sábado, 17 de noviembre de 2018

Spoofing whit ARPspoof and Arp Spoofing Man-in-the-middle attack



Link de descarga
 https://github.com/byt3bl33d3r/arpspoof

ARPspoof es una técnica usada comúnmente por atacantes en redes internas para ataques MITM, DOS o para explotar algún fallo en la victima y asi obtener acceso al equipo en combinación con técnicas como DNSspoof y sniffing, entre otras (solo sirve para redes locales que ya se tienen acceso a ellas como por ejemplo casa/trabajo o una red wifi en la cual hallamos echo una auditoria de red con wifislax por ejemplo)
La Address Resolution Protocol (ARP por su siglas en inglés) es un protocolo de capa 2.
Cuando se envía un paquete de un host a otro hay que indicar en su cabecera la dirección física (MAC), que es un identificador fijo y único asignado a cada tarjeta de red. 

Cuando una aplicación se quiere comunicar con otra a través de una red usará el protocolo IP para identificar la máquina de destino, pero teniendo en cuenta que las direcciones  IP pueden variar se hace imprescindible asociarlas a las direcciones físicas (MAC). 
Para ello, se utiliza el protocolo ARP, de modo que cuando un paquete llega a una máquina, esta comprueba que en la cabecera se indique su MAC y si no coincide con la suya, ignorará el paquete.
Todos los datos asociados a las dirección tanto IP como MAC pueden verse en una tabla de ARP, y puede darse el caso de que una aplicación quiera enviar un paquete a una IP que no se encuentra en dicha tabla (al iniciar la PC, esa tabla se encuentra vacía). 

En ese caso es necesario preguntar quién tiene la IP deseada, y para ello también se usa el ARP. 
Para realizar dicha pregunta, la máquina enviará un paquete especial dirigido a la MAC ff:ff:ff:ff:ff:ff (broadcast), cuyo contenido será del estilo “¿quién tiene la ip x.x.x.x?”, por lo que cuando las máquinas de la red vean este paquete dirigido a esa dirección MAC especial, leerán el mensaje y únicamente la máquina que tenga la dirección IP por la que se pregunta responderá con otro paquete diciendo “Yo, x:x:x:x:x:x, tengo la dirección IP x.x.x.x”. Lo interesante, es que todas las máquinas de la red recibirán ese paquete, lo leerán y actualizarán sus tablas de IP y MAC con la nueva información, no solo la que hizo la pregunta.
El envenenamiento de las tablas ARP o ARPspoof consiste básicamente en inundar la red con paquetes ARP indicando que nuestra  mac address es la asociada a la IP de nuestra víctima y que nuestra MAC está también asociada a la IP del router (puerta de enlace) de nuestra red. 

De esta forma, todas las máquinas actualizarán sus tablas con esta nueva información maliciosa. Así, cada vez que alguien quiera enviar un paquete a través del router, ese paquete no será recogido por el router, sino por la máquina atacante, ya que se dirige a su dirección MAC, y cada vez que el router u otro equipo envíen un paquete a la víctima sucederá lo mismo. 
Como la máquina atacante sabe que “está envenenando el protocolo ARP” sí conocerá las direcciones MAC reales de todas sus víctimas, por lo que la podremos configurar para que reenvíe esos paquetes a su verdadero destinatario, así nadie notará que se ha metido en medio.
Debido a que absolutamente toda la información de la víctima pasa por el equipo del atacante, este es capaz de leer y modificar en tiempo real absolutamente todos los paquetes, desde leer y capturar credenciales, como son las de páginas de e-mails o bancos, pasando por la modificación de conversaciones de chat, solicitudes a páginas web, inclusive hasta redirigir una consulta a un host que contenga código malicioso, para que una vez ejecutado pueda tomar control del equipo víctima.
Mediante arpspoof desde Kali Linux en el modo Terminal podemos realizar el spoofing mediante los siguientes parámetros:


