Utilisation de Surfjack pour récupérer et

réutiliser des cookies sur un réseau ethernet ou

wifi
 
A travers cet exercice, nous allons apprendre à utiliser Surfjack. Surfjack
permet de récupérer des cookies sur un réseau ethernet ainsi que sur un réseau
wifi ouvert ou encrypté en WEP. Dans certains cas, Surjack permet meme de
récupérer des cookies sur des sites utilisant le https.
 
1/ Présentation de l'outil: Surfjack
 
Surfjack est un outil de "cookie stealing", littéralement "vol de cookie". En l'utilisant sur un réseau, il est ainsi possible
de récupérer des cookies et de les réutiliser grace au proxy intégré. Pour cette démonstration, je vais utiliser Surfjack
sur un réseau ethernet switché. Je vais récupérer un cookie punbb (le cookie qui me permet de m'identifier sur le forum
crack-wifi.com) et je vais pouvoir, depuis la machine qui lance l'attaque, me connecter sur le forum en tant que
"M1ck3y" sans avoir validé le moindre identifiant ni mot de passe. Il ne s'agit que d'un exemple, bien entendu, Surfjack
fonctionnera tout aussi bien avec d'autres types de cookies. Cet outil est assez similaire à Wifizoo au niveau de son
fonctionnement, mais contrairement à Wifizoo qui ne permet de récolter des cookies que sur des réseaux wifi ouverts
(en théorie du moins, car nous avons vu qu'il était possible d'utiliser Wifizoo pour récupérer des cookies sur un réseau
encrypté en WEP en ayant au préalable utilisé Airdecap-ng pour décrypter les données), Surfjack permet de récupérer
des cookies sur des réseaux Ethernet et WEP. En fait, Surfjack est un curieux mélange de Wifizoo et de Karmetasploit.
 

2/ Surfjack: Download, Install & Config

 
Rendez vous sur googlecode.com pour télécharger Surfjack. Ca fonctionne aussi en ligne de commande (je travaille dans
un dossier nommé surjack que j'ai créé sur le desktop):
wget http://surfjack.googlecode.com/files/surfjack-0.2b.zip
unzip surfjack-0.2b.zip
cd /root/Desktop/surfjack/surfjack-read-only
Vous devez ajouter dans ce dossier le fichier scapy.py. Une petite recherche vous permettra de trouver scapy sur le
net, pour ce test j'ai tout simplement récupéré scapy depuis Wifizoo (voir le lien un peu plus haut). Il faut tout d'abord
lancer Surfjack une première fois afin qu'il crée un fichier de configuration (surfjack.ini). Voila ce que ça donne:
bt surfjack-read-only # python surfjack.py -i eth0 -v
WARNING:getconfig:surfjack.ini not found.. creating default
INFO:root:surfjacking the following sites: http://www.salesforce.com/ http://www.amazon.com/
http://www.skype.com/ http://myspace.com/ http://www.facebook.com/ http://mail.google.com/
INFO:root:hijacking connections to the following ips: 1.1.1.1
INFO:root:monitor interface: eth0
INFO:root:inject interface: eth0
INFO:root:started proxy
INFO:DrukqsProxy:Drukqs HTTP Proxy on 127.0.0.1:8080
On doit maintenant stopper Surfjack. Il est impossible de l'arretter avec un ctrl+c (à cause du proxy), on peut donc
lancer dans un autre shell:
killall python
Ou bien aller dans Système/KSysGuard/Process Table, sélectionner le processus "python" et cliquer sur kill. Nous
pouvons maintenant modifier le fichier .ini, voici le fichier .ini que j'ai utilisé pour cet exercice:
[surfjack]
site1=http://mail.google.com/
site2=http://myspace.com/
site3=http://www.facebook.com/
site4=http://www.crack-wifi.com/
[hijack]
ip1=1.1.1.1
 
A l'origine il y avait 6 sites, j'en ai supprimé 2 et j'ai remplacé le dernier par crack-wifi.com. Pour gonfler votre fichier
.ini, vous trouverez des listes de noms de sites web dans ce topic sur le forum: Script Karmetasploit pour une attaque rogue
AP très facile à effectuer. Avant de passer à l'attaque, un petit coup d'oeil aux options:
Usage: just run surfjack.py. use --help to print out the help
Options:
--version show program's version number and exit
-h, --help show this help message and exit
-i INTERFACE specify an interface
-v increase verbosity
-q quiet mode
-j INJIFACE interface to use to inject packets with
-W WEPKEY WEP key
-c CONFIG Specify a custom configuration file
--dontignoreself Disable ignoring of own traffic
 

3/ L'attaque: Mitm et Cookie stealing

Avant de lancer l'attaque, comme bien souvent, il convient de se placer en situation de man in the middle avec
ettercap ou arpspoof:
arpspoof -i eth0 -t 192.168.1.25 192.168.1.1
Un dernier détail à règler, ne pas oublier de configurer le navigateur afin qu'il se connecte au net à travers le proxy de
Surfjack, en local sur le port 8080 (vous trouverez des explications détaillées sur la configuration du navigateur dans le
tuto sur Wifizoo, voir le lien en haut de la page).
On lance l'attaque:
python surfjack.py -i eth0 -v
Sur la machine cible, je surfe et je me connecte sur crack-wifi.com. On peut voir de l'activité du coté de Surfjack:

L'image ne permet pas de lire ce qui est écrit dans le terminal, mais on distingue très nettement 2 séries cookies: ce
sont les suites de lignes qui traversent l'écran. Pour utiliser les cookies, on se connecte à l'adresse suivante:
http://setcookies
L'interface est nettement moins flatteuse que celle de Wifizoo, mais c'est le résultat qui compte... En cliquant sur le
dernier lien, www.crack-wifi.com, voici ou nous sommes redirigés:

On peut voir un pseudo (le mien) sur la page d'accueil, alors que je n'étais pas loggé sur le site avec ce navigateur... Un
petit tour sur le forum:
Grace au cookie, nous sommes loggés sur le forum sans avoir validé de nom d'utilisateur ni de mot de passe.
Comme toujours je vous rappelle que les réseaux mal protégés, qu'il s'agisse de réseaux wifi ou meme en LAN,
présentent de réels dangers pour la sécurité et la confidentialité de vos informations. Soyez prudents sur le net, et lisez
nos autres tutos .
 
N'hésitez pas à visiter notre section wifi contenant de nombreux outils dédiés aux tests de sécurité des réseaux wifi,
notre section PACKS CRACKS WPA contenant de nombreux fichiers dictionnaires, ainsi que le forum du site.
 

Liens utiles:
Le Tuto Wifizoo
Le Tuto Karmetasploit
Le PDF Surf Jacking, Https will not save you
 

ATTENTION
Nous déclinons toute responsabilité concernant l'usage de ce tutoriel par des personnes mal intentionnées. Nous vous
rappelons qu'il est interdit de s'introduire sur un réseau sans l'accord de son propriétaire. N'oubliez pas que le fait
d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans
d'emprisonnement et de 75000 euros d'amende, rappel à la loi nécessaire.