Vous êtes sur la page 1sur 14

INTRODUCCIN.

Este documento va dedicado a todos los usuarios que quieran aprender sobre el Ataque Man in the Middle o Sniffing y en especial a los que me pidieron este tutorial Win7,Bloodstar.

Darles las Gracias a mi maestro y amigo PervershO, tambin a Zykl0n-B que me sirvi de mucho su tutex.

XXXX

Berserker

XXXX

XXXX

Berserker

XXXX

ATAQUE MAIN IN THE MIDDLE OR SNIFFING (CAIN && ABEL, WIRESHARK) El ataque Main in the Middle o Sniffing consiste bsicamente en la captura de los paquetes que enva nuestra Red (ya sea una computadora en LAN o nuestro PC) en esos paquetes se transporta toda la informacin que se est enviando por Internet. Alguno de estos servicios que utilizan usuarios y contraseas, o datos confidenciales, estn encriptados o codificados para que no se puedan leer (por ejemplo las pginas web que contienen HTTPS al inicio del URL). Muchos otros como el servicio de FTP (File Transfer Protocol) viajan en texto plano de manera que cualquiera que intercepte esos paquetes puede llegar a interpretar los datos. El mejor sniff que recomiendo para Windows es Can&&Abel el cual es una herramienta de recuperacin de passwords para sistema Microsoft .Permite recuperar fcilmente varios tipos de passwords encriptados usando diccionarios, fuerza bruta y ataques mediante criptoanlisis. Tambin graba conversaciones VoIP, decodifica passwords, recupera claves de red o claves almacenadas en cach, crackea redes inalmbricas. El programa no hace exploit de ninguna vulnerabilidad de software, en cambio lo que hace es cubrir algunos aspectos de seguridad presentes en los protocolos estndares, mtodos de autentificacin y mecanismos de cach .Su principal propsito es el de recoger passwords de diversos lugares. Como se afirma en la pgina web de la herramienta; esta ha sido desarrollada con la esperanza de que sea til a los administradores de redes, profesores, testeadores de intrusiones en el sistema y a cualquier otro profesional de seguridad.

Wireshark es un capturador/analizador de paquetes de red. Wireshark te permitir ver, aun nivel bajo y detallado, qu est pasando en tu red. Adems es gratuito, open source, y multiplataforma. Sin duda la mejor opcin al momento de auditar nuestra red. Posee una interfaz grfica y muchas opciones de organizacin y filtrado de informacin. As, permite ver todo el trfico que pasa a travs de una red (usualmente una red Ethernet, aunque es compatible con algunas otras).

Supongo que en la instalacin del programa no debe haber ningn problema, aunque el Can&&Abel no funciona en Windows 8 por la falta de packet.dll, despus de la instalacin tambin nos pedir la instalamos del Winpcap lo cual tenemos que hacerla si no disponemos de esto. Wireshark est disponible para todos los Sistemas Operativos (multiplataforma). Con ningn inconveniente ms vayamos a la prctica. Abrimos el Can, necesitamos configurarlo y nos dirigimos al Men Configure, ah seleccionamos nuestro adaptador de red.

En la pestaa "APR (Arp Poison Routing)" tenemos opciones de utilizar nuestras direcciones IP y MAC reales, o spoofearlas.

Bueno antes de empezar el ataque para mayor seguridad vamos a cambiar nuestra direccin MAC y IP. Este paso es opcional. Nos vamos a APR, le damos en Use Spofed IP and MAC addresses, luego en la parte izquierda donde IP le ponemos una ip que por lo general es 192.168.1.xxx, xxx tienen un rango de variacin de 2 a 255, el 1 lo utiliza el rooter.

Ahora en la parte derecha tenemos MAC para hacer el cambio del MAC nos vamos a botn de Windows escribimos REGEDIT, HKEY_CLASSES_USER/Software/Can/Settings...abrimos SpoofMAC y nos sale lo siguiente:

En aqu por defecto el Can nos pone 001122334455, cambiamos nuestra MAC (12 dgitos) y le damos en Aceptar.

Reiniciamos el Can se darn cuenta que el registro MAC ya se cambi y hacemos lo mismo que hemos explicado y le damos en aceptar. Con este cambio es casi imposible que nos detecten. Bueno ahora vamos a darle click en Start/Stop Sniffer , luego en la parte superior vamos a Sniffer , en la pestaa inferior a Hosts :

Ahora hacemos click secundario sobre Can y seleccionamos "Scan Mac Addresses" como en la Imagen:

Podemos hacer un escaneo bsico dndole en All hosts in my subnet o un escaneo total dndole a All host in my subnet +All Test luego le damos ok. Con esto se estar escaneando todas las computadoras conectadas a nuestra RED.

Esperamos unos momentos mientras realiza el escaneo de la redUna vez terminado el escaneo podemos sacar el nombre de la PC dndole clik derecho luego Resolve Host Name:

Ahora en la parte inferior nos vamos a APR, click dentro del icono Add to List: Nos saldr una ventana doble, en la parte izquierda tenemos que escoger la direccin IP del router que generalmente termine en .1 por defecto y la parte derecha se rellenara con las dems IPs que tenemos como objetivos los resaltamos haciendo click sin soltar, luego ok, con el relleno de estas tablas indicamos a Can a quien(es) va dirigido el ataque: XXX Nota: Si ests en una red concentrada (Conectada por Hubs), no es necesario envenenar las tablas ARP de nadie, ya que los paquetes llegan solos, en cambio, si ests en una red conmutada (Switch), s es necesario envenenar las tablas ARP de la red. XXX

Bueno para envenenar de una vez por todas la RED le damos click en la superior al botn Start Stop APR, notaremos en las tablas como va corriendo el proceso de envenenamiento en tiempo real:

Para ver cmo va la captura de usuarios y passwords. Nos vamos a la parte inferior Passwords luego en la parte izquierda HTTP, vemos como en tiempo real va capturando todas las navegaciones que van haciendo las computadoras envenenadas, donde as obtendremos contraseas de FTP, SMTP, HTTP, POP3, VNC, MYSQL, ICQ, etc. . Y adems, Can contiene "Certificados de Autenticidad" falsos, para hacerle creer a la vctima que todo anda bien y legal, como vern, "Hackear contraseas" no es nada del otro mundo cuando disponemos de Can.

