Título: Intento de Spoofeo... Publicado por: Debci en 29 Junio 2010, 15:56 pm Hola a todos, para los que hayan seguido mi ataque a una red y para los que no, aqui viene mi sigueinte problema....
Tras crackear el wifi, escanear en busca de vulnerabilidades, en los PC de la lan, y no encontrar nada, viene la ingenieria social, he infectado una web con su applet, y este lanza un payload en el handler cuando se acepta, es el famoso java applet infection. La cosa es que para conducir a mi supuesta victima a dicha IP donde tengo el server web corriendo, he usado la tecnica de DNS spoofing, pero algo debe estar funcionando mal puesto que no hace el ARP Poisoning correctamente, la cosa es la siguiente, en otras circunstancias si que lo hacia bien, ahora hago un chk_poison para ver que todo ha ido bien y no me dice nada bueno, sin embargo en otras redes si que iba :s Os dejo el log de la consola ettercap: Código: Listening on wlan0... (Ethernet) Alguna idea? Comentar que esto lo hago entre mis pcs en mi lan, la PS3, el netbook y 2 pc mas. Cabe mencionar que estoy lejos del AP, tengo un 30% de señal y pierdo frecuentemente la conexion, creo que es por la lejania. Saludos Título: Re: Intento de Spoofeo... Publicado por: pianista en 30 Junio 2010, 01:52 am Estas lejos de tu propio AP?xD LOL
Título: Re: Intento de Spoofeo... Publicado por: Debci en 30 Junio 2010, 09:30 am Estas lejos de tu propio AP?xD LOL Del de casa de mi tio si a eso te refieres, pues es el que uso para pruebas con varios PC en su lan.Alguien que no de respuestas triviales? Si esque se le puede llamar respuesta. Saludos Título: Re: Intento de Spoofeo... Publicado por: kamsky en 30 Junio 2010, 13:20 pm pues si pierdes la conexión frecuentemente quizás sea ese el problema, para envenenar la tabla arp se envía cada cierto intervalo de tiempo paquetes, si estos se pierden a causa de la desconexión...
Título: Re: Intento de Spoofeo... Publicado por: Debci en 30 Junio 2010, 14:27 pm pues si pierdes la conexión frecuentemente quizás sea ese el problema, para envenenar la tabla arp se envía cada cierto intervalo de tiempo paquetes, si estos se pierden a causa de la desconexión... La cosa es que mientras etsoy conectado estable no funciona, no hay que tener ningun tipo de caracteristica especial para envenenar arp en la red donde te situas?Osea, que siempre funciona digo. Saludos Título: Re: Intento de Spoofeo... Publicado por: kamsky en 30 Junio 2010, 15:58 pm digilander.libero.it/SNHYPER/files/arppoison.pdf
explícanos que conclusiones sacas ;) Título: Re: Intento de Spoofeo... Publicado por: Debci en 30 Junio 2010, 16:22 pm digilander.libero.it/SNHYPER/files/arppoison.pdf Que me dice lo que ya habia leido, solo que no encuentro solucion a mi problema, pues funciona en todas las lans que he probado menos en esa...explícanos que conclusiones sacas ;) Saludos Título: Re: Intento de Spoofeo... Publicado por: pianista en 30 Junio 2010, 16:41 pm Creo que se refiere a que haya puesto una tabla de arp fija?
O a que tenga algún PC haciendo de firewall en la red, aunque dado que es doméstica es poco probable... Preguntale a tu tio la topología y así se puede dar antes con el error... Saludos Título: Re: Intento de Spoofeo... Publicado por: Debci en 30 Junio 2010, 17:14 pm Creo que se refiere a que haya puesto una tabla de arp fija? Ya he hablado con el, la cosa es que no tiene firewall, me ha dicho que es un pc simple con su router por medio.O a que tenga algún PC haciendo de firewall en la red, aunque dado que es doméstica es poco probable... Preguntale a tu tio la topología y así se puede dar antes con el error... Saludos Saludos Título: Re: Intento de Spoofeo... Publicado por: tragantras en 30 Junio 2010, 17:28 pm con que el PC tenga la entrada en la tabla estática ya no pueds hacer el ARP poisoning,
puede tambien que si tiene algun tipo de antivirus tenga protección contra este tipo de ataques... puede que los paquetes del router lleguen y los tuyos no, como han dicho la distancia al AP es determinante (no es una respuesta "trivial" como dices tu...) No me conozco la historia anterior, pero es posible que se haya conectado por cable y haya dejado de usar el inalambrico? Título: Re: Intento de Spoofeo... Publicado por: Debci en 30 Junio 2010, 17:35 pm con que el PC tenga la entrada en la tabla estática ya no pueds hacer el ARP poisoning, No, sigue habiendo wifi, probaré a acercarme, pero creo que con el 30% de señal no deberia haber problemas, no?puede tambien que si tiene algun tipo de antivirus tenga protección contra este tipo de ataques... puede que los paquetes del router lleguen y los tuyos no, como han dicho la distancia al AP es determinante (no es una respuesta "trivial" como dices tu...) No me conozco la historia anterior, pero es posible que se haya conectado por cable y haya dejado de usar el inalambrico? Saludos Título: Re: Intento de Spoofeo... Publicado por: pianista en 30 Junio 2010, 17:43 pm Realmente como esté conectado es lo de menos, simpre y cuando compartais router...
