(https://blog.underc0de.org/wp-content/uploads/2017/03/bettercap-framework.png)
Para empezar este 2017, os traigo un tutorial sobre cómo obtener las credenciales de sitios web que tengan cifrado SSL/TLS (HTTPS) mediante una técnica llamada SSLstrip y el uso de un framework para realizar ataques MITM (ataque de hombre en el medio) llamado Bettercap, en Internet, existen multitud de tutoriales para realizar este ataque pero aquí os enseñaré como realizarlo de una manera muy simple.
Este tutorial lo hago con fines educativos y sobre todo éticos, no me hago responsable del mal uso que podáis dar con lo aprendido aquí.
¿Qué son las páginas https? ¿Qué diferencias hay con las http?
(https://blog.underc0de.org/wp-content/uploads/2017/03/1.png)
Muchas veces, nos damos cuenta cuando accedemos a alguna web, que aparece un candado verde en la parte izquierda de la barra de direcciones, esto quiere decirnos, que nuestra conexión con el servidor es segura, es decir, el tráfico entre los dos puntos viaja cifrado.
Este tipo de páginas podemos encontrarlas en aquellas que requieran un nivel "extra" de seguridad debido a que en ellas se maneja información sensible como por ejemplo contraseñas, números de tarjeta de crédito o información confidencial.
Un ejemplo del uso de estas páginas pueden ser las web de los bancos, páginas dedicadas al comercio electrónico (tiendas online) o sitios populares como Google, Facebook o Twitter.
Podríamos decir que la diferencia entre https y http es que la información se envía cifrada para evitar que un tercero capture el tráfico y vea lo que en ella se envía, el trafico https puede ser de igual manera capturado que el tráfico http, pero no podríamos leer lo que contiene (en principio).
Bettercap y SSLstrip
Bettercap es un framework que se utiliza para realizar ataques MITM (Man In The Middle) o hombre en el medio, estos ataques consisten básicamente en interponerse entre 2 equipos para ver que datos se intercambian.
A continuación os dejo unos links por si queréis echar un vistazo más a fondo a esta estupenda herramienta.
Sitio ofical de Bettercap: https://www.bettercap.org
GitHub de Bettercap: https://github.com/evilsocket/bettercap
Pero, ¿con interponerme en mitad de la conexión es suficiente?
Como bien os había dicho anteriormente, simplemente interponiéndonos en la conexión entre 2 equipos no es suficiente, necesitamos hacer uso de SSLstrip para poder leer lo que en ella se envía, más adelante lo veremos, os dejo un enlace hacia esta herramienta creada por Moxie Marlinspike.
GitHub de SSLstrip: https://github.com/moxie0/sslstrip
Instalación de Bettercap.
Para instalar Bettercap, abrimos un terminal con permisos de superusuario y escribimos:
Instalación de dependenciasapt-get install build-essential ruby-dev libpcap-devClonamos el repositorio a nuestro equipo.git clone https://github.com/evilsocket/bettercapNos posicionamos en la carpeta del proyectocd bettercapConstruimos las gemas.gem build bettercap.gemspecInstalamos las gemasgem install bettercap*.gemUso de Bettercap y SSLstrip
Bettercap ya trae un módulo para realizar ataques SSLstrip, por eso creo que esta es la manera más sencilla para realizar este ataque, si conocéis otra manera más rápida y efectiva de realizar este ataque, os invito a que podáis publicarlo a continuación de este artículo.
Abrimos una terminal y escribimos:
bettercapDeberíamos de ver todos los dispositivos conectados a nuestra red, es hora de acordarnos de la IP de la víctima, que en mi caso sería la IP 192.168.100.251.
(https://blog.underc0de.org/wp-content/uploads/2017/03/2.png)
Una vez sabemos la IP de la víctima, inicializamos Bettercap de la siguiente manera:
bettercap -T [IP VÍCTIMA] --proxy -P POSTEn mi caso quedaría de la siguiente manera: bettercap -T 192.168.100.251 –proxy -P POST
Si queremos que el ataque se realice a toda la red, simplemente no especificamos la IP de la víctima, y comenzará a captura todo el tráfico de red.
bettercap -T --proxy -P POSTUna vez la víctima acceda a cualquier página https (en este caso Facebook).
(https://blog.underc0de.org/wp-content/uploads/2017/03/3.png)
Podremos ver el tráfico descifrado, y por lo tanto, las credenciales en texto claro.
(https://blog.underc0de.org/wp-content/uploads/2017/03/4.png)
Fuente: hackpuntes.comSaludos,
ANTRAX
No estoy seguro si te sirve para móviles.. En teoría debería ya que la APP de facebook también funciona con SSL. Pero no se si el manejo de datos sea el mismo que el de un navegador web.
Por las dudas probalo con la PC para descartar.
Saludos,
ANTRAX
Bien, lo intentare
Gracias!!
Hola @ANTRAX (https://underc0de.org/foro/index.php?action=profile;u=1) he realizado mis pruebas pero el trafico HTTPS veo que no se muestra en texto plano y más bien es encriptado.
Está es una captura de Facebook y Gmail, donde las url cambiaron.
(http://i.imgur.com/8zcZ2iE.png)
¿Que puede estar pasando?
Gracias por leer!
@!Duda (https://underc0de.org/foro/profile/sk4n/) Si no me equivoco, es porque utilizan la tecnología HSTS y por lo tanto el ataque con SSLstrip ya no funciona.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
@!Duda (https://underc0de.org/foro/profile/sk4n/) Si no me equivoco, es porque utilizan la tecnología HSTS y por lo tanto el ataque con SSLstrip ya no funciona.
Existen otras formas de hacer algo parecido pero con HSTS?
Gracias por leer!