Ahora, qu sucede cuando el Can detecta passwords encriptados? Los desecha? Pues no, Can, automticamente los lleva a la pestaa superior "Cracker" Qu es eso? Hombre! es lgico lo que es, un crackeador mltiple de contraseas. Ah tenemos una lluvia de opciones, podemos desencriptar contraseas a travs de diversos modos, Bruteforce, Criptoanlisis, Ataque por Diccionario, etc... Can, tambin funciona Sniffando paquetes Wireless, y hasta tiene herramientas de Wep Cracking y dems, y puede ser combinado con otras herramientas tales como Airpcap, Airdump, etc.,.. Un dato importante son las pginas que tengan protocolos HTTPS las cuales podrn ser obtenidas pero estas estarn encriptadosXDD

Para maximizar este tipo de ataque ya que Can no nos da todos los detalles de los paquetes que van pasando por la red utilizaremos Wireshark (El Tiburn) jajaja. Nos vamos al Tiburn le damos en List the available capture interfaces nos saldr una ventana donde podremos elegir nuestra tarjeta de red a utilizar:

Ya hecho esto le damos en Start, con el cual empezaremos a capturar los paquetes de red que entrar y salen de nuestro computador.

Teniendo esta captura de paquetes, para mayor comodidad podemos filtrar los datos ponindole a Filter : http.request.method == "POST" || http.request.method == "GET" Solo nos mostrara los paquetes con mtodo POST y GET que son por donde pasan las contraseas, pero las paginas con HTTPS no nos dejan ver estas contraseas, mm No nos preocupemos cuando nosotros hacemos una conexin a un servidor (loguearnos) nos asignara un cookie. Y esto es lo buscamos, analizando los paquetes capturados obtendremos:

En este ejemplo de www.facebook.com obtendremos la Cookie, que es lo que buscamos para pginas que tengan HTTPS en el url.

Teniendo este cookie podemos hacernos pasar en una seccion como si fueramos los usuarios verdaderos. Para esto nos vamos a Cookies Manager+ (plugin de Firefox)este es un Gestor de cookies se utiliza para ver, editar y crear nuevas cookies. Ya instalado el Cookies Manager+ en Firefox lo abrimos, apretamos Alt, nos vamos a Herramientas, buscamos Cookies Manager+:

Bueno ahora hacemos doble click sobre uno de los sitios, de ah empezamos a configurarlo Nombre: Le ponemos cualquier nombre(Hacked for Berserker). Contenido: Le copiamos el valor de la cookie del Tiburn que anteriormente ya la hemos obtenido. Servidor: La pgina donde se encuentra alojada la cookie en este caso (www.facebook.com).

Le damos en Save, luego Cerrar. Nos vamos a las pgina donde pusimos la direccin del Servidor( www.facebook.com),le damos F5, obtendremos la seccin de facebook de la victima:

Nota: Al hacer este tipo de ataque, ten en cuenta que se desconectara si el usuario cierra seccin, esto se da porque la cookie caduca justo al momento de que el usuario cierre seccin. Como se darn cuenta es ms fcil de lo que pensaban jajaja Ataque DNS Poisoning.

Como su nombre indica, es un ataque basado en el "Envenenamiento" de la Cach DNS de la vctima, es decir, agregaremos valores de relacin Dominio-IP de su Cach DNS. Imagnate que cambiramos la Cach DNS de la vctima, y le dijramos que al nombre de dominio "www.google.com" le corresponde la direccin IP de una pgina XXX cualquiera. Qu pasar cuando la vctima escriba en su Navegador "www.google.com"? Exacto, ir directamente a la pgina XXX que le hemos indicado a la Cach. Interesante, no? Y lo mejor es que podemos hacer esto con cuantos nombres de dominio se nos ocurran. Hacemos exactamente lo mismo anteriormente explicado, un ataque Main in the Middle o Sniffing. Ya tenemos al Can obteniendo paquetes donde navegan nuestras vctimas. Ahora en la parte inferior nos vamos a APR, en la parte izquierda ubicamos APR-DNS, estando dentro del APR-DNS, hacemos click sobre la tabla, como notamos se activa el botn Add to list le hacemos click:

Nos saldr una ventana DNS Spoofer for APR, teniendo las siguientes partes: DNS Name Requested: En esta parte ponemos la pgina que queremos Spoofear en este caso ser www.google.com.
IP address to rewrite in response packets: Ponemos la IP de la pgina donde queremos que la vctima vaya. En este caso va ser la direccin de www.petardas.com, pero como obtenemos su IP? Fcil, apretamos el botn Resolve, en ah ponemos la direccin de la pgina www.petardas.com le ponemos ok.

Ya teniendo todo como que queremos le damos ok y estar envenenada la vctima, tambin nos da la opcin de ver el nmero de veces de la paginas Spoofeada.

A la vctima le parecer esto:

Bueno espero que les sirva, hasta un prximo tutex. XXX Berserker XXX