Las primeras dudas

Iniciado por d3x, 23 Noviembre 2013, 13:16 PM

0 Miembros y 1 Visitante están viendo este tema.

d3x

Buenas a todos!

Tras leer durante bastante tiempo contenido de elhacker, creo que había llegado el momento de registrarse ya. Así que primero un poquito de presentación y luego ya paso a las dudas.

En mi caso desde siempre me han apasionado las tecnologías y la programación, y de un tiempo hacia aquí me llaman también muchísimo las redes, sobretodo todo lo relacionado con su seguridad, por lo que algo sobre lo que me encantaría aprender es pentesting.

En mi caso programo habitualmente en Java (sobretodo orientado a Android), PHP, Python y C, por lo que también intentaré darme una vuelta por esos foros por si pudiera ser de ayuda en algo!

Vengo con muchas ganas de aprender y poco a poco poder ser yo el que responda a alguna preguntas :)


Y ahora, las dudas que me han surgido.
Intentaré documentarlas tanto como pueda, ya que comprendo que influyen tantas variables que no será fácil saber qué está pasando...

Las preguntas las pondré en rojo, para que os sean más fáciles de identificar


1.- Pérdida de conexión tras ARPSPOOF
Me descargué la máquina virtual para VMware de Kali Linux, para empezar a aprender.
Bien, tras practicar un poco con las herramientas de nmap, ncat, y defenderme un poco con wireshark y hacer cuatro tonterías con ettercap (de las cuales poco saqué), quise probar con una intrusión a una MV (tengo 2 que utilizo para probar, una con Windows XP SP3 y la otra con Windows 7 Ultimate) conectadas en modo Bridged(automatic), y quise hacerlo "a lo grande" (quizás penséis que es algo pronto, pero me llamó).
Quise intentar utilizar SSLStrip y wireshark para obtener un login y pass de PayPal (mío, evidentemente. Repito que únicamente estoy aprendiendo y me infecto a mi mismo).

Mi problema viene a la hora de utilizar el comando arpspoof, el cual se carga el ARP del router y deja a toda la red sin conexión, obligando a desconectar el router durante 1 minuto y despues encenderlo de nuevo y reconectar todos los equipos.

No se por qué, solo ha funcionado una vez, el resto de veces se carga la red.

Os pongo los comandos que sigo:

sysctl -w net.ipv4.ip_forward=1
cat /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-port 8080
sslstrip -w log.txt -l 8080


Y entonces se queda corriendo el sslstrip generando el archivo log.txt (que casi siempre me da un contenido vacío).

También quiero decir que a veces, simplemente al ejecutar el primer comando, sysctl -w net.ipv4.ip_forward=1, ya me deja sin internet, con lo que no estoy seguro de qué es lo que estoy haciendo mal :([/color]

Después, si sigo teniendo internet, abro una nueva Terminal y ejecuto:

arpspoof -i eth0 -t 192.168.1.VICTIMA 192.168.1.ROUTER

Y como habitualmente esto me dejaba sin internet, ejecuto algo que he visto que hace otra gente, aunque me gustaría que me dijerais si es necesario:

arpspoof -i eth0 -t 192.168.1.ROUTER 192.168.1.VICTIMA

Y una vez hecho, en principio ya estaría hecho el MITM con SSLStrip.

Ahora activo Wireshark y lo pongo a capturar paquetes.

Entonces, desde la MV victima (si sigo teniendo internet, que casi nunca llega a este punto, y eso que lo hago siempre todo igual), navego hacia PayPal e introduzco mi nombre de usuario y contraseña, le doy a Login y al ir a ver el tráfico de Wireshark, me encuentro con que sigue yendo por HTTPS.
Ya os digo, una sola vez me funcionó y pude ver el login y password, el resto de veces, nunca.

Alguna idea de por qué, o qué estoy haciendo mal? :(



2.- Evil FOCA
También para aprender, quise intentar hacer lo mismo con Evil FOCA, esta vez desde Windows (consciente de que es una alpha).
Aquí tengo varias dudas:

Si tengo un router antiguo, es posible que la conexión siempre se realice por IVP4? Nunca he tocado tablas de enrutamiento ni nada...

Según tengo entendido, la Evil FOCA hace SSLSTRIP, y los pasos que sigo son:

Para MITM en IPV6 cojo el ataque SLAAC, añado el equipo IPV6 a Target (MV con Win7), y Start.
(También he probado el ataque WPADv6 con el mismo resultado)

Al ir a Wireshark y hacer la misma prueba con paypal, sucede lo mismo, lo veo en HTTPS.
Al menos con Evil FOCA no me ha sucedido ninguna vez que me deje sin internet...


Al ir a hacerlo con IPV4, entro en la pestaña de MITM IPV4 y selecciono ARPSpoofing, arrastro en Gateway el router y en target a la IP de la victima, le doy a Start, y hago la misma prueba, con el mismo resultado...

Qué estoy haciendo mal?

