[HOW TO] Ataque modelo Wifi

Iniciado por kamsky, 27 Julio 2009, 17:29 PM

0 Miembros y 1 Visitante están viendo este tema.

mikeollie

#40
No necesitas hacer arp poisoning para el sniffing de una red wifi, hablo del sniffing, haces arp posioning de todos los equipos de la red con la puerta de enlace, es un sniffing mal hecho, porque ni necesitas hacer arp poisoning ni estás viendo todo el el tráfico capturable por tu tarjeta de la BSS (sólo estás viendo el tráfico desde/hacia internet) .

Otra cosa es la inyección de tráfico, que no es sniffing, y en todo caso para inyectar tráfico no necesitas asociarte ni hacer arp spoofing si lo que quieres es inyectar tramas de manera que parezcan haber salido de un dispositivo legítimo de la red, por ejemplo, para hacer dns spoofing,  puedes inyectar una trama de respuesta falsa a la petición dns de la víctima (que tragará si está bien construida la trama) sin necesidad de asociarte ni hacer arp spoofing.
Para hacer envenenamiento de las tablas arp de un dispositivo de la red tampoco necesitas asociarte, obviamente si quieres envenenar una tabla arp de manera que la dirección falsa a la que haga referencia esa entrada en la tabla sea la de tu tarjeta de red, entonces si necesitas asociarte, necesitas asociarte siempre que quieras que tu equipo sea y participe como un nuevo dispositivo en la red (como por ejemplo levantar un servidor en la red local que es lo que haces, entonces sí).

Pero yo no hablo de inyectar, digo que en la parte que haces sniffing haces arp spoofing de todos los dispositivos de la red ip, para hacer el sniffing de la red wifi no necesitas hacerlo (aparte de que ni siquiera estás haciendo sniffing), y si estuviesemos hablando de hacer arp spoofing para alterar el tráfico entrante y saliente de internet para "hacerse con el control" de una máquina, sería sobre una sóla máquina y la puerta de enlace, y no sobre todas las máquinas.

Un saludo

kamsky

No se de donde te sacas que el Arp Poisoning lo hago a todos los equipos de la red, cito el tuto:
CitarEsto con Ettercap es sencillo, simplemente nos ponemos encima de la Ip del router y lo
añadimos a la lista de "víctimas" pulsando el 1, y a continuación añadimos a la víctima pulsando el
2.

No veo sólo el tráfico que va de la víctima hacia internet, si no TODO el tráfico que tiene como origen/destino ese PC, ya que es una red conmutada...

Claro que se puede inyectar sin estar asociado, pero no creo que sea muy práctico, ya que por ejemplo en el caso que dices, recibirá 2 respuestas DNS, la legítima y la nuestra, cual llegará antes?como tratará esto el host víctima?, pues depende... y como no  queremos que dependa, si no que se quede con la nuestra, por eso me asocio y después enveneno la tabla ARP...

Que sentido tiene envenenar la tabla ARP con una entrada que no existe y que por lo tanto generará error, más allá de hacerle un DoS...?¿


----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

mikeollie

#42
Cita de: kamsky en 31 Octubre 2009, 14:48 PM
No se de donde te sacas que el Arp Poisoning lo hago a todos los equipos de la red, cito el tuto:
CitarEsto con Ettercap es sencillo, simplemente nos ponemos encima de la Ip del router y lo
añadimos a la lista de "víctimas" pulsando el 1, y a continuación añadimos a la víctima pulsando el
2.
Cito del pdf:
"Una vez realizado el paso anterior, ya estaremos en el mismo segmento de red que
los hosts legítimos conectados al router inalámbrico, por lo que nos aprovecharemos
de esto para sniffar tráfico y obtener más datos de las víctimas".
"...El siguiente paso será mediante arpspoofing hacernos pasar por el router y hacer un MiM
para capturar todo el tráfico que pase desde la víctima hasta el router y viceversa."