@!Duda (https://underc0de.org/foro/profile/sk4n/), para obtener credenciales podrías probar con un phising.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
@!Duda (https://underc0de.org/foro/profile/sk4n/), para obtener credenciales podrías probar con un phising.
Me referia a algo de sniffing
@!Duda (https://underc0de.org/foro/profile/sk4n/), podrías aprovechar la redirección hacia un determinado subdominio que utilice http. Si consigues que la víctima acceda a ese subdominio lo has conseguido.
Bettercap hace esto por defecto para bypassear el HSTS, pero páginas cómo Facebook y Gmail ya están protegidas ante este tipo de ataques.
Habrá que ponerlo en practica ;)
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
@!Duda (https://underc0de.org/foro/profile/sk4n/), podrías aprovechar la redirección hacia un determinado subdominio que utilice http. Si consigues que la víctima acceda a ese subdominio lo has conseguido.
Bettercap hace esto por defecto para bypassear el HSTS, pero páginas cómo Facebook y Gmail ya están protegidas ante este tipo de ataques.
Un sub-dominio que trabaje con protocolo http dentro de estas redes lo veo dificil; estos tienen certificados ssl wildcard.
Gracias por leer
¡Hola!
¿Alguna vez probaron "Delorean" para hacer ataques a NTP? Tal vez funcionaría.
http://www.elladodelmal.com/2016/03/ataques-man-in-middle-hsts-sslstrip-2.html
Saludos.
@HATI (https://underc0de.org/foro/index.php?action=profile;u=53687) revisando la documentación no encontré la forma de guardar todo el trafico obtenido como un log para poder consultar despues, sabes algo?
@Nobody (https://underc0de.org/foro/index.php?action=profile;u=34246) el link pinta buenisimo, mañana hare las pruebas todo el día y te cuento que tal.
Gracias por leer!
@DUDA (https://underc0de.org/foro/profile/sk4n/) puedes usar las opciones:
"-O"
"--log nombredelarchivo"
Aquí tienes la documentación oficial: https://www.bettercap.org/docs/ (https://www.bettercap.org/docs/)
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
@DUDA (https://underc0de.org/foro/profile/sk4n/) puedes usar las opciones:
"-O"
"--log nombredelarchivo"
Aquí tienes la documentación oficial: https://www.bettercap.org/docs/ (https://www.bettercap.org/docs/)
Gracias!! +Karma
Este tipo de ataque ya no funciona ni para el login del router según lo que e estado probando
Me parece que no habeis tenido en cuenta la aportacion que Nobody ha hecho al hilo:
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
¡Hola!
¿Alguna vez probaron "Delorean" para hacer ataques a NTP? Tal vez funcionaría.
http://www.elladodelmal.com/2016/03/ataques-man-in-middle-hsts-sslstrip-2.html
Saludos.
HSTS funciona mientras no caduque la cookie, si consigues que la cookie caduque puedes emular la primera conexión y engañar al navegador para que no pida https. Eso si, la hora que verá el cliente no será la correcta y si echa un vistazo al reloj verá que no es correcta y podrá sospechar.
En el login del router funciona mientras sea la primera vez que conectas, si no hay que hacer lo de la hora porque tu navegador ya habrá cargado la pagina y ya tendra la cookie del hsts
Si queréis ver la lista de HSTS y sus fechas de expiracion no tenéis mas que ir a .mozilla/firefox/xxxxx.default/SiteSecurityServiceState.txt
Mayormente ahi hay una lista de sites con la fecha de expiracion en milisegundos, lo pasáis a fecha humana y ahí tenéis la fecha que tenéis que conseguir poner en el host para evitar la carga del HSTS.
Muy inestable para un ataque no controlado por ejemplo quería tener una prueba de concepto bajo un red publica
Aporte muy interesante muchas gracias.
A mi me da un error al iniciarlo "couldn't determine router MAC" alguien podria echarme una mano??
Gracias de ante mano ;-)
una duda si quiero snifear el login de un router mikrotik con aaceso a puerto personalizado 8081 como lo puedo hacer como especifico ese puerto a escuchar?
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
una duda si quiero snifear el login de un router mikrotik con aaceso a puerto personalizado 8081 como lo puedo hacer como especifico ese puerto a escuchar?
Depende de si usa SSL/TLS, HSTS... Te recomiendo que publiques la pregunta en la sección "Dudas y pedidos generales (https://underc0de.org/foro/dudas-generales-121/)" para que obtengas mejor ayuda.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
una duda si quiero snifear el login de un router mikrotik con aaceso a puerto personalizado 8081 como lo puedo hacer como especifico ese puerto a escuchar?
bettercap –sniffer-filter "tcp port 8081"
¿Va cifrado?
excelente lo voy a intentar
Excelente!! Lo probe para Netflix, Hotmail, Youtube y anduvieron perfecto! Algunos sitios como Facebook y Gmail no anduvieron, tengo entendido que ya no tienen su version con el protocolo http por lo tanto no Bettercap no funciona.
:)
Lamentablemente en varios sitios seguros este tipo de ataque ya no funciona. Alguno que este actualizado para sitios HSTS ? quedo atento a comentarios
A buscar
A leer
A practicar
Y a comentar
"El que no busca no encuentra"
Enviado desde mi GT-I9505 mediante Tapatalk
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Lamentablemente en varios sitios seguros este tipo de ataque ya no funciona. Alguno que este actualizado para sitios HSTS ? quedo atento a comentarios
Creo que podrías probar la técnica "delorean", se ve descabellada, si, pero en intentarlo no se pierde nada.
Por otro lado es lo único que he visto probar por la red, pero si sabes de algo nos comentas y probamos.
Saludos y éxito!!
Enviado desde mi GT-I9505 mediante Tapatalk