-i: interfaz en el que haremos el spoofing
-t: El target a quien le vamos a decir nuestra MAC
La IP del host que queremos suplantar
Para evitar que se corte el trafico del usuario deberemos activar IP forwarding. Simplemente deberemos hacer un echo al proc:

echo 1 > /proc/sys/net/ipv4/ip_forward
 

A continuación deberemos envenenar la tabla ARP de tanto el gateway como el usuario para obtener hacer pasar el tráfico por el sistema del atacante en ambas direcciones:
  
arpspoof -i eth3 -t 172.16.0.2 172.16.0.1 

Acontinuación hacemos lo mismo (en paralelo) con el gateway

arpsopp -i eth3 -t 172.10.0.1 172.16.0.2





Con esto ya podemos hacer un tcpdump en el equipo atacante para capturar todo el tráfico del usuario:
 
tcpdump -nni eth3 'host 172.16.0.2' -s 0 -w /tmp/all.your.packet.are.belong.to.us



Un ejemplo de tráfico HTTP que podríamos ver sería:

 

GET http://www.google.es/search?hl=es&source=hp&q=HOLA&btnG=Buscar+con+Google&meta=&aq=f&oq= HTTP/1.1

Host: www.google.es

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.1.6; Google-TR-5.9.911.3589-es) Gecko/20091201 Firefox/3.5.6

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300
Proxy-Connection: keep-alive
Referer: http://www.google.es/
Cookie: SS=Q0=bWFuIG5j; PREF=ID=0d7e92f0a892dcdb:U=a0d7411c93a9da83:TM=1261735618:LM=1261735947:S=usa2aENTuGjs6433; NID=30=E85Pp_GbpOrzO3dZsK8DqZiZ08XdR-C8BuJ3sEFDN5DHuw2TY8ew0a_QE_q8R6XNDEE439iNspdpZUOLexoMb
jHOcepayTpXPMwsxFNgAK951t59ZSaXI0qNxq0xQ0wg; SID=DQAAAIUAAACDMrYRGnoD5BYlPIKfMF1oOgds-T_bIw7Ynjy6wVbkOIDSglRTdglRiVY8VFb44ndsuboemg6oMecz-a8y8bprLcUh0U0Kkij68JSc2aYCyldfKVIZyO518ywtcjTvozNh9v3Vrvf25OwTypC9F9h
4oUWfQnHxY6AGpcPtecNo1f4QvHD3maLGRuh-uE89Ju8; HSID=AX3Vf3Lm0i2yz9st-

En equipos CISCO en este tipo de ataques se generaría una alerta similar a la siguiente:
 
Dec 31 09:53:10 MET: %SW_MATM-4-MACFLAP_NOTIF: Host 000a.aaac.007f in vlan 10 is flapping between port Gi0/1 and port Gi0/2

Video Tutorial

En este video, veremos cómo realizar la falsificación de ARP con arpspoof en Kali Linux o cualquier otro video de prueba de penetración. 
La falsificación ARP es un tipo de ataque en el que un actor malintencionado envía mensajes ARP (Protocolo de resolución de direcciones) falsificados a través de una red de área local. 
Esto da como resultado la vinculación de la dirección MAC de un atacante con la dirección IP de una computadora o servidor legítimo en la red. 
Una vez que la dirección MAC del atacante esté conectada a una dirección IP auténtica, el atacante comenzará a recibir los datos destinados a esa dirección IP. 
La suplantación de ARP puede permitir a las partes malintencionadas interceptar, modificar o incluso detener los datos en tránsito. 
Los ataques de suplantación ARP solo pueden ocurrir en redes de área local que utilizan el Protocolo de resolución de direcciones.

 


 

Video Tutorial en español ocupando distintas funciones al del otro Video de ArpSpoof 

 

 Arp Spoofing Man-in-the-middle attack whit Ettercap

==============================================================================
==============================================================================


       @@@@@@@ @@@@@@@ @@@@@@@ @@@@@@@ @@@@@@@ @@@@@@@ @@@@@@@ @@@@@@@
       @@        @@@     @@@   @@      @@   @@ @@      @@   @@ @@   @@
       @@@@@@    @@@     @@@   @@@@@@  @@@@@@  @@      @@@@@@@ @@@@@@
       @@        @@@     @@@   @@      @@  @@  @@      @@   @@ @@
       @@@@@@@   @@@     @@@   @@@@@@@ @@  @@@ @@@@@@@ @@   @@ @@     