¿En qué quedamos estamos en el mismo segmento que los demás host o es una red conmutada, estamos hablando de una red wifi o hablamos de un Punto de acceso haciendo de infraestructura con host conectados a él por cable?
Para capturar el tráfico de una máquina hacia la puerta de enlace haces arp spoofing, entonces digo yo que para hacer sniffing y ver el tráfico desde/hacia internet de las demás máquinas de la red wifi a tu manera, ¿tendrás que envenenar las tablas arp de todas las máquinas no?

Cita de: kamsky en 31 Octubre 2009, 14:48 PM
No veo sólo el tráfico que va de la víctima hacia internet, si no TODO el tráfico que tiene como origen/destino ese PC, ya que es una red conmutada...
No, para empezar aclárate si hablas de host que están en el mismo segmento, o hablas de una red conmutada, o de una wifi o que, porque te contradices lo que dices ahora con lo que pone en el pdf.
Si haces mitm entre la víctima y la puerta de enlace haciendo arp spoofing, sólo verás el tráfico desde/hacia internet, no puedes ver el tráfico de la víctima con máquinas de la red local, si esa víctima por ejemplo se conecta a un servidor en la red local, en su tabla arp la ip del servidor local no se corresponde con tu mac, así que ese tráfico al no tener tu tarjeta en modo promiscuo o monitor no puedes verlas, y si tuvieses la tarjeta en modo monitor o promiscuo, no necesitarías hacer arp spoofing para ver el tráfico de la red wifi.

Cita de: kamsky en 31 Octubre 2009, 14:48 PM
Claro que se puede inyectar sin estar asociado, pero no creo que sea muy práctico, ya que por ejemplo en el caso que dices, recibirá 2 respuestas DNS, la legítima y la nuestra, cual llegará antes?como tratará esto el host víctima?, pues depende... y como no  queremos que dependa, si no que se quede con la nuestra, por eso me asocio y después enveneno la tabla ARP...
Calculando tiempos llegará antes la nuestra, ya que la respuesta nuestra "llega desde la red local", y la legítima desde Internet.
No depende, siempre se desecha la segunda en todos los clientes DNS, la primera se toma como legítima.
Asociarte y envenenar la tabla arp es facilmente detectable, sólo hay que mirar los logs del AP.

Cita de: kamsky en 31 Octubre 2009, 14:48 PM
Que sentido tiene envenenar la tabla ARP con una entrada que no existe y que por lo tanto generará error, más allá de hacerle un DoS...?¿
Podrías envenenar la tabla arp con una entrada de una máquina legítima de la red, sentido puede tenerlo en ciertos casos (por ejemplo un Dos como dices pero también otras muchas cosas), pero independientemente de eso no hablé del sentido que tuviera.


Un saludo

kamsky

Citar¿En qué quedamos estamos en el mismo segmento que los demás host o es una red conmutada, estamos hablando de una red wifi o hablamos de un Punto de acceso haciendo de infraestructura con host conectados a él por cable?
Para capturar el tráfico de una máquina hacia la puerta de enlace haces arp spoofing, entonces digo yo que para hacer sniffing y ver el tráfico desde/hacia internet de las demás máquinas de la red wifi a tu manera, ¿tendrás que envenenar las tablas arp de todas las máquinas no?

Perdón, quizás esté mal expresado en la guía si es que pone lo del mismo segmento de red, obviamente es una red conmutada, de ahí la necesidad de envenenar la tabla ARP
Repito, que en ningún punto digo que enveneno la tabla ARP para capturar el tráfico de todas las máquinas, sólo lo hago con una, ya que como pone el algún punto del pdf, el objetivo es hacernos con el control de UN Pc de la red.


CitarSi haces mitm entre la víctima y la puerta de enlace haciendo arp spoofing, sólo verás el tráfico desde/hacia internet, no puedes ver el tráfico de la víctima con máquinas de la red local

En una Red conmutada, cuando envías tráfico a otro PC de tu Lan, este pasa por el Router, que lo conmuta hacia el PC Destino, de forma que al tener envenenada la tabla ARP del Router, este nos mandará a nosotros ese tráfico y no al legítimo... y de similar manera ocurre cuando desde el PC Víctima manda datos a otro PC de la LAN...