Yo opino que o bien como ya te han dicho, el PC detecta el arp poison algún antivirus, o bueno firewall más bien lo detectan... O bien el propio router detecta los arp poison y por eso no te deja hacerlos, eso lo puedes decubrir mirando con wireshark el tráfico y viendo si las secuencias son normales. Saludos Título: Re: Intento de Spoofeo... Publicado por: Debci en 30 Junio 2010, 18:01 pm Realmente como esté conectado es lo de menos, simpre y cuando compartais router... Y para eso, alguna solución?Yo opino que o bien como ya te han dicho, el PC detecta el arp poison algún antivirus, o bueno firewall más bien lo detectan... O bien el propio router detecta los arp poison y por eso no te deja hacerlos, eso lo puedes decubrir mirando con wireshark el tráfico y viendo si las secuencias son normales. Saludos Saludos Título: Re: Intento de Spoofeo... Publicado por: kamsky en 30 Junio 2010, 19:12 pm primero busca el QUÉ te impide hacer el envenenamiento, sigue el consejo de Pianista y ayúdate de wireshark para seguir el flujo...
una vez que hayas descubierto que es lo que te frena, puedes probar a fragmentar los paquetes o técnicas similares Título: Re: Intento de Spoofeo... Publicado por: Debci en 1 Julio 2010, 10:49 am primero busca el QUÉ te impide hacer el envenenamiento, sigue el consejo de Pianista y ayúdate de wireshark para seguir el flujo... El flujo...una vez que hayas descubierto que es lo que te frena, puedes probar a fragmentar los paquetes o técnicas similares Con wireshark veo 5 mil paquetes pasar delante mio... Algun patrón en concreto? Solo como sugerencia o seguiré investigando! Saludos Título: Re: Intento de Spoofeo... Publicado por: pianista en 1 Julio 2010, 11:53 am Joer que paquetes se mandan cuando haces un arp poison?
Pues esos son los que tienes que filtrar y mirar si realmente funcionan, te doy una pista, empiezan por a y acaban por p xD Saludos Título: Re: Intento de Spoofeo... Publicado por: Debci en 1 Julio 2010, 12:29 pm Joer que paquetes se mandan cuando haces un arp poison? apiculturaP?Pues esos son los que tienes que filtrar y mirar si realmente funcionan, te doy una pista, empiezan por a y acaban por p xD Saludos XDDDDD Ya se que son ARP, pero todos? Saludos Título: Re: Intento de Spoofeo... Publicado por: Debci en 3 Julio 2010, 15:04 pm Siento revivir el post de esta manera, pero lo he visto necesario.
Tras realizar todo tipo de pruebas en la red, he llegado a la conclusion de que la seguridad anti arp-poison no la proporciona un equipo, pues conectando dos pc mios a dicha red, no consigo spoffear el otro pc, y este seguro que no tiene anti-virus. Saludos Título: Re: Intento de Spoofeo... Publicado por: -- KiLiaN -- en 3 Julio 2010, 16:51 pm Tras leer el paper que te dejo kamsky (o al menos comenzar a leerlo) vi algo:
Citar Address resolution protocol (ARP) cache poisoning is a MAC layer attack that can only be carried out when an attacker is connected to the same local network as the target machines, limiting its effectiveness only to networks connected with switches, hubs, and bridges; not routers. Traduccion: Citar Address Resolution Protocol (ARP) envenenamiento de la caché es un ataque de la capa MAC que sólo puede llevarse a cabo cuando un atacante está conectado a la misma red local que el objetivo máquinas, lo que limita su eficacia sólo a las redes conectadas con switches, hubs y puentes, no routers. Quizas sea ese el problema, yo estoy intentando tambien hacer el spoof con el siguiente escenario: pc atacante: 192.168.1.1.129 pc victima: 192.168.1.1.130 Puerta de enlace (router): 192.168.1.1 hacemos el Mitm, yo estoy usando ettercap: sudo ettercap -T -i wlan0 -P dns_spoof -M arp /192.168.1.1/ /192.168.1.130/ Código: Listening on wlan0... (Ethernet) y compruebo si se ha realizado con exito el spoof con el plugin chk_poison: Código: Plugin name (0 to quit): chk_poison luego voy a la maquina victima y me meto en tuenti.com (es la direccion que tengo spoofeada por poner un ejemplo asi *.tuenti.* A la dns de google que no recuerdo ahora cual es xD) pero no funciona..el pc victima ingresa correctamente al tuenti :S Estoy usando tambien un router y claramente en el paper dice que no funciona con routers..podria ser ese el problema no? Saludos! Título: Re: Intento de Spoofeo... Publicado por: Debci en 3 Julio 2010, 17:14 pm Eso ocurre por el cache de DNS de tu navegador o incluso router ;D eso ya lo pasé, entra a una pagina que no hayas visitado nunca y ponle de filtro:
* A www.google.es Y verás que si funciona ;) El problema es que a mi no me poisonea ARP y no se como realizar el ataque de fragmentación de paquetes sugerido por el compañero Kamsky. Saludos Título: Re: Intento de Spoofeo... Publicado por: -- KiLiaN -- en 3 Julio 2010, 17:25 pm Y hay alguna manera de limpiar esa cache remotamente, es decir desde el pc atacante? o solamente se puede localmente?
