Intento de Spoofeo...

Iniciado por Debci, 29 Junio 2010, 15:56 PM

0 Miembros y 1 Visitante están viendo este tema.

Debci

Cita de: tragantras en 30 Junio 2010, 17:28 PM
con que el PC tenga la entrada en la tabla estática ya no pueds hacer el ARP poisoning,

puede tambien que si tiene algun tipo de antivirus tenga protección contra este tipo de ataques...

puede que los paquetes del router lleguen y los tuyos no, como han dicho la distancia al AP es determinante (no es una respuesta "trivial" como dices tu...)

No me conozco la historia anterior, pero es posible que se haya conectado por cable y haya dejado de usar el inalambrico?
No, sigue habiendo wifi, probaré a acercarme, pero creo que con el 30% de señal no deberia haber problemas, no?

Saludos

pianista

Realmente como esté conectado es lo de menos, simpre y cuando compartais router...
Yo opino que o bien como ya te han dicho, el PC detecta el arp poison algún antivirus, o bueno firewall más bien lo detectan...

O bien el propio router detecta los arp poison y por eso no te deja hacerlos, eso lo puedes decubrir mirando con wireshark el tráfico y viendo si las secuencias son normales.

Saludos

Debci

Cita de: pianista en 30 Junio 2010, 17:43 PM
Realmente como esté conectado es lo de menos, simpre y cuando compartais router...
Yo opino que o bien como ya te han dicho, el PC detecta el arp poison algún antivirus, o bueno firewall más bien lo detectan...

O bien el propio router detecta los arp poison y por eso no te deja hacerlos, eso lo puedes decubrir mirando con wireshark el tráfico y viendo si las secuencias son normales.

Saludos
Y para eso, alguna solución?

Saludos

kamsky

primero busca el QUÉ te impide hacer el envenenamiento, sigue el consejo de Pianista y ayúdate de wireshark para seguir el flujo...

una vez que hayas descubierto que es lo que te frena, puedes probar a fragmentar los paquetes o técnicas similares
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

Debci

Cita de: kamsky en 30 Junio 2010, 19:12 PM
primero busca el QUÉ te impide hacer el envenenamiento, sigue el consejo de Pianista y ayúdate de wireshark para seguir el flujo...

una vez que hayas descubierto que es lo que te frena, puedes probar a fragmentar los paquetes o técnicas similares
El flujo...
Con wireshark veo 5 mil paquetes pasar delante mio... Algun patrón en concreto? Solo como sugerencia o seguiré investigando!

Saludos

pianista

Joer que paquetes se mandan cuando haces un arp poison?

Pues esos son los que tienes que filtrar y mirar si realmente funcionan, te doy una pista, empiezan por a y acaban por p xD

Saludos

Debci

Cita de: pianista en  1 Julio 2010, 11:53 AM
Joer que paquetes se mandan cuando haces un arp poison?

Pues esos son los que tienes que filtrar y mirar si realmente funcionan, te doy una pista, empiezan por a y acaban por p xD

Saludos
apiculturaP?

XDDDDD
Ya se que son ARP, pero todos?

Saludos

Debci

Siento revivir el post de esta manera, pero lo he visto necesario.
Tras realizar todo tipo de pruebas en la red, he llegado a la conclusion de que la seguridad anti arp-poison no la proporciona un equipo, pues conectando dos pc mios a dicha red, no consigo spoffear el otro pc, y este seguro que no tiene anti-virus.


Saludos

-- KiLiaN --

Tras leer el paper que te dejo kamsky (o al menos comenzar a leerlo) vi algo:

CitarAddress resolution protocol (ARP) cache poisoning is a MAC layer attack that can only
be carried out when an attacker is connected to the same local network as the target
machines, limiting its effectiveness only to networks connected with switches, hubs, and
bridges; not routers.

Traduccion:

CitarAddress Resolution Protocol (ARP) envenenamiento de la caché es un ataque de la capa MAC que sólo puede
llevarse a cabo cuando un atacante está conectado a la misma red local que el objetivo
máquinas, lo que limita su eficacia sólo a las redes conectadas con switches, hubs y
puentes, no routers.

Quizas sea ese el problema, yo estoy intentando tambien hacer el spoof con el siguiente escenario:

pc atacante: 192.168.1.1.129
pc victima: 192.168.1.1.130
Puerta de enlace (router): 192.168.1.1

hacemos el Mitm, yo estoy usando ettercap:

sudo ettercap -T -i wlan0 -P dns_spoof -M arp /192.168.1.1/ /192.168.1.130/

Listening on wlan0... (Ethernet)

wlan0 -> 00:1C:BF:63:BB:52     192.168.1.129     255.255.255.0

Privileges dropped to UID 65534 GID 65534...

 28 plugins
 39 protocol dissectors
 53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Scanning for merged targets (2 hosts)...

* |==================================================>| 100.00 %

2 hosts added to the hosts list...

ARP poisoning victims:

GROUP 1 : 192.168.1.1 00:1A:2B:5B:E4:D7

GROUP 2 : 192.168.1.130 00:12:F0:2B:A5:92
Starting Unified sniffing...


Text only Interface activated...
Hit 'h' for inline help

Activating dns_spoof plugin...


y compruebo si se ha realizado con exito el spoof con el plugin chk_poison:

Plugin name (0 to quit): chk_poison
Activating chk_poison plugin...

chk_poison: Checking poisoning status...
chk_poison: Poisoning process succesful!


luego voy a la maquina victima y me meto en tuenti.com (es la direccion que tengo spoofeada por poner un ejemplo asi *.tuenti.* A la dns de google que no recuerdo ahora cual es xD) pero no funciona..el pc victima ingresa correctamente al tuenti :S

Estoy usando tambien un router y claramente en el paper dice que no funciona con routers..podria ser ese el problema no?

Saludos!

Entren al chat de elhacker.net
    
   

@kln13

Debci

Eso ocurre por el cache de DNS de tu navegador o incluso router  ;D eso ya lo pasé, entra a una pagina que no hayas visitado nunca y ponle de filtro:

* A www.google.es

Y verás que si funciona ;)

El problema es que a mi no me poisonea ARP y no se como realizar el ataque de fragmentación de paquetes sugerido por el compañero Kamsky.

Saludos