me gustaría que me dijerais si es necesario:
Código:
arpspoof -i eth0 -t 192.168.1.ROUTER 192.168.1.VICTIMA
Y una vez hecho, en principio ya estaría hecho el MITM con SSLStrip.
Ahora activo Wireshark y lo pongo a capturar paquetes.
Entonces, desde la MV victima (si sigo teniendo internet, que casi nunca llega a este punto, y eso que lo hago siempre todo igual), navego hacia PayPal e introduzco mi nombre de usuario y contraseña, le doy a Login y al ir a ver el tráfico de Wireshark, me encuentro con que sigue yendo por HTTPS.
Ya os digo, una sola vez me funcionó y pude ver el login y password, el resto de veces, nunca.
Alguna idea de por qué, o qué estoy haciendo mal?
2.- Evil FOCA
También para aprender, quise intentar hacer lo mismo con Evil FOCA, esta vez desde Windows (consciente de que es una alpha).
Aquí tengo varias dudas:
Si tengo un router antiguo, es posible que la conexión siempre se realice por IVP4? Nunca he tocado tablas de enrutamiento ni nada...
Según tengo entendido, la Evil FOCA hace SSLSTRIP, y los pasos que sigo son:
Para MITM en IPV6 cojo el ataque SLAAC, añado el equipo IPV6 a Target (MV con Win7), y Start.
(También he probado el ataque WPADv6 con el mismo resultado)
Al ir a Wireshark y hacer la misma prueba con paypal, sucede lo mismo, lo veo en HTTPS.
Al menos con Evil FOCA no me ha sucedido ninguna vez que me deje sin internet...
Al ir a hacerlo con IPV4, entro en la pestaña de MITM IPV4 y selecciono ARPSpoofing, arrastro en Gateway el router y en target a la IP de la victima, le doy a Start, y hago la misma prueba, con el mismo resultado...
Qué estoy haciendo mal?