miércoles, 5 de enero de 2011

Man in the middle (Cain & Abel)

En este articulo voy a explicar como conseguir una contraseña de un router y ya puestos una de www.hotmail.com con el sniffer Cain & Abel.
Debemos tener claro lo que es un Sniffer:
un Sniffer es un programa que recoge paquetes,
los paquetes son la forma que tiene una red de transmitir los datos, primero pasa por una serie de protocolos o reglas que se cumplen, se empaquetan y se envían al la ip o mac de destino.

El tema de los sniffer es muy amplio y se necesitan saber muchas cosas como los tipos de protocolos sobretodo los 802.xx , la forma de entramado de un paquete estudiar cada capa del modelo de OSI...

(lo mas importante es entender lo que esta pasando, no como cualquier "lamer" que solo le interesa saber robar contraseñas y punto.Si eres de esos creo que es mejor que te dediques al parchís porque en el mundo de la seguridad informática no pintas nada.
 Después de esta aclaración importante, es recomendable mirar estos sitios para entender un mínimo.
http://es.wikipedia.org/wiki/Paquete_de_datos
2º http://es.wikipedia.org/wiki/Packet_sniffer
http://es.wikipedia.org/wiki/Protocolo_(inform%C3%A1tica)
http://www.fortunecity.es/imaginapoder/artes/368/escuela/telecom/sniffer.htm

luego de tener unos conceptos mínimos nos bajamos el programa de la pagina oficial:
http://www.oxid.it/cain.html

hay que tener claro lo que es un man in the middle (hombre en el medio)













Petición:
-la víctima accede al router, del router al atacante, luego pasa al router otra vez y finalmente al servidor
Respuesta:
-del servidor al router, después al atacante, del atacante al router y luego a la víctima

esto quiere decir que el man in the middle puede controlar todo lo que esta pasando en ese momento, puede capturar todo el trafico, a esta técnica se le llama ARP spoofing o envenamiento ARP. se llama así porque ataca a la tabla ARP del router.

una vez con el programa instalado nos pedirá que instalemos el WinPcap
ya con todo instalado lo iniciamos y observamos varias pestañas
(file,view,configure,tool y help)
y las de abajo:
(decoders,network,sniffer,cracker,traceroute,CCDU,wireless y query)
ya explicaremos mas adelante todo en detalle.
lo que ahora importa es la pestaña de configure y sniffer
nos situamos en la de configure para configurar nuestra tarjeta de red

























seleccionamos nuestra tarjeta, para saber cual es la que necesitamos, vamos a CMD y escribimos hacemos un ipconfig para saber nuestra ip.

luego en ARP (Arp Poison Routing) podemos configurar la tarjeta para obtener una ip y mac falsa y mantener a salvo nuestra identidad.


























ahora activamos el sniffer pulsando el símbolo ese pixelado de color verde y luego el +







bien, le damos a aceptar y nos situamos en la pestaña de sniffer, clicamos con el botón derecho del ratón y  le damos a scan mac address: podemos (entre otras cosas) escoger el rango de ip que queremos que nos escanee o automáticamente nos escaneará las 255 posibilidades,

























pulsamos OK y nos mostrara los clientes conectados en ese momento:
podemos pulsar resolve host name para saber en nombre de host que casi siempre coincide con el nombre de usuario. vemos claramente que WIRESHOK2 esta trabajando para la imationgroup en este momento porque los demás no la rascan (excepto HOCKER)

si le damos a resolve host name, Cain intentara averiguar el nombre del host.
ahora nos vamos a la pestaña de abajo donde pone ARP y despues otra vez a ARP pero la de arriba
luego pinchamos en + para escoger a quien queremos envenenar y como.
en la columna de la derecha se escoge el cliente y en la de la izquierda el punto de acceso, luego pinchamos en OK.

si se hace al revés se posiblemente se denege el servicio al cliente.
se pulsa el boton que esta a la derecha del + (ese del simbolo radiactivo) para empezar a envenenar la red.

