elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Sistemas Operativos
| |-+  Windows (Moderador: Randomize)
| | |-+  NDIS driver en windows 10 - ARP spoofing windows
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: NDIS driver en windows 10 - ARP spoofing windows  (Leído 2,615 veces)
Kaxperday


Desconectado Desconectado

Mensajes: 702


The man in the Middle


Ver Perfil WWW
NDIS driver en windows 10 - ARP spoofing windows
« en: 27 Febrero 2016, 15:47 pm »

Buenos días a todos, siento que ya no me conecte mucho al foro pero bueno como ya sabéis esto va por rachas.

Como algunos sabréis estaba haciendo un sniffer para windows 10 y anteriores versiones. Anteriormente el sniffer funcionaba bien y era capaz de realizar ARP spoofing, interceptar paquetes y modificarlos que ahí era por donde me quede la última vez que me funcionó.

Para hacer el ARP spoofing necesitaba usar un driver NPF para poder inyectar los paquetes ARP spoofeados donde mando un ARP response con mi MAC asociandola a la IP del router como sabréis. Lo que ocurre es que los paquetes ARP donde asocio mi MAC la IP del router son bloqueados en drivers de nivel más bajo que el NPF (Intermediate drivers, NDIS...) y no salen a la red, aunque el wireshark del atacante los capture.

Os dejo un link donde viene muy bien explicado:
https://www.winpcap.org/docs/docs_412/html/group__NPF.html

NPF funciona correctamente y manda el paquete a la NIC correspondiente sin error luego el problema es lo que ocurre más allá de usar el protocol driver, el paquete una vez enviado a la NIC pasa por drivers intermedios hasta salir y es allí donde uno filtro lo capa impidiendo el ARP spoofing en windows 10 y probablemente en 8 también. Lo que necesito saber es cual es el driver que filtra ese paquete en última instancia para de alguna manera suplantarlo por una versión de driver anterior al mismo.

En windows 10 (principal SO) las versiones de NDIS que tengo son: VirtualBox Host-Only Network 6.0, Wi-Fi 6.50, Ethernet 6.30. En windows 7 (VirtualBox): No pude comprobarlos por un error de la PS. En windows 10 (VirtualBox): Ethernet 6.0. Quizás las versiones NDIS anteriores no tengan implementado el filtro.

Todas las máquinas virtuales usan adaptador puente de red y cuando utilizo mi programa de ARP spoofing es capaz de spoofear las máquinas virtuales y las máquinas virtuales spoofean el SO principal, pero no son capaces de spoofear paquetes de fuera de la red.

El caso es que con máquinas virtuales no puedo comprobar si funciona en otras versiones de windows porque como driver de última instancia usan el de windows 10 al ser máquinas virtuales, así que es perder el tiempo, necesitaría probar con los SOs instalados en la BIOS directamente.
Si alguien hiciera una prueba de si le funciona en su windows el ARP spoofing le estaría agradecido y que me diera información de los drivers de red que usa.

El caso es que con máquinas virtuales no puedo comprobar si funciona en otras versiones de windows porque como driver de última instancia usan el de windows 10 al ser máquinas virtuales, así que es perder el tiempo, necesitaría probar con los SOs instalados en la BIOS directamente.

Drivers NDIS windows 10: ndis.sys, ndisuio.sys, ndisimplatform.sys, ndisvirtualbus.sys, ndiscap.sys, ndistapi.sys, ndiswan.sys. Tanto en el primario como en el de la máquina virtual.

Drivers NDIS windows 7: ndis.sys, ndisuio.sys, ndistapi.sys, ndiswan.sys, ndiscap.sys.

Vemos que se han añadido al menos 2 drivers intermedios: ndisimplatform.sys(Network Adapter Multiplexor Protocol service), ndisvirtualbus.sys (Virtual Network Adapter Enumerator service).

Creo que en windows 7 si que funcionaría (al menos con las primeras versiones de sus drivers al igual con windows 10 ya que antes me funcionaba hasta que modifico sus drivers de red), si ese fuera el caso, supongo que tendría que hacer algo como reinstalar los drivers afectados de windows 7 en windows 10... como nunca he tratado con drivers no sabría como hacerlo pero seguro habrá alguna manera como desinstalar el driver que bloquea los paquetes una vez detectado o bypassear su filtro ARP.

Continuará...

https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwib5dj-_5rLAhXC0hoKHZ7zC7QQFgggMAA&url=http%3A%2F%2Fwww.ipcsit.com%2Fvol29%2F004-ICSST2012-S013.pdf&usg=AFQjCNEd2xNu_jS1FBga6oMv2pSw41tYdg

Saludos.



« Última modificación: 28 Febrero 2016, 18:45 pm por Kaxperday » En línea

Cuando el poder económico parasita al político ningún partido ni dictador podrá liberarnos de él. Se reserva el 99% ese poder.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Tutorial] Spoofing en Windows
Hacking
M1ndCr4ck 0 5,188 Último mensaje 9 Mayo 2010, 17:29 pm
por M1ndCr4ck
Dns Spoofing en Windows.
Hacking
APOKLIPTICO 4 8,257 Último mensaje 18 Febrero 2011, 13:06 pm
por APOKLIPTICO
Spoofing en Windows XP « 1 2 »
Hacking
TheInfinityJoker 10 9,952 Último mensaje 22 Marzo 2011, 01:36 am
por y0g-s0th0th
Avast Firewall NDIS Filter Driver
Software
DavidNK 0 1,397 Último mensaje 9 Abril 2013, 11:31 am
por DavidNK
Windows 10 NDIS me bloquea paquetes de ARP spoofing
Windows
Kaxperday 3 2,992 Último mensaje 23 Enero 2016, 15:14 pm
por Kaxperday
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines