Buenas a todos, en este post vamos a hablar sobre los ataques MiTM (Man in The Middle), que son y una de las formas mas básicas de realizarlos. Después en el próximo post veremos como podríamos crear una web falsa, haciendo una copia exacta de otra web con la herramienta SET (Social Engineer Toolkit) y ademas veremos como es posible redireccionar a las victimas del MiTM o a las victimas que se hayan conectado a nuestro Fake AP a la web falsa que hemos creado en vez de a la pagina real.

Entrando en materia, lo primero que vamos a hacer es definir que es un MiTM o un ataque de hombre en el medio. Es un ataque bastante común en el que el atacante es capaz de interceptar una comunicación entre dos maquinas sin que ninguna de ellas conozca lo que esta ocurriendo, esto va a permitir al atacante leer, inyectar o modificar cualquier tipo de información que sea transmitida entre ambas maquinas.

Es decir, el atacante estará en medio de la comunicación, por lo que cuando la victima envíe un paquete al servidor realmente lo estará enviando al atacante, y sera este el que se encargue de hacerle llegar el paquete al servidor como si fuera la victima. Ocurrirá lo mismo cuando el servidor mande paquetes a la victima, que antes de llegar a la victima pasaran por el atacante.


Antes de ver un ejemplo practico vamos a ver un poco la teoría de como se produce este tipo de ataques. Lo primero que tenemos que hacer para poder recibir los paquetes tanto de la victima como del servidor es realizar un ataque ARP Spoofing (necesario únicamente en redes switcheadas y no con hubs ya que en este caso todas las comunicaciones ya llegan a todos los host). Este ataque se basa en rellenar las tablas ARP tanto de la victima como del servidor engañandoles para que crean que nosotros (el atacante) es la maquina hacia la que quieren comunicarse. Vamos a ver un ejemplo:



Supongamos que nuestra MAC es 00:11:22:33:44:55

La tabla ARP de la victima (IP 192.168.1.2) antes del ataque seria...

Dirección IP 192.168.1.1 (Router) –> MAC: FA:54:DE:2C:37:99

La tabla ARP de la victima 2 (IP 192.168.1.1) que en este caso seria el router para poder interceptar las comunicaciones en una LAN, antes del ataque seria...

Dirección IP 192.168.1.2 (Victima 1) –> MAC: 3F:54:E2:CA:21:D3



Una vez ejecutado el ataque, las tablas ARP de las victimas serian las siguientes:

La tabla ARP de la victima (IP 192.168.1.2) seria...

Dirección IP 192.168.1.1 (Router) –> MAC: 00:11:22:33:44:55

La tabla ARP de la victima 2 (IP 192.168.1.1) seria...

Dirección IP 192.168.1.2 (Victima 1) –> MAC: 00:11:22:33:44:55



Como vemos ahora las maquinas victimas no enviaran los paquetes a nosotros, y ahora tendremos que redirigir esos paquetes para sus respectivos destinos, pudiendo modificar, leer o inyectar cualquier información que deseemos en la comunicación. Para que este ataque sea efectivo tendremos que estar mandando paquetes ARP maliciosos a ambas maquinas de forma continua para evitar que refresquen su tabla ARP con los valores correctos. Este tipo de ataques se puede hacer con infinidad de herramientas como CAIN, Ettercap, etc...

Ahora vamos a ver como podríamos realizar este ataque en un entorno real.

Lo primero que tenemos que hacer es abrir una consola he introducir: "echo 1 > /proc/sys/net/ipv4/ip_forward ", para activar el reenvió de paquetes.

Después introducimos: "iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 10000″, regla de IPTABLES para que se lleve a cabo la dirección.

Ahora vamos a realizar el ataque ARP Spoofing. Este lo podemos realizar a toda la red, de forma que todo pase por nosotros o podemos hacerlo únicamente entre dos maquinas. Las formas de hacerlo serian las siguientes:

A toda la red: "arpspoof -i INTERFAZ_RED IP_ROUTER"

Únicamente entre dos maquinas: "arpspoof -i INTERFAZ_RED -t IP_VICTIMA1 IP_VICTIMA2″ y "arpspoof -i INTERFAZ_RED -t IP_VICTIMA2 IP_VICTIMA1″ (En dos ventanas distintas para realizar el ataque en ambas maquinas)

En nuestro caso practico seria: "arpspoof -i wlan0 -t 192.168.1.1 192.168.1.10″ y "arpspoof -i wlan0 -t 192.168.1.10 192.168.1.1″


Como vemos en la imagen hemos seguido todos los pasos, por lo que ahora mismo estaríamos en medio de la conexión entre el router y el equipo victima. Como vemos a continuación en el equipo victima hemos conseguido cambiar en la tabla ARP la dirección MAC del router, haciendo que sea la nuestra.



Ahora si quisiéramos ver todo el trafico de la maquina victima que únicamente necesitaríamos abrir algún analizador de paquetes como wireshark y lo veríamos todo, como por ejemplo las claves en claro que introdujera la victima en alguna web (bajo HTTP, aunque mas adelante veremos como hacer lo mismo para HTTPS). En el próximos post hablaremos de como realizar un ataque DNS Poisoning ademas de ver como crear una web falsa mediante la herramienta SET.

Espero que les haya gustado!

Un saludo,

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como ya sabremos, una de las medidas de protección con las que cuentan nuestros router's, es la de hacer un filtrado de direcciones mac, de este modo, cuando un equipo que no está incluido dentro de ese filtrado,  se le deniega  la conexión, pues bien, hoy vamos a ver cómo es posible saltarse esa restricción con unos simples comandos a través de la terminal de kali Linux, (quiero resaltar que para Windows existen una serie de programas que hacen esto) comencemos.

Lo 1º  que vamos a ver es cuál es nuestra tarjeta de red y nuestra mac, la cual es la que queremos cambiar, ver imagen:


Como podemos ver en la imagen anterior, nuestra tarjeta de red es la wlan0 y nuestra mac la que acaba en 6e, pues bien esta última es la dirección mac que vamos a cambiar, pero ¿por cual la vamos a cambiar?  Pues la cambiaremos por la de algún cliente que este asociado a la red wifi 'ya lo veremos más adelante'

Ahora lo que vamos a hacer como ya es habitual es poner nuestra tarjeta de red en modo monitor, para ello abrimos una terminal  y escribimos  esto:  airmon-ng start nuestra_tarjeta_de_red


Una vez que tenemos nuestra tarjeta en modo monitor el siguiente paso será encontrar al