• Inicio
  • Blog
  • Wargames
  • Buscar
  • Ingresar
  • Registrarse

    • Hack x Crack - Comunidad de Seguridad informática »
    • Seguridad Informatica »
    • Hacking »
    • Hacking Wireless »
    • [Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
    • Imprimir
    Páginas: [1] 2 3   Ir Abajo

    Autor Tema: [Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos  (Leído 7986 veces)

    Desconectado vforf

    • { L4 } Geek
    • ****
    • Mensajes: 387
    • El arma mas devastadora de hombre es su sabiduria.
      • Ver Perfil
    [Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
    « en: Septiembre 19, 2013, 03:22:53 pm »
    Técnicas Man In The Middle - MIDM (Hombre en el Medio)

    El requisito fundamental para realizar este tipo de ataques es que toda la comunicación entre el cliente  y el servidor pase a través de la máquina atacante, de ahí el nombre de Man in the Middle. Es entonces donde tomamos el papel protagonista de esta novela. ¿Como? Colocandonos justamente entre dichos puntos interceptando los paquetes (MitM)
    Según wikipedia--> es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.  El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas.
    + Info -> http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle


    Si nuestra intención es interceptar una conexión entre un equipo local y uno remoto, la forma más directa de colocarnos en medio es comprometer el gateway, que es la máquina por la que de manera natural pasa este flujo de la información. Por supuesto éste no es el único método que tenemos a nuestra disposición, ya en un post anterior vimos que un envenanimiento ARP también sirve para este fin. Hay muchísimas más técnicas que permiten hacer esto como, por ejemplo, el port stealing, el DHCP spoofing o el IRDP spoofing, por nombrar sólo algunas, aunque de momento tendréis que conformaros sólo con los nombres porque no es el objetivo de este post profundizar en este tipo de ataques.

    Una vez que el atacante está en medio de la conexión, es capaz de controlar toda la conversación entre cliente y servidor, lo que abre todo un abanico de posibiliades que van más allá del simple sniffing. En esta situación el atacante es capaz de modificar a voluntad el flujo de información, es decir, puede alterar el contenido de los paquetes que se intercambian cliente y servidor de manera totalmente transparente para ambos extremos, por lo que estos nuncan sabrán del ataque.

    Esto no es una tarea sencilla y la complejidad técnica es importante. Por exponer sólo algunos detalles que entran en juego, si se modifica un paquete TCP, no sólo hay que cambiar el payload del paquete, también hay que recalcular el CRC y los números de secuencia. Es más, al alterar los números de secuencia, a partir de ese momento el atacante tendrá que sincronizar de manera transparente los números de secuencia que usa el cliente y los que usa el servidor, pues a partir de ese momento serán diferentes. Una vez superadas las dificultades técnicas, las posibilidades que nos ofrece este tipo de ataques superan ampliamente lo que podemos conseguir con otros métodos. Veamos algunos ejemplos: muchos portales web usan conexión https sólo durante la verificación del password, lo que es suficiente para proteger la contraseña contra ataques de sniffing.

    En la figura vemos como en la respuesta el servidor indica al cliente que debe enviar sus credenciales a https://webmail.ejemplo.com/login.php, lo que asegura protección frente a escuchas al usar HTTPS. Si en esta situación realizaramos un ataque MitM el resultado podría ser el siguiente:

    En la figura vemos que la petición del cliente no se modifica en absoluto, pero sí que se altera la respuesta del servidor, de tal manera que se hace creer al cliente que debe enviar las credenciales a http://servidor.atacante.com/login.php, que obviametne será un servidor controlado por el atacante y que registrará estos valiosos datos.

    Otros ataques MitM podrían ser la alteración de un fichero descargado por el cliente, de tal forma que éste baje a su equipo el fichero deseado por el atacante y no el que pretendía,  o la alteración de sesiones TCP para introducir en ellos comandos que el cliente no ha enviado, por ejemplo, un cliente se conecta a un servidor telnet con ODP y el atacante usa un ataque MitM para enviar una serie de comandos destinados a abrir una puerta trasera. De hecho, las posibilidades sólo están limitadas por la imaginación y os aseguro que hay personas muy creativas.

