Man In The Middle interesante pero complicado!

[aizenus]

Buenas tardes foro,

He leido varios manuales sobre el tema (la mayoria ya algo antiguos)tras varios intento de poder controlar este tema,me temo que alfinal me encuentro con muchas dificultades y acabo abandonandolo,,,espero que esta vez y con ayuda de alguien de este foro pueda conseguir mi objetivo

Tengo la red de mi casa con un pc de mesa con Backtrack 5 r3 instalado y actualizado(es desde el que escribo) con una antena alfanetwork awus036h  con  Chipset: Realtek RTL8187,al lado tengo un portatil con windows 7,el portátil es el  que uso como victima y intento  snifar tráfico de este,hasta ahí bien,bueno se que si uso solo WIRESHARK solo veré el tráfico de mi equipo amenos de que fuera un HUB,lo cual no es el caso,ya que tengo un router,asique necesito hacer un "Man in the middle" para captar el tráfico del portátil hacia el router,bien pues he leido manuales de Ettercap y lo intengo usar y ahí empiezan mis problemas:

Si uso Ettercap -G a la hora de dar a SCAN LIST, pues directamente se me cierra la aplicación,otras veces no se me cierra,pero solo me reconoce el pc donde lanzo el ettercap y el router ¬¬

Si uso Ettercap -C -i (mi interfaz) ,aunque la aplicación no se cierra,si que se bloquea...

Como he dicho,he leido distintos manuales donde dicen que hacer,pero cada uno dice algo diferente y yo sigo igual,,,,lo he intentado varias veces en los dos ultimos años y creo que he leido demasiados tutoriales y ya me he liado bastante la cabeza,,asique le pido al foro que me ayude con algún manual actualizado y que la persona que me lo recomiende lo haya usado alguna vez y funcione(por favor,no darme el primer enlace de google que diga man in the middle,de esos tengo muchos)

No busco algo fácil ni sencillo ni rápido,solo algo que funcione!

Gracias de ante mano

[morodog]

Aquí hay uno muy bien explicado en backtrack 5 , así q espero q valga. Es de un foro vecino.

Un saludo.


http://underc0de.org/foro/hacking-basico/realizando-un-ataque-man-in-the-middle-%28hombre-en-el-medio%29-by-arthusu/

[int_0x40]

Para hacer tus pruebas podrías montar mejor un virtual lab en tu mismo equipo o usar preferentemente primero la red cableada. No olvides además investigar algo sobre envenenamiento de ARP caché, sin lo cual no podrás hacerte de paquetes de otros equipos en la misma red.

Saludos

[DATV]

Suponiendo que quiero interceptar trafico entre el ROUTER (gateway) y  EL PC CON WINDOWS 7 (victima)

Ejemplo :

Gateway -> 192.168.1.1
Windows 7 PC -> 192.168.1.10

Commando en GNU/Linux para hacer un MITM (ARP SPOOF) entre estos dos :

Código [Seleccionar] Expandir

ettercap -T -M arp:remote /192.168.1.1/ /192.168.1.10/


Explicacion :

-T : modo texto , es decir, imprime informacion util en la consola
-M <Metodo:Argumento>: para especificar un ataque MITM (Ataque de hombre en el medio)

Hay varias maneras de hacer un MITM (arp spoof, icmp spoof, dhcp)
En este caso lo hacemos por medio del protoclo ARP

[aqqle]

wolaas justo hoy he colgado un script propio para hacerlo todo MUCHO mas facil..

http://foro.elhacker.net/hacking_avanzado/script_automatizado_para_ataque_mitm-t388207.0.html

Saludos!

[damian_cap28]

Hola a todos... Antes que nada grax por leer este POST. :=)
Ahora si, vamos al trabajo.
La pregunta es cual es el error que estoy cometiendo al intentar hacer un MAN IN THE MIDDLE.

