|
Título: NDIS driver en windows 10 - ARP spoofing windows Publicado por: Kaxperday en 27 Febrero 2016, 15:47 pm Buenos días a todos, siento que ya no me conecte mucho al foro pero bueno como ya sabéis esto va por rachas.
Como algunos sabréis estaba haciendo un sniffer para windows 10 y anteriores versiones. Anteriormente el sniffer funcionaba bien y era capaz de realizar ARP spoofing, interceptar paquetes y modificarlos que ahí era por donde me quede la última vez que me funcionó. Para hacer el ARP spoofing necesitaba usar un driver NPF para poder inyectar los paquetes ARP spoofeados donde mando un ARP response con mi MAC asociandola a la IP del router como sabréis. Lo que ocurre es que los paquetes ARP donde asocio mi MAC la IP del router son bloqueados en drivers de nivel más bajo que el NPF (Intermediate drivers, NDIS...) y no salen a la red, aunque el wireshark del atacante los capture. Os dejo un link donde viene muy bien explicado: https://www.winpcap.org/docs/docs_412/html/group__NPF.html NPF funciona correctamente y manda el paquete a la NIC correspondiente sin error luego el problema es lo que ocurre más allá de usar el protocol driver, el paquete una vez enviado a la NIC pasa por drivers intermedios hasta salir y es allí donde uno filtro lo capa impidiendo el ARP spoofing en windows 10 y probablemente en 8 también. Lo que necesito saber es cual es el driver que filtra ese paquete en última instancia para de alguna manera suplantarlo por una versión de driver anterior al mismo. En windows 10 (principal SO) las versiones de NDIS que tengo son: VirtualBox Host-Only Network 6.0, Wi-Fi 6.50, Ethernet 6.30. En windows 7 (VirtualBox): No pude comprobarlos por un error de la PS. En windows 10 (VirtualBox): Ethernet 6.0. Quizás las versiones NDIS anteriores no tengan implementado el filtro. Todas las máquinas virtuales usan adaptador puente de red y cuando utilizo mi programa de ARP spoofing es capaz de spoofear las máquinas virtuales y las máquinas virtuales spoofean el SO principal, pero no son capaces de spoofear paquetes de fuera de la red. El caso es que con máquinas virtuales no puedo comprobar si funciona en otras versiones de windows porque como driver de última instancia usan el de windows 10 al ser máquinas virtuales, así que es perder el tiempo, necesitaría probar con los SOs instalados en la BIOS directamente. Si alguien hiciera una prueba de si le funciona en su windows el ARP spoofing le estaría agradecido y que me diera información de los drivers de red que usa. El caso es que con máquinas virtuales no puedo comprobar si funciona en otras versiones de windows porque como driver de última instancia usan el de windows 10 al ser máquinas virtuales, así que es perder el tiempo, necesitaría probar con los SOs instalados en la BIOS directamente. Drivers NDIS windows 10: ndis.sys, ndisuio.sys, ndisimplatform.sys, ndisvirtualbus.sys, ndiscap.sys, ndistapi.sys, ndiswan.sys. Tanto en el primario como en el de la máquina virtual. Drivers NDIS windows 7: ndis.sys, ndisuio.sys, ndistapi.sys, ndiswan.sys, ndiscap.sys. Vemos que se han añadido al menos 2 drivers intermedios: ndisimplatform.sys(Network Adapter Multiplexor Protocol service), ndisvirtualbus.sys (Virtual Network Adapter Enumerator service). Creo que en windows 7 si que funcionaría (al menos con las primeras versiones de sus drivers al igual con windows 10 ya que antes me funcionaba hasta que modifico sus drivers de red), si ese fuera el caso, supongo que tendría que hacer algo como reinstalar los drivers afectados de windows 7 en windows 10... como nunca he tratado con drivers no sabría como hacerlo pero seguro habrá alguna manera como desinstalar el driver que bloquea los paquetes una vez detectado o bypassear su filtro ARP. Continuará... https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwib5dj-_5rLAhXC0hoKHZ7zC7QQFgggMAA&url=http%3A%2F%2Fwww.ipcsit.com%2Fvol29%2F004-ICSST2012-S013.pdf&usg=AFQjCNEd2xNu_jS1FBga6oMv2pSw41tYdg Saludos. |