    Como ya os habréis dado cuenta, en todos los ejemplos que he puesto los ataques se realizan sobre protocolos no seguros (HTTP, FTP, Telnet…), ya que es necesario modificar el payload del paquete para que el ataque tenga éxito. Para aplicar estos ataques sobre protocolos seguros es necesario tener en cuenta muchos más detalles y no siempre  pueden llevarse a cabo, sin embargo ya discutiré ese tema en un post posterior, pues su complejidad supera en mucho lo que quería mostrar en este primer acercamiento a los MitM.

    Por último quería llamar vuestra atención sobre la forma en la que he descrito estos ataques. Tal y como lo he contado los paquetes se modifican al vuelo, siendo el ataque totalmente transparente. Algunos autores denominan a esto MitM Full Duplex, aunque personalmente no encuentro el término demasiado apropiado. El caso es que existe una variante del ataque que podríamos denominar Proxy MitM. Aquí la máquina atacante actua como proxy redireccionando todas las peticiones entre cliente y servidor. Hay que tener en cuenta que ahora es la máquina atacante la que establece las conexiones entre ambos extremos, por lo que el ataque no es totalmente transparente (si examinamos los paquetes veremos que nos vienen desde la máquina atacante y no del cliente/servidor legítimo).

    La complejidad técnica de estos ataques es mucho menor que en el caso anterior (por ejemplo, ya no hay que sincronizar números de secuencia), por lo que es mucho más fácil implementarlos. Evidentemente también tiene desventajas respecto al ataque original, una de las más criticadas es su incapacidad para eludir mecanismos como los TCP Wrappers.

    ¿Como hacemos un MIDM?
    [/b]
    Las técnicas son realmente variadas y dependerán de la creatividad del atacante. Pueden utilizarse muchas herramientas disponibles en todos los sistemas operativos, pero en esta oportunidad vamos con Backtrack/Kali amigos HackXcrackenses!

    Cualquier distro de Linux servirá, solo tengan en cuenta tener instalados los paquetes:

    Ssltrip
    Ettercap
    Aspspoof

    Lo primero que debemos hacer es permitir que Ettercap intervenga en las conexiones SSL, descomentando las siguientes líneas en el archivo de la siguiente dirección:
    Código: [Seleccionar]
    nano /etc/etter.conf
    Deberás dejarlo de esta manera.
    El segundo paso es, hacer que nuestra máquina enrute el tráfico, que llegue a ella, esto con el objetivo de que nuestra víctima no se quede sin Internet cuando el ataque esté en marcha. En Linux, este paso es muy sencillo, para ello debemos buscar un fichero llamado ip_forward que almacena un booleano (0 o distinto) que especifica si nuestro equipo funciona como router o no.

    Para ello debemos hacer esto, como superusuario.
    Código: [Seleccionar]
    echo 1 > /proc/sys/net/ipv4/ip_forward
    Ahora vamos a ejecutar la redirección de las peticiones del puerto 80 al puerto 10000, que es el puerto por defecto de la aplicación ssl strip.
    Código: [Seleccionar]
    iptables -t nat -A PREROUTING -p tcp –-destination-port 80 -j REDIRECT –-to-ports 10000
    …Y para finalizar en esta terminal.
    Código: [Seleccionar]
    sslstrip -a -k -f
    Estos tres pasos deberán quedar de la siguiente manera.

    Muy bien, ahora abrimos otra terminal, y vamos a realizar un escaneo con nmap para ver los host que están activos en la red.

    Código: [Seleccionar]
    nmap -sP 192.168.1.0/24
    Por ejemplo:
    En la imagen podemos observar los host que están conectados, entre ellos mi celular (xD). La víctima que escogí es la máquina server, cuya IP es: 192.168.1.100, también se observa la IP del gateway: 192.168.1.254.

    Ya con esto estamos listo para el siguiente paso, envenenar la tabla ARP o proceder con el MitM básico con la aplicación arpspoof. Para ello debemos especificar la interfaz de red que se usará para realizar el ataque y el objetivo.