                   A suite for man in the middle attacks

                 Copyright 2001-2017 The Ettercap Dev Team

==============================================================================
==============================================================================

link de descarga

http://www.ettercap-project.org/ettercap/downloads.html 
https://github.com/Ettercap/ettercap 

Como se ha mencionado, un ataque man in the middle ocurre cuando un atacante se interpone entre dos víctimas, donde puede simplemente captar transmisiones entre ambas víctimas, o también puede modificar la comunicación. En esta la siguiente guia se realiza MITM con Kali (Linux), entre un equipo con Windows 7 y el default-gateway, captando la comunicación hacia internet.
En windows 7 abrir un sitio Web, tomar nota de la mac e ip del default-gateway (arp -a), y la mac e ip del equipo con Kali. 






En Kali, hacer click en "Applications, Kali Linux, Sniffing/Spoofing, Network sniffers y ettercap-graphical". 


En el menu de ettercap, hacer click en "Unified Sniffing", para ingresar a las opcines de sniffing. 

Luego, se deben listar los hosts disponibles en la red para realizar el ataque, hacer click en "Hosts", y "Scan for Hosts". Ettercap comenzará con la identificación de los equipos, y se desplegará las opciones disponibles junto con la cantidad de equipos encontrados. Para listar los hosts, hacer click en "Hosts", y "Hosts List". 


En esta lista, aparecen los equipos con su ip y mac respectiva. Se debe seleccionar entre qué equipos se quiere realizar el ataque, para este caso, con las direcciones adquiridas en un comienzo, agregamos al target 1 el equipo con windows 7, y en el target 2, el default-gateway. 


En la parte inferior de ettercap, aparecen los hosts agregados a los targets respectivos. 


Con las direcciones agregadas a los targets, se hace click sobre el menu "mitm", y luego en "arp poisoning". 


En el pop-up, seleccionar el check-box "sniff remote conections". 


Con esto, ya tenemos interceptada la comunicación, los paquetes provenientes del equipo con windows 7 o el default-gateway, se encuentran redirigiendose hacia Kali.
Para analizar que sitios web se encuentra revisando el usuario interceptado, se puede hacer click en el menu, "Plugins" , y "Manage the plugins".


Posteriormente, hacer doble click en la opción, "remote- browser". 

Para comprobrar, se puede acceder a un sitio desde el equipo con windows7, (en este caso se ha ingresado a lun.cl. y se observa que el sitio web, carga relativamente levemente más lento). 


Además, se puede observar por consola en windows7, que la mac del default-gateway ha cambiado, y se encuentra duplicada, correspondiendo a la mac del equipo con Kali. 

Ahora, en ettercap se puede observar que van desplegandose los sitios visitados a traves de un browser, desde el equipo interceptado. 

También, desde Wireshark, se puede realizar un análisis del tráfico, observandose que el tráfico del equipo con windows7, es redirigido hacia el equipo con Kali, y luego, redirigido hacia el default-gateway, y viceversa. 

Finalmente, para detener el ataque se debe hacer click en el menu "mitm", y luego stop "mitm", y observar que el tráfico deja de pasar a traves del Kali. 


Video Tutorial usando Ettercap

En la demostración se hace una suplantación de ARP que se realiza utilizando Ettercap. 
Echando mano de una máquina virtual de Ubuntu como computadora víctima en la cual veremos pasar su trafico y capturaremos su usuario/contraseña y usaremos una máquina virtual Backtrack 5 R1 como atacante. 
Aunque el video es viejo las tecnicas y la manera de hacerlo son las mismas no han cambiado para nada.
El VMware debe tener configurada las interfaces de red en modo puente. Asi se puede engañar fácilmente a la computadora víctima siempre que el modo de puente esté habilitado para la tarjeta de interfaz de red virtual.





Existen diferentes herramientas para detectar este tipo de ataques, siendo las más conocidas ARPwatch, WireShark e incluso el mismo EtterCap, Recuerden que este mismo aaque se puede hacer también instalando las mismas aplicaciones en windows.

No hay comentarios.:

Publicar un comentario