Título: Re: Intento de Spoofeo... Publicado por: Debci en 3 Julio 2010, 17:50 pm Y hay alguna manera de limpiar esa cache remotamente, es decir desde el pc atacante? o solamente se puede localmente? Si lo dejas, en algun momento esa cache se tendrá que renovar y infectaras con la web falsa a tu victima.Puesto que si el cache no se renovase no estarias navegando por internet si no en localhost siempre ;) Saludos Título: Re: Intento de Spoofeo... Publicado por: -- KiLiaN -- en 3 Julio 2010, 18:34 pm Has probado dnsspoof? esta en la suit dsniff.
Código: sudo dnsspoof -i tutarjeta -h archivohost Se le pueden aplicar filtros y demas, mira el man ;) Título: Re: Intento de Spoofeo... Publicado por: Debci en 3 Julio 2010, 19:35 pm Has probado dnsspoof? esta en la suit dsniff. Y como compruevo que funciona?Código: sudo dnsspoof -i tutarjeta -h archivohost Se le pueden aplicar filtros y demas, mira el man ;) Porque estoy haciendo el ataque y no cae en mi web con applet infection. Saludos Título: Re: Intento de Spoofeo... Publicado por: -- KiLiaN -- en 4 Julio 2010, 20:37 pm Pues la verdad es que no lo se muy bien..se me ocurre que hagas el mitm con ettercap sin utilizar el plugin dns_spoof y utilizar el dnsspoof aparte y despues lanzar el plugin chk_poison para comprobar si a funcionado..
PD: al final mi spoofeo si funciono...se me olvido quitarselo al tuenti y no veas el mosqueo que se pillo mi novia cuando no podia entrar al dichoso tuenti :xD Saludos! Título: Re: Intento de Spoofeo... Publicado por: Debci en 4 Julio 2010, 20:43 pm Pues la verdad es que no lo se muy bien..se me ocurre que hagas el mitm con ettercap sin utilizar el plugin dns_spoof y utilizar el dnsspoof aparte y despues lanzar el plugin chk_poison para comprobar si a funcionado.. Jaja ya lo hago con dns_spoof y el arp_poison pero nod a resultado el check, no se si las arp dependen de cada app, no estoy seguroPD: al final mi spoofeo si funciono...se me olvido quitarselo al tuenti y no veas el mosqueo que se pillo mi novia cuando no podia entrar al dichoso tuenti :xD Saludos! Título: Re: Intento de Spoofeo... Publicado por: dazoverride en 12 Julio 2010, 06:41 am la distancia al AP es un problema te lo aseguro por experiencia propia. Pero yo el problema que tenia era que con la lejania se me desconectaba del router al usar el ettercap.
saludos! y suerte con el spoof, y kon el sniff del tuenti de tu tio XD Título: Re: Intento de Spoofeo... Publicado por: Debci en 12 Julio 2010, 09:50 am la distancia al AP es un problema te lo aseguro por experiencia propia. Pero yo el problema que tenia era que con la lejania se me desconectaba del router al usar el ettercap. Mmmm ya me tenia deses perado... voy a intentar acercarme xD me pondre en medio de la calle con el portatil...saludos! y suerte con el spoof, y kon el sniff del tuenti de tu tio XD "Chaval que haces?" "Nada poisoneando paquetes arp para spoofear dns" "Ammm... Vale... Y vas a tardar mucho? Tiene que pasar el camion de la basura." Saludos |