    Código: [Seleccionar]
    arpspoof –i interfaz_de_red –t ip_victima ip_router
    Ejemplo:

    Y finalmente, en otra terminal, iniciamos el ataque con Ettercap.
    Código: [Seleccionar]
    ettercap -T -q -i interfaz_de_red
    Ejemplo:

    Listo! - ya con esto, la víctima en su navegador tecleará, por ejemplo, la página de facebook y, obtendrá el siguiente resultado.
    Nuestra víctima, ingenuamente, dará clic en “Continuar de todos modos”(como de costumbre), y porque desea entrar a su facebook, o a cualquier otra página con este tipo de cifrado, y pasará lo siguiente.

    Aclaración: Esto es solo un ejemplo, continuando con la linea del tutorial. No hay nada con que esté más en desacuerdo que los típicos tutoriales lammers sobre como blablabla Facebook.

    a página de Facebook aparecerá “como si nada”, sin embargo, se puede observar en la esquina superior derecha que el protocolo “https” está tachado, indicando que alguien violó ese cifrado.

    —-La persona, iniciará sesión, (como se muestra en la imagen)…. y una vez presionado el botón entrar, verá su página de inicio con toda normalidad, sin darse cuenta que ustedes habrán robado sus credenciales, y podrán observarlas de esta manera.

    Listo!

    Bueno [email protected] de HxC, mi intención ha sido colaborar con todos ustedes. Espero sus opiniones y que este combo de info sea de su agrado, que pueda servirles y resuma a grandes rasgos en que consiste esta técnica. Es importante resaltarles que no es la unica forma de hacerlo y mucho menos la distro Backtrack es el unico OS que admite este tipo de ataques.
    Pueden investigar tambien sobre Cain & Abel, Whireshark, etc

    Y recuerden...las practicas en sus maquinas virtuales!, comenten que les parecío y a los expertos...si quieren sumar tecnicas o más datos, ire modificando el post haciendo referencia a sus colaboraciónes para crear un post lo más completo posible y así seguir ayudandonos.


    Vinculos compilación de información:
    • http://www.sendaoscura.com/seguridad/ataques-man-in-the-middle-1%C2%BA-parte/
    • http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle
    • http://cezequiel.wordpress.com/2011/09/26/man-in-the-middle-hackear-cuentas

    Info + Descargas
    • Arp Spoofing -> http://linuxgnublog.org/envenamiento-de-las-tablas-arp-arp-spoofing/
    • DNS Spoofing (pdf) -> https://www.uv.es/=montanan/redes/trabajos/DNS_Spoofing.pdf
    • Ettercap-Web oficial ->http://ettercap.github.io/ettercap/
    • Ettercap Wikipedia -> http://es.wikipedia.org/wiki/Ettercap
    • Ssltrip -> http://www.redeszone.net/seguridad-informatica/sslstrip/
    • Punto de acceso falso -> http://www.securitynull.net/punto-de-acceso-wifi-falso-ssltrip-backtrack-5/
    • Nmap (sitio oficial) -> http://nmap.org/
    • Nmap (wiki) -> http://es.wikipedia.org/wiki/Nmap
    • Descarga Kali -> http://www.kali.org/downloads/
    • Descarga Backtrack -> http://www.backtrack-linux.org/downloads/
    • Crear liveUsb Backtrack -> http://www.backtrack-linux.org/tutorials/usb-live-install/
    • Crear liveUsb Kali ->http://es.docs.kali.org/installation-es/instalacion-de-kali-linux-desde-una-memoria-usb



    --------------------------------------------------------
    Aportes

    ¿Como detener un ataque MIDM?
    Aporte al post de MadJ0ker

    Bueno si sabemos que el ARP Spoofing consiste en la falsificación del par dirección IP - Dirección MAC, pues basta cambiar nuestra dirección IP en la LAN (o WLAN) para detener el ataque.
    El atacante manda paquetes ARP diciendo que su dirección MAC está asociada con la dirección IP de la víctima, por lo que cualquier paquete entrante a la LAN con dirección IP de la víctima será enviado al atacante y no a la víctima (como debería ser). Si la víctima se cambia su IP, todo acaba.
    Aunque lo común es hacerle un DoS a la víctima y robar su IP, y eso complicaría un poco las cosas.