CitarPodrías envenenar la tabla arp con una entrada de una máquina legítima de la red, sentido puede tenerlo en ciertos casos (por ejemplo un Dos como dices pero también otras muchas cosas), pero independientemente de eso no hablé del sentido que tuviera.

Hombre, de lo que se  trata es de hablar cosas con sentido, no?
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

miguel86

#44
Cita de: kamsky en 31 Octubre 2009, 15:41 PM
Perdón, quizás esté mal expresado en la guía si es que pone lo del mismo segmento de red, obviamente es una red conmutada, de ahí la necesidad de envenenar la tabla ARP
Repito, que en ningún punto digo que enveneno la tabla ARP para capturar el tráfico de todas las máquinas, sólo lo hago con una, ya que como pone el algún punto del pdf, el objetivo es hacernos con el control de UN Pc de la red.
Ok, entonces supongo que te refieres a host conectados al AP por cable, en el que el AP está haciendo de switch con estos host y la BSS.
Yo creia que hablabas siempre en el ámbito de la red wifi, o sea a host conectados inalambricamente al PA formando parte de la red inalámbrica, deberías ser más específico a la hora de describir el escenario, ya que en todo momento hablas de la red wifi y no mencionas ningún host conectado por cable.

Vuelvo a citar del pdf:
Citar
"El siguiente paso será mediante arpspoofing hacernos pasar por el router y hacer un MiM
para capturar todo el tráfico que pase desde la víctima hasta el router y viceversa."
El objetivo final será hacerse con el control de la máquina de la víctima, pero en esa frase hablas de hacer aprspoofing PARA capturar el tráfico entra la víctima y el router, lo cuál como dije no es necesario (claro ahora depende si la víctima está conectada por cable al AP).




CitarSi haces mitm entre la víctima y la puerta de enlace haciendo arp spoofing, sólo verás el tráfico desde/hacia internet, no puedes ver el tráfico de la víctima con máquinas de la red local
Cita de: kamsky en 31 Octubre 2009, 15:41 PM
En una Red conmutada, cuando envías tráfico a otro PC de tu Lan, este pasa por el Router, que lo conmuta hacia el PC Destino, de forma que al tener envenenada la tabla ARP del Router, este nos mandará a nosotros ese tráfico y no al legítimo... y de similar manera ocurre cuando desde el PC Víctima manda datos a otro PC de la LAN...
Cuando envías tráfico a otro PC en tu misma red ip, este no pasa por ningún router para que lo conmute.
Estamos en las mismas, no ves todo el tráfico desde/hacia la víctima, sino sólo el tráfico que se intercambiane los dos dispotivos cuyas entradas en la tabla arp envenenaste, nada más, todo el tráfico saliente y entrante al pc víctima que no venga desde esa "entrada envenenada", no lo verás, como por ejemplo cualquier tráfico de la víctima con un dispositivo de su misma red ip.


CitarPodrías envenenar la tabla arp con una entrada de una máquina legítima de la red, sentido puede tenerlo en ciertos casos (por ejemplo un Dos como dices pero también otras muchas cosas), pero independientemente de eso no hablé del sentido que tuviera.
Cita de: kamsky en 31 Octubre 2009, 15:41 PM
Hombre, de lo que se  trata es de hablar cosas con sentido, no?
Con sentido me refiero a intención, como dije puede tener muchos sentidos en muchos casos, pero hablaba de envenenar una tabla arp de un dispositivo de la red sin necesidad de estar asociado no concretaba la intención/sentido de hacerlo, pero como dije puede tenerlo en ciertos casos.

