Spoofing en red local

Iniciado por lessionone, 29 Noviembre 2011, 11:19 AM

0 Miembros y 1 Visitante están viendo este tema.

lessionone

Hola buenas. Me han pedido que saque un user y password de una pagina web parecida a www.facebook.es. Muchos ya estaran pensando en un Xploits pero debo de sacarlo capturando el user y pass estando dentro de la red local.
La red local tiene firewall fisico y el ordenador que visita la pagina he introduce los datos tiene antivirus.

En seguida he pensado en hacer dns Spoofing con ettercap para redireccionarle a una pagina web que haya clonado yo y que hay introduzca sus datos pero no es posible porque al redireccionarle, en la url aparece el nombre de la pagina la cual le redirecciono

Hacer arp spoofing al hacer arp el antivirus le avisa y el firewall no se como lo bloquea a parte de que la conexion es ssl y va a dar el tipico mensajito de certificado no seguro....

Asi que mirando y mirando por la web he visto un metodo llamado web Spoofing, esto jamas lo habia visto y no se porque apenas se usa, no me queda claro porque no veo ningun video, todos son de arp.
Este metodo parece que primero hay que poner mi ordenador en modo proxy, segundo con el ettercap redireccionar el pc de la victima a este proxy y tercero con algun programa o algo capturar lo que esta pasando por el proxy ya que el proxy es nuestro propio ordenador y no vamos a tener problemas de antivirus ni cosas raras.
¿Esto es asi?
¿Sabeis de alguna otra tecnica dado lo que deseo y que funcione?

adastra

Te refieres a herramientas como Burp Suite y OWASP ZAP (ZAP Proxy)
Has intentado con dsniff para envenenar la red? (aunque posiblemente lo pille el firewall, vale la pena intentarlo)

lessionone

Primero pedir perdon porque este post lo escribi en dudas generales ya que no vi a simple vista hacking básico al estar metido como una subcategoria de hacking avanzado (algo que personalmente no me parece de lógica pero para la proxima ya se que esta aqui).
Gracias adastra por contestar a mi pregunta, veras el dsniff, ettercap, cain,.. como muchos otros programas lo que hacen son tecnicas de spoofing, el arp spoofing es lo que tu dices de envenenar la red y esto como comente tiene tres inconvenientes. Primero el antivirus le salta, segundo lo bloquea el firewall y tercero al ser una conexion ssl tiene problemas con los certificados con lo que si le ofrezco un certificado falso le salta el tipico mensajito de que no es seguro y si desea aceptarlo.
Por eso estoy preguntando si alguien a utilizado el web spoofing y si para este caso seria buena idea utilizar este metodo o a alguien se le ocurre algo mejor.

adastra

Si, para hacer web spoofing puedes usar aplicaciones como Burp Suite, OWASP ZAP (ZAP Proxy) o Paros Proxy, aunque vas a tener el mismo "problema" de la confianza con los certificados, utilices lo que utilices, a menos que tengas un certificado "confiable" para el navegador del usuario emitido por una CA valida.
Por otro lado, puedes usar las opciones incluidas en las aplicaciones que te he mencionado y buscar vulnerabilidades en dicho sitio web para ver si tienes alguna posibilidad de vulnerar sus mecanismos de seguridad.
Finalmente, no he entendido esto:

el arp spoofing es lo que tu dices de envenenar la red y esto como comente tiene tres inconvenientes. Primero el antivirus le salta, segundo lo bloquea el firewall.

Sobre lo primero, un AV es un mecanismo de defensa en una máquina que previene la ejecución de código potencialmente dañino, no se encarga de determinar si un determinado paquete es "malicioso" o no lo es, para eso esta el firewall (a menos que se trate de algún complemento o alguna extensión de un producto de seguridad) así que no entiendo cuando dices que salta el AV. Sobre lo segundo, un firewall aunque sea muyyyy restrictivo, permite como mínimo el trafico por los puertos 80 (HTTP) y 443 (HTTPS) para que sus usuarios puedan navegar por internet (a menos que lo tengan prohibido) así que normalmente, por esos puertos se suelen enviar payloads y cualquier tipo de comunicación que posiblemente por otros puertos podría ser filtrada por el firewall, ahí entra una aplicación como Burp o ZAP, configurándola para que trabaje por dichos puertos.

lessionone

Muchas gracias adastra se ve que controlas el tema.
Burp Suite, OWASP ZAP (ZAP Proxy) o Paros Proxy----> Al principio le eche un ojo a burn suite y zap proxy y pense "No me esta entendiendo y me a dicho el nombre de unos programas para buscar vulneridades en un servidor", pero viendo paros proxy veo que el que se equivocaba soy yo.
Si voy a tener problemas con los certificados entonces me olvido del web spoofing ya que no puedo coger el certificado de su pc.
Lo de buscar vulneridades en la server web prefiero dejarlo para lo ultimo ya que a simple vista es muy seguro el server web, antes tiraria de metasploit para conseguir sesion en el pc de la persona e instalarle un keylogger.
Tu comentas en el post de arriba "Has intentado con dsniff para envenenar la red? (aunque posiblemente lo pille el firewall, vale la pena intentarlo)"
Yo te contesto a eso que esos programas que envenenan la red lo que en realidad hacen es arp spoofing, y una vez mas tienes razon de que el antivirus previene la ejecucion de codigo y no el ataque de envenenamiento porque hay me rectifico y es el firewall del propio eset el que lo detecta como ataque y lo bloquea.

¿Si un puerto esta ya siendo utilizado por un proceso como es el iexplorer con su puerto 80, el puerto 80 puede ser utilizado al mismo tiempo por otro proceso? Yo pensaba que al mismo tiempo es imposible utilizar el mismo puerto porque el puerto ya esta en uso.

Y mi mayor duda, ¿si yo configuro el mozilla o explorer para que utilice un proxy ssl (olvidandome de los demas pc) e intento entrar con mi mozilla o explorer a https://es-es.facebook.com/ tambien voy a tener problemas con el aviso del certificado?

adastra

Citar¿Si un puerto esta ya siendo utilizado por un proceso como es el iexplorer con su puerto 80, el puerto 80 puede ser utilizado al mismo tiempo por otro proceso?
No, no es posible utilizar el mismo puerto por dos procesos independientes al mismo tiempo, si un puerto esta siendo utilizado por un socket/proceso (binding) en un momento determinado, no se puede abrir otro socket/proceso (listening) en el mismo puerto al mismo tiempo.
Si utilizas un proxy SSL, no vas a tener problemas de ese estilo, pero tampoco es muy "útil", ya que un proxy lo que hace es servir de intermediario entre una máquina remota y tu, por lo tanto, para lo que tu quieres no hay diferencia entre hacer la petición de forma directa desde tu máquina o hacerla por medio de un proxy.
Un proxy en estos casos te vale para analizar y posiblemente detectar vulnerabilidades en las peticiones del cliente y las respuestas de una aplicación web, todas las herramientas que te indique anteriormente sirven para hacer eso.

Tracxus

Se que no controlo mucho, pero la tecnica de spoofing que yo he practicado es
Man in the Middle, (por arp, no se si te sirve :S)

Suerte y saludos !
Saludos, Tracxus.

Quiero ser un hacker! Que necesito! -> Paciencia y.. un ordenador xD