    ----------------------------------------------------------

    Gracias por su tiempo.
    Su amigo, VforF
    « Última modificación: Septiembre 21, 2013, 02:15:47 am por vforf »
    En línea
    Dale a un hombre una verdad y pensará un día. Enseñe a un hombre a razonar y pensará para toda la vida

    Give a man a truth and he will think for a day. Teach a man to reason and he will think for a lifetime.

    Desconectado Prow

    • { L7 } Juanker
    • *******
    • Mensajes: 1223
      • Ver Perfil
    Re:[Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
    « Respuesta #1 en: Septiembre 19, 2013, 03:36:45 pm »
    Muy interesante vforf, lo descargo y lo guardo entre mis apuntes.

    Gracias!
    En línea

    Desconectado vforf

    • { L4 } Geek
    • ****
    • Mensajes: 387
    • El arma mas devastadora de hombre es su sabiduria.
      • Ver Perfil
    Re:[Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
    « Respuesta #2 en: Septiembre 19, 2013, 03:38:53 pm »
    Cita de: prow en Septiembre 19, 2013, 03:36:45 pm
    Muy interesante vforf, lo descargo y lo guardo entre mis apuntes.

    Gracias!

    Gracias a vos por leerlo prow!
    Saludos!
    En línea
    Dale a un hombre una verdad y pensará un día. Enseñe a un hombre a razonar y pensará para toda la vida

    Give a man a truth and he will think for a day. Teach a man to reason and he will think for a lifetime.

    Desconectado Croceell

    • { L3 } Über
    • ***
    • Mensajes: 258
    • No olvides quien eres.
      • Ver Perfil
    Re:[Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
    « Respuesta #3 en: Septiembre 19, 2013, 10:25:54 pm »
    Muy buenas familia, tengo una pregunta cuya respuesta no consigo encontrar por internet ya que hay demasiada información errónea, mi pregunta es la siguiente:
    Como puedo  parar un ataque ARP desde la computadora a la cual se le esta haciendo el envenenamiento? es decir, imagina que yo te estoy envenenando con un ARP y tu te das cuenta, como puedes hacer para pararme y no poder llevar acabo mi plan?
    Muchas gracias de antemano por las respuestas! :)
    En línea

    Desconectado vforf

    • { L4 } Geek
    • ****
    • Mensajes: 387
    • El arma mas devastadora de hombre es su sabiduria.
      • Ver Perfil
    Re:[Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
    « Respuesta #4 en: Septiembre 20, 2013, 02:42:36 am »
    Para detectarlo desde Windows: DecaffeinatID, Wireshark
    Para detectarlo desde Linux: Arpalert, Arpwatch, comando Telnet o ARP.
    No lo he puesto en practica, pero es lo que lei.
    Más info en: http://www.cristianamicelli.com.ar/?p=494
    « Última modificación: Septiembre 20, 2013, 02:45:29 am por vforf »
    En línea
    Dale a un hombre una verdad y pensará un día. Enseñe a un hombre a razonar y pensará para toda la vida

    Give a man a truth and he will think for a day. Teach a man to reason and he will think for a lifetime.

    Desconectado MadJ0ker

    • { L4 } Geek
    • ****
    • Mensajes: 442
      • Ver Perfil
    Re:[Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
    « Respuesta #5 en: Septiembre 21, 2013, 01:41:26 am »
    Muy buen aporte vforf!
    Me han gustado tus últimos aportes. :)

    Bueno, supongo que son válidas las herramientas para detectar el ARP Spoofing que dice vforf (tampoco las he probado). Pero creo que quieres saber es cómo detenerlo...
    Bueno si sabemos que el ARP Spoofing consiste en la falsificación del par dirección IP - Dirección MAC, pues basta cambiar nuestra dirección IP en la LAN (o WLAN) para detener el ataque.
    El atacante manda paquetes ARP diciendo que su dirección MAC está asociada con la dirección IP de la víctima, por lo que cualquier paquete entrante a la LAN con dirección IP de la víctima será enviado al atacante y no a la víctima (como debería ser). Si la víctima se cambia su IP, todo acaba.
    Aunque lo común es hacerle un DoS a la víctima y robar su IP, y eso complicaría un poco las cosas.
    « Última modificación: Septiembre 21, 2013, 01:44:22 am por MadJ0ker »
    En línea
    «La ciencia no nos ha enseñado aún si la locura es o no lo más sublime de la inteligencia.»
    Edgar Allan Poe (1809 - 1849)