Un saludo


kamsky

Te has dividido en 2 personas/personalidades?¿?¿  :silbar: :silbar:

por cierto, no veo ninguna diferencia entre que en una red Wifi los PC's se conecten por cable o inalámbricamente, la forma de actuar es la misma, lo que varía es el medio físico...
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

mikeollie

#46
Cita de: kamsky en 31 Octubre 2009, 16:23 PM
Te has dividido en 2 personas/personalidades?¿?¿  :silbar: :silbar:
Jaja yeah, pensé que había borrado ya la otra cuenta, pero al parecer firefox tiene guardada la clave y se ha ingresado directamente, de todas formas ya la marqué puedes borrarla, no quería seguir usando la otra por diversos motivos

Cita de: kamsky en 31 Octubre 2009, 16:23 PM
por cierto, no veo ninguna diferencia entre que en una red Wifi los PC's se conecten por cable o inalámbricamente, la forma de actuar es la misma, lo que varía es el medio físico...
Sí la hay, los dispositivos de una red wifi que deseen comunicarse con equipos de su misma red ip que tengan interfaces cableadas, debe ser una red wifi en modo infraestructura, en el que hay un  AP que hace de switch con la parte de la red cableada.
No puedes ver las tramas con tu tarjeta inalámbrica de los que están en la parte cableada porque viajan por cable, con lo cual si quieres ver el tráfico de estos host con algún dispositivo que no se encuentre en la parte inalámbrica (por ejemplo la puerta de enlace) debes hacer arp spoofing de manera que hagas creer a la víctima que la puerta de enlace tiene como dirección física tu MAC, de manera que ese tráfico que antes viajaba por cable ahora vaya dirigido a ti y viaje por el medio inalámbrico y ya sí puedes verlo, y lo mismo claro viceversa con la puerta de enlace.

Por tanto la diferencia es que la red sea conmutada con la red cableada, y por tanto necesites del arp spoofing, o que estemos hablando de víctimas en la red inalámbrica con lo cuál se trataría de hacer sniffing pasivo. Ojo, estoy hablando de sniffing todo el tiempo, que es el motivo por el que posteé.

Por eso te decía lo de especificar más, porque los dispositivos de la parte cableada no pertenecen a la red inalámbrica (aunque si puedan pertenecer a la misma red ip), por tanto debe especificarse un poco más con lo de que el ataque es sobre una red wifi.

Un saludo

kamsky

creí que quedaba claro y era obvio por la forma de actuar, pero me lo anoto, la próxima vez intentaré ser más claro en mis explicaciones
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

mikeollie

#48
Yo lo que quería apuntar unicamente es que el sniffing debe hacerse siempre con la tarjeta puesta en modo promiscuo (o también en monitor si es wifi), que si uno de los objetivo es ver el tráfico de una máquina en un dominio de colisión como es una red inalámbrica, o ver todo el tráfico de todas las máquinas de dicho dominio, puedes hacerlo y ver todo el tráfico sin necesidad de asociarse ni hacer arp spoofing (en el que además solo verías el tráfico entre las máquinas afectadas por el arp spoofing).

EDITO: Por ejemplo, se podría hacer el mismo ataque que haces sin necesidad de asociarse ni hacer arp spoofing, simplemente estando conectado a tu propio internet, haciendo sniffing e inyectando, de manera que el servidor web para la víctima al que es redirigido está en internet, y la máquina que establece la conexión con la shell de la víctima lo hace desde internet. Claro que esto es sólo posible si la víctima está en la red inalámbrica.

No digo que sea mejor o peor, es otra idea simplemente, lo que me refiero es que dependiendo del escenario (host atacados conectados por cable o por adaptador inalámbrico) tiene sus consecuencias, sobre todo a la hora del sniffing, que el pasivo es indetectable y por tanto preferible siempre que se pueda, con lo que el arp spoofing es innecesario para el sniffing en medios inalámbricos.

Un saludo

kamsky

Si yo en ningún momento he dicho que lo que dices no es cierto, pero lo que quiero decirte, es que me parece bastante más engorroso, para casi todas las tareas...tendrías que estar descifrando en tiempo real los paquetes y analizando patrones para ver donde quieres inyectar y hacerlo en el momento oportuno, mientras que si te asocias, es cierto que corres el peligro de que te "pillen", pero seamos realistas, quién tiene un IDS en su casa o está mirando cada 2 por tres el router a ver si hay alguien más conectado?¿

es mi opinión
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!