 tendrá que poner lo de poisoning, en el recuador de abajo saldrá full-routing si esperamos lo suficiente, si no pondra Half-routing.
aquí nos empezara esnifar paquetes en la pestaña de paswords nos refleja los que filtro.
En este momento todo lo que el personaje este haciendo con su navegador lo podremos analizar.
aquí nos filtrara todos los paquetes interesantes (aprenderemos como lo hace)
vemos que capturo 14 paquetes con el protocolo http  y que ademas el individuo entro en "www.hotmail.com" que tiene una seguridad barbara como veremos a continuación.


volvemos a la pestaña de ARP (abajo) y observamos lo que pasa,
no ha cogido 3 certificados y 5 APR-HTTP, nos situamos en la de APR-HTTP y resulta que Cain nos crea un documento (.txt) donde esta la información guardada de los paquetes.Lo abrimos con el botón derecho del ratón en view y....

pulsamos "control+b" para usar el buscador del explorer y filtramos la palabra "pass" en la linea que nos sale nos saldrá el usuario y la contraseña de dicha organización no gubernamental.
eso si¡¡¡ al señor cliente le va a aparecer un mensaje como este cuando intente acceder a su cuenta.

solo tendreis dichos datos si el personaje le da "vaya a este sitio web (no recomendado)"
esto sucede porque el certificado de esa pagina no es reconocido por el explorador entonces te abisa, pero en paginas como edu.xunta.es cambian ese certificado cada poco tiempo entonces siempre sale este mismo error cuando te diriges a esa pagina.lo cual es muy fácil darle a esa opción.
También esto pasa con "hotmail" porque tiene una "serguridad super cifrada" pero con gmail es un poco mas trabajoso pero tambien se puede conseguir igual que en tuenti,facebook,twitter,youtube.... (eso si con el cain creo que no se puede, yo uso Backtrack4 R2) ya os pondré como hacer xD.

nota//
cuando se accede a un router, no deja ningún mensaje y ya puede ser la contraseña mas segura del mundo que el Cain la pilla fijo.

este tutorial sera acabado y corregido en breves
wireshok

8 comentarios:

  1. grax,wireskok, tengo una pregunta, si el cliente no acepta el certificado no reconocido, entonces ¿no se crea el archivo de texto donde buscamos la pwd?. Sucede que si obtengo algunas ARP-HTTPS, como se observa en tu imagen, sin embargo cuando hago con click derecho "view" para ver el archivo de texto no tengo ninguno (no se generan), en la carpeta HTTP de CAin no aparece ningun archivo de texto...me estará faltando algo? de antemano gracias y muy bueno el tuto.

    ResponderEliminar
  2. Bueno, pues lo que sucede cuando el cliente no acepta el certificado,es que el navegador le redirige a otra pagina, por lo tanto esos datos que tendria que generar el cliente (contraseña usuario...) no circulan por la red porque nunca puso la contraseña ni nada, el aviso de certificado salta siempre antes de que el cliente se autentifique. por lo tanto nunca introduce sus credenciales y el cain no los snifa porque no existen.... (este tipo de ataques esta way para empezar a entender como funciona pero yo te recomiendo que uses ettercap y sslstrip que no sale ningun aviso de certificado ni nada de eso (es casi imposible que alguien se de cuenta) ademas sirve para gmail y cualquier conexion "segura"

    un saludo

    ResponderEliminar
  3. Hola, muy interesante..!, Hay la posibilidad que puedas explicar con el backtrack, ya que a mi parecer es mas potente que el Cain en todo aspecto. Gracias.

    ResponderEliminar
  4. Pues empece un tuto, pero no lo acabe, mira en la pestaña de la derecha del blog "man in the middle II" no lo acabe, pero cási, solo con que busques un minimo googleando, ya te enteras de todo.
    un saludo

    ResponderEliminar
  5. muy bueno pero sigo prefiriendo linux :P se-toolkit y websploit -
    :D

    ResponderEliminar
    Respuestas
    1. Gracias por comentar, yo la verdad también lo prefiero, pero si no te queda otra pues es una posible solución.
      Un saludo.

      Eliminar
  6. Hola! Cuando le doy a "view" no me abre ningún archivo de texto, en lugar de eso, me abre el Disco local C. Qué puede ser el problema? Tengo la versión 4.9.56.

    ResponderEliminar