    Desconectado vforf

    • { L4 } Geek
    • ****
    • Mensajes: 387
    • El arma mas devastadora de hombre es su sabiduria.
      • Ver Perfil
    Re:[Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
    « Respuesta #6 en: Septiembre 21, 2013, 02:08:26 am »
    Cita de: MadJ0ker en Septiembre 21, 2013, 01:41:26 am
    Muy buen aporte vforf!
    Me han gustado tus últimos aportes. :)

    Muchas gracias Mad! esa clase de comentarios hace que a uno le den ganas de seguir ayudando y nos hace sentir a quienes intentamos colaborar, que no solo somos un número en la comunidad. Gracias!

    Edit: Con tu permiso Mad, coloque en el post tu colaboración.
    Saludos!
    « Última modificación: Septiembre 21, 2013, 02:14:23 am por vforf »
    En línea
    Dale a un hombre una verdad y pensará un día. Enseñe a un hombre a razonar y pensará para toda la vida

    Give a man a truth and he will think for a day. Teach a man to reason and he will think for a lifetime.

    Desconectado ACK

    • { L7 } Juanker
    • *******
    • Mensajes: 1611
    • La piratería es un crimen. No ataque barcos.
      • Ver Perfil
    Re:[Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
    « Respuesta #7 en: Septiembre 21, 2013, 04:18:18 am »
    Genio! :)
    Estos aportes valen la pena! jeje. Muy bueno vforf, sigue así! :)
    En línea
    El guerrero de la luz a veces actúa como el agua, y
    fuye entre los obstáculos que encuentra. En ciertos
    momentos, resistir signifca ser destruido; entonces,
    él se adapta a las circunstancias.
    En esto reside la fuerza del agua. Jamás puede ser
    quebrada por un martillo, ni herida por un cuchillo. La
    más poderosa espada del mundo es incapaz de dejar una
    cicatriz sobre su superfcie.
     Paulo Coelho

    Desconectado vforf

    • { L4 } Geek
    • ****
    • Mensajes: 387
    • El arma mas devastadora de hombre es su sabiduria.
      • Ver Perfil
    Re:[Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
    « Respuesta #8 en: Septiembre 21, 2013, 07:14:02 am »
    Cita de: Facu en Septiembre 21, 2013, 04:18:18 am
    Genio! :)
    Estos aportes valen la pena! jeje. Muy bueno vforf, sigue así! :)

    Gracias Facu! mi amigo Cordobes! me la vas a hacer creer papa!
    En línea
    Dale a un hombre una verdad y pensará un día. Enseñe a un hombre a razonar y pensará para toda la vida

    Give a man a truth and he will think for a day. Teach a man to reason and he will think for a lifetime.

    Desconectado visior

    • Citas no célebres by myself
    • { L2 } Nativo Digital
    • **
    • Mensajes: 91
    • La vulnerabilidad que nunca se parchea es la human
      • Ver Perfil
    Re:[Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
    « Respuesta #9 en: Septiembre 21, 2013, 12:00:34 pm »
    Buenísssimo aporte!!!!! me ha servido de mucha ayuda me has dejado :O !!!
    Muy bueno y muchas gracias !!
    En línea
    La soberbia y pereza humana son dos vulnerabilidades persistentes en todos los sistemas explotalas y accederas a cualquier red.
    Atacar al punto débil es la garantía de victoria, pero en el punto fuerte lo es de orgullo.
    Si no requiere esfuerzo, no lo hagas, no merece la pena.

    • Imprimir
    Páginas: [1] 2 3   Ir Arriba
    • Hack x Crack - Comunidad de Seguridad informática »
    • Seguridad Informatica »
    • Hacking »
    • Hacking Wireless »
    • [Man In The Middle] - Info + Técnica + Enlaces - Ideal Novatos
     

    • SMF | SMF © 2013, Simple Machines
    • XHTML
    • RSS
    • WAP2
    Va un mudo y le dice a un sordo: Hack x Crack usa cookies. Pues eso... Learn more