Underc0de

[In]Seguridad Informática => Hacking => Mensaje iniciado por: arthusu en Agosto 06, 2012, 01:37:27 AM

Título: Dns spoofing by arthusu
Publicado por: arthusu en Agosto 06, 2012, 01:37:27 AM
Que es dns spoofing segun wikipedia:
DNS Spoofing

Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS Poisoning).

Con esto lo que haremos será infectar los dns para que nos rediriga a la pagina que queramos con esto también se podría crear un java applet o phishing quien sabe si haga algún tutorial mas adelante sobre eso... pero bueno vamos a hacer dns spoofing con ettercap usando etter.dns

Lo primero que haremos será buscar nuestra ip para redirigir para ello ponemos en una consola:
Nslookup google.com
En este caso redirigiré a google :D

(http://i.imgur.com/B2ZGC.png)

En este caso lo hice en la consola de comandos de windows por que lo tengo en modo puente en una red wifi y no me jala internet en el modem XD!
Como ves google tiene muchas ips en este caso cogeré la que sea...
Addresses:  74.125.227.100, 74.125.227.105, 74.125.227.98, 74.125.227.101,74.125.227.97, 74.125.227.110, 74.125.227.102, 74.125.227.103, 74.125.227.99,74.125.227.96, 74.125.227.104

Vamos a abrir el etter.dns si no sabes donde se encuentra tipea en la terminal:
Locate etter.dns

(http://i.imgur.com/KI20X.png)

Como ven se encuentra en /usr/local/share/ettercap/etter.dns
Lo abrimos con gedit para ello ponemos en la terminal:
sudo gedit /usr/local/share/ettercap/etter.dns
Ahora esta esto:

microsoft.com      A   198.182.196.56
*.microsoft.com    A   198.182.196.56
www.microsoft.com  PTR 198.182.196.56      # Wildcards in PTR are not allowed
que dice que si entras a Microsoft.com te redirigira a la ip 198.182.196.56
o *.microsoft.com en este caso * seria cualquier carácter www. http://  y la redirección a la misma ip anterior 198.182.196.56

en este caso nosotros redirigiremos todo el trafico de cualquier pagina a la ip de google y comentaremos esas líneas:

#microsoft.com      A   198.182.196.56
#*.microsoft.com    A   198.182.196.56
#www.microsoft.com  PTR 198.182.196.56      # Wildcards in PTR are not allowed

Comentamos las lineas agregandole #

Y ponemos la nuestra:
* A 74.125.227.100


(http://i.imgur.com/4bXyR.png)

Podríamos poner por ejemplo si queremos hacer phishing a Hotmail o a facebook seria *.facebook.com A laipdenuestrophishingmontadoenapache:P
Ahora salvamos y abrimos ettercap en una terminal tipeamos:
Ettercap –G –Ettercap en modo grafico

Vamos a Sniff>unified sniffing>ahí seleccionas tu red sino sabes cual es pon ifconfig en una terminal:

(http://i.imgur.com/P73Oz.png)

Como ves en mi caso seria eth0
Entonces selecciono esa...

(http://i.imgur.com/O1fj5.png)

Ahora host>scan for host

(http://i.imgur.com/iWtp1.png)

Esto escanea toda la red en busca de ips activas en red local :D
Cuando termine (es cuando dice algo como 4 hosts added to the hosts list...) vamos a host>host list
Ahora este paso es de los mas importantes
Seleccionamos la ip victima y le damos add to target 1
Seleccionamos la ip del modem y le damos add to target 2

Muchas veces no sabes quien eres pues con ifconfig puedes saber tu ip :D , y si no sabes cual es el modem con un simple escaneo de nmap a toda la red lo puedes saber: nmap -sP 192.168.1.0/24
esto ya lo explique en el de ataque man in the middle :P
en mi caso yo ya los agregue

(http://i.imgur.com/lRvX5.png)

Ahora vamos a mitm>arp poisoning>chequeamos los dos parámetros que vienen ahí sniif remote conections, only poison on-way y le damos ok

(http://i.imgur.com/cILh8.png)

Ahora vamos a plugins>manage the plugins>ahí buscamos dns spoof y le damos enter
Vamos a start>start sniffing


Ahora si vamos a nuestra maquina victima y ponemos cualquier web como facebook nos redirige a google

(http://i.imgur.com/FrHfn.png)

En este caso entre a google pero me redirige a google
Y me carga google :D

(http://i.imgur.com/VOTdI.png)

Si miramos en ettercap:

(http://i.imgur.com/Ls3WV.png)

Vemos como hemos spoofeado en este caso creo que fue el antivirus xD! Pero bueno igual spoofeo el facebook :D y todas las paginas que visite...
Ahora si miramos las tablas arp de la victima:

(http://i.imgur.com/WDSxD.png)

Estamos actuando como router :D

Saludos amigos :D

Referencias:
Underc0de
Flu-project

Título: Re:Dns spoofing by arthusu
Publicado por: k43l en Agosto 06, 2012, 04:04:58 PM
buen tutorial, se puede aprovechar esta tecnica para robar contraseñas mediante un scam en una red LAN
salu2

Título: Re:Dns spoofing by arthusu
Publicado por: arthusu en Agosto 06, 2012, 07:47:23 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
buen tutorial, se puede aprovechar esta tecnica para robar contraseñas mediante un scam en una red LAN
salu2
Seep! :) ahi lo mencione
CitarPodríamos poner por ejemplo si queremos hacer phishing a Hotmail o a facebook seria *.facebook.com A laipdenuestrophishingmontadoenapache:P
xD! saludos :P
Título: Re:Dns spoofing by arthusu
Publicado por: zoro248 en Agosto 13, 2012, 10:00:09 AM
Este es el tema que estoy interesado aprender, pero he tenido algunas dificultades..

checare en detalle el tuyo..



....Saludos --->
Título: Re:Dns spoofing by arthusu
Publicado por: [Z]tuX en Octubre 16, 2012, 10:11:23 AM
Buen tutorial bro!!
Título: Re:Dns spoofing by arthusu
Publicado por: krraskl13 en Octubre 16, 2012, 02:02:12 PM
Hola ya he abierto un post, sobre esto pero nadie fue capaz de aclararme la duda por eso te la comento aqui, puesto que es del mismo tema. Realizo un man in the middle, y acontinuacion un dns spoofing como tu has explicado. Yo en vez de redirigir a otro servidor, lo redirijo a un servidor propio montado con xampp. Entonces la victima cada vez que ingresa la contraseña se redirige a mi FAKE, mi problema es que de ahi no pasa pues siempre redirige al FAKE y se qeda ahi pillado y si de repente corto el envenenamiento eso tarda un rato, y tarde o temprano la victima se acaba por dar cuenta.

Todo esto realizado en una LAN, contralada por mi.

Alguna solucion para esto ???;)