Sh4k4

Este tipo de mensajes me hacen preguntarme si realmente leen, leen, practican , practican, bucle, hasta aprender o simplemente siguen una receta y buscan otra receta y mezclan otros ingredientes y se extrañan por que no sale...
CitarMe descargué la máquina virtual para VMware de Kali Linux, para empezar a aprender.
No entiendo por que usar una MV no pasa nada con usar el LIVE puro es mas limitado pero personalizando y dependiendo se aprende mucho, aunque tambien estaria para tener las demas MVs pero bueno cada quien.... con su escenario.
Citar
También quiero decir que a veces, simplemente al ejecutar el primer comando,
Código:
sysctl -w net.ipv4.ip_forward=1
, ya me deja sin internet, con lo que no estoy seguro de qué es lo que estoy haciendo mal :([/color]
Después, si sigo teniendo internet, abro una nueva Terminal y ejecuto:
Código:
arpspoof -i eth0 -t 192.168.1.VICTIMA 192.168.1.ROUTER
Y como habitualmente esto me dejaba sin internet, ejecuto algo que he visto que hace otra gente, aunque me gustaría que me dijerais si es necesario:
Código:
arpspoof -i eth0 -t 192.168.1.ROUTER 192.168.1.VICTIMA
Y una vez hecho, en principio ya estaría hecho el MITM con SSLStrip.
Volvemos a la critica constructiva, tu sabiendo programar y no saber que hace X cosa es muy delirante, te sugiero averigues que hace que y para que, si se dosea la red a veces simplemente tu router no lo soporta tu mismo lo dices es "antiguo", el arpspoof funciona de un modo y es como lo usas no cambiandole asi no jala y asi si jala....  :rolleyes: investiga.

CitarQué estoy haciendo mal?
Seguir recetas y no comprender lo que estas tecleando.



d3x

Cita de: Sh4k4 en 24 Noviembre 2013, 06:09 AM
Este tipo de mensajes me hacen preguntarme si realmente leen, leen, practican , practican, bucle, hasta aprender o simplemente siguen una receta y buscan otra receta y mezclan otros ingredientes y se extrañan por que no sale...

En primer lugar, gracias por tomarte tu tiempo en leer y responder.
Si, tienes razón, busqué una receta/tutorial para ver si al menos me funcionaba, y tras eso, poder entender qué estaba pasando, cosa que creo entender y posteriormente intentaré explicar para que me corrijáis si tengo algun concepto mal comprendido

Cita de: Sh4k4 en 24 Noviembre 2013, 06:09 AM
No entiendo por que usar una MV no pasa nada con usar el LIVE puro es mas limitado pero personalizando y dependiendo se aprende mucho, aunque tambien estaria para tener las demas MVs pero bueno cada quien.... con su escenario.

Como tu supones, es para poder tener las demás máquinas virtuales.
Solo dispongo de un equipo, y necesito alguna víctima para poder practicar mis ataques, para lo cual creo que lo más adecuado es utilizar máquinas virtuales.


Cita de: Sh4k4 en 24 Noviembre 2013, 06:09 AMVolvemos a la critica constructiva, tu sabiendo programar y no saber que hace X cosa es muy delirante, te sugiero averigues que hace que y para que, si se dosea la red a veces simplemente tu router no lo soporta tu mismo lo dices es "antiguo", el arpspoof funciona de un modo y es como lo usas no cambiandole asi no jala y asi si jala....  :rolleyes: investiga.

Si, se programar, pero no por ello estoy obligado a descargarme el código fuente de todos los programas que estoy utilizando y a comprenderlo.
Si, lo haré en caso de que me entre la curiosidad y/o quiera mejorarlo o adaptarlo a mis necesidades (cosa que he hecho con alguno que otro), pero no implica que tenga que hacerlo con todos.

Paso a detallar paso a paso los comandos y lo que creo que estoy haciendo con ellos, para ver si no estoy equivocado y mostrar como antes de intentar también he intentado comprender:

sysctl -w net.ipv4.ip_forward=1

Con esto activo el forwarding/reenvío de paquetes.
Si no me equivoco, esto sirve para que cuando haga el ataque MITM, no deje a la victima sin conexión, ya que los paquetes que me lleguen los reenviaré al router, haciendo que la víctima "crea" que tiene internet.

cat /proc/sys/net/ipv4/ip_forward
Esto es simplemente un comando de comprobación, que debe mostrar un 1 si el comando anterior no ha dado ningún error (comprueba el estado del servicio)


iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080

iptables -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-port 8080

Con estos dos comandos lo que hago es redireccionar el tráfico entrante por el puerto 80 (HTTP) y por el puerto 443 (HTTPS), el cual me llegará de la víctima, y hago que salga por el puerto 8080, que será el que audite con el script sslstrip.

sslstrip -w log.txt -l 8080
Con este último comando inicio el script sslstrip haciendo que dé como salida el archivo log.txt, y que escuche en el puerto 8080

arpspoof -i eth0 -t 192.168.1.VICTIMA 192.168.1.ROUTER
Con esto envío paquetes arp a la víctima diciendole que YO soy el router, para que realmente sea a mi a quien envía los paquetes
(y con el otro, viceversa).

Me gustaría que me respondieras si la ejecución del comando

arpspoof -i eth0 -t 192.168.1.ROUTER 192.168.1.VICTIMA

es necesaria


Cita de: Sh4k4 en 24 Noviembre 2013, 06:09 AM
Seguir recetas y no comprender lo que estas tecleando.

Destacar también que toda la respuesta que he escrito ha sido desde el agradecimiento y en ningún momento con ánimo de iniciar ninguna discusión, solo por el hecho de aprender con las bases un poco sólidas

Gracias!