LOS ELEMENTOS A UTILIZAR EN MI PRUEBA SON:

1 PC de Escritorio
1 Router Cisco

Nota: La conexión al Router es a traves de cable de red.En la Pc tengo corriendo Kali linux
como sistema nativo. Para las pruebas utilizo el Virtualbox. Al cual en esta prueba voy a hacer
correr un Windows 7 Sp1. En la solapa de red de la VBOX: Dice Conectado: a adaptador puente //
Nombre: eth0 // modo promiscuo: permitir todo. La ip de la maquina virtual es 192.168.1.108 y la ip del router es 192.168.1.1

Pasos seguidos despues de iniciar la maquina Virtual:

En una Terminal ejecuto las siguientes lineas de comando:
1. echo 1 >/proc/sys/net/ipv4/ip_forward  (para redireccionar el tráfico)
2. arpspoof -i eth0 -t 192.168.1.108 192.168.1.1 (para spoofear el trafico de la victima al cisco)
3. arpspoof -i eth0 -t 192.168.1.1 192.168.1.108 (idem al anterior pero a la inversa)
4. iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 1000
5. sslstrip -w pruebassl -a -k -l 1000 (utilizo el sslstrip -a para que registre y guarde todo
el trafico -k para que mate todas las sesiones en curso y el -l para que se ponga a la escucha en el
puerto 1000 y el -w para que todo lo guarde en el archivo pruebassl)

La pregunta es por que la maquina virtual no navega??
En el navegador se queda en esperando y la pagina en mi caso google.com. Lo mismo me ocurre en ya sea con Iexplorer o con el Chrome. E estado esperando a ver si veia algo extraño con el wireshark pero no logro dar con el error que estoy cometiendo. Como otro dato se pierde la conexion a nternet en la maquina virtual. A ver si alguien se piada y me puede dar una manito. Es todo desde ya muchas grax por la ayuda.

[SwitzerlandJ]

Yo prefiero arpspoof + sslstrip.

Funciona sin problemas exceptuando las aplicaciones móviles que forzan la conexión ssl.

[fokin]

Desde mi punto de vista un MiTM no es para nada complicado una vez estés dentro de la red.
Con Ettercap haciendo ARP spoofing y capturando los paquetes con Wireshark tienes todos los paquetes que quieras. Encima en modo gráfico

[diego9393]

al fin y al cabo lo más complicado es entrar en la red a la que quieras atacar, una vez dentro vía libre, o siempre puedes usar tu ordenador para compartir una red wifi.

pero mitm a mi no me parece para nada complicado, como ya he dicho lo más complicado es acceder a la red víctima

[Kakashy]

Hola a todos... Antes que nada grax por leer este POST. :=)
Ahora si, vamos al trabajo.
La pregunta es cual es el error que estoy cometiendo al intentar hacer un MAN IN THE MIDDLE.

LOS ELEMENTOS A UTILIZAR EN MI PRUEBA SON:

1 PC de Escritorio
1 Router Cisco

Nota: La conexión al Router es a traves de cable de red.En la Pc tengo corriendo Kali linux
como sistema nativo. Para las pruebas utilizo el Virtualbox. Al cual en esta prueba voy a hacer
correr un Windows 7 Sp1. En la solapa de red de la VBOX: Dice Conectado: a adaptador puente //
Nombre: eth0 // modo promiscuo: permitir todo. La ip de la maquina virtual es 192.168.1.108 y la ip del router es 192.168.1.1

Pasos seguidos despues de iniciar la maquina Virtual:

En una Terminal ejecuto las siguientes lineas de comando:
1. echo 1 >/proc/sys/net/ipv4/ip_forward  (para redireccionar el tráfico)
2. arpspoof -i eth0 -t 192.168.1.108 192.168.1.1 (para spoofear el trafico de la victima al cisco)
3. arpspoof -i eth0 -t 192.168.1.1 192.168.1.108 (idem al anterior pero a la inversa)
4. iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 1000
5. sslstrip -w pruebassl -a -k -l 1000 (utilizo el sslstrip -a para que registre y guarde todo
el trafico -k para que mate todas las sesiones en curso y el -l para que se ponga a la escucha en el
puerto 1000 y el -w para que todo lo guarde en el archivo pruebassl)

La pregunta es por que la maquina virtual no navega??
En el navegador se queda en esperando y la pagina en mi caso google.com. Lo mismo me ocurre en ya sea con Iexplorer o con el Chrome. E estado esperando a ver si veia algo extraño con el wireshark pero no logro dar con el error que estoy cometiendo. Como otro dato se pierde la conexion a nternet en la maquina virtual. A ver si alguien se piada y me puede dar una manito. Es todo desde ya muchas grax por la ayuda.

No navega por el -k. Como bien dices, mata la sesion una y otra vez, por eso no navega.
Cuando ejecutes sslstrip prueba de esta manera.

sudo sslstrip -w nombrecaputra.txt  (por ejemplo) y debería funcionar.