jueves, 13 de julio de 2017

MITM ARP POISONING y DNS SPOOFING con ETTERCAP para robar la contraseña de Facebook

Por el nombre de la entrada puede parecer algo muy complejo, pero no lo es tanto si se entienden una serie de conceptos básicos de redes y se entiende bien el modelo TCP/IP. El objetivo es robar la contraseña de un usuario de Facebook-se puede igual con otra red social-. Para esto, lo primero que necesitaremos es que la victima esté conectada en la misma red que nosotros, puede parecer un requisito a priori complicado, pero no mucho; aunque eso se abordará en futuras entradas.



La base del ataque es la ingeniería social para poder realizar el spoofing del DNS de la víctima para posteriormente realizar el Man In The Middle y sniffar hasta que la víctima introduzca sus credenciales.


Como se ha dicho, para esto nos vamos a ayudar en primer lugar, de Kali Linux y de su Social-Engineer Toolkit. Pulsaremos en la opción número 1 y seguiremos así pasando por las siguientes opciones:

Social-Engineering Attackss>>Website Attack Vectors>>Credential Harvester Attack Method>>Site Cloner.


Una vez seguidos todos los pasos anteriores, tendremos que introducir nuestra dirección IP-recuerdo que somos el atacante- ya que la web que vamos a clonar necesita una dirección IP, ya que lo que queremos es realizar un Spoofing del DNS de la víctima para que cuando quiera ir a facebook.com, lo llevemos a nuestra dirección IP y con el sistema de resolución de nombres DNS, le resolverá que nuestra dirección IP es facebook.com bajo http.

Solamente tendríamos que escibir la dirección URL a clonar, en este caso la de Facebook y ya podemos pasar al siguiente paso.


Deberemos antes de nada, irnos a /etc/ettercap/ y rectificar el archivo etter.conf para modificar los privs y asegurarnos que tanto ec_uid como ec_gid están puestos a 0.


El siguiente paso es uno de los más importantes, ya que tendremos que entrar en etter.dns y hacer que cuando se busque el dominio de facebook.com, nos rediriga a nuestra dirección IP, donde estaremos a la escucha y pendientes de que la víctima escriba sus credenciales y nos lleguen en texto plano. En este caso para los servidores DNS atacante, se han usado 3 entradas, 2 con records A y otro PTR.

Recalco que es importante dejar el ataque que se ha realizado con Social-Engineering Tool en segundo plano y no cerrarlo.


El paso final es usar la herramienta Ettercap, algo que puede ser lioso al principio, pero que los pasos son:

Sniff>>Unified Sniffing
Hosts>>Scan fr hosts
Hosts>>Hosts list
Añadir la dirección del router que suele terminar en *.*.*.1 como target 1. Esto se hace pulsando en la dirección IP primero y después "Add to Target 1"
Añadir la dirección de la víctima como target 2.
Plugins>>Manage the plugins-->Seleccionamos dns_spoof
MiTM>>ARP Poisoning-->Escogemos la opción de Sniff remote connections y pulsamos 'OK'
Start>>Start Sniffing


Lo que vamos a hacer es ponernos en medio de la víctima y el router, para eso, tendremos que envenenar el protocolo ARP de la víctima y que las peticiones de la víctima llegue a nosotros.


Una vez que la víctima pida ir a Facebook, veremos cómo va funcionando la redirección hacía nuestro equipo atacante por el spoofing de dns que se ha realizado.


Vemos que ha funcionado el spoofing del DNS de la víctima y que ha llegado a nuestro servidor atacante que finge ser Facebook, pero que como se puede comprobar por la URL, va bajo HTTP, por lo que no puede ser el sitio original de Facebook.


Y como se ha dicho, solamente tendremos que mantenernos a la escucha hasta que la víctima envíe sus credenciales y nos lleguen a nosotros tal y como se ve en la captura anterior. Y la magia se ha realizado, hemos conseguido robar el usuario y contraseña de un usuario de Facebook.

Como se ha visto, es un ataque bastante sencillo y que cualquier sin tener mucha idea y siguiendo solamente un manual como esta entrada, puede hacer mucho daño a mucha gente si su intención es mala.

Posibles escenarios

Para este ataque, precisaremos de que el atacante esté en la misma red wifi que nosotros, algo que puede parecer muy complicado, pero que, como veremos en próximas entradas, no es muy complicado.

O sino, podemos aprovecharnos de una víctima de un StarBucks o una víctima de una Biblioteca. Las formas son varias y el método de robar contraseñas, es más sencillo de lo que se suele pensar, algo que deja bastante desprotegidos a los usuarios..

¿Hackeamos el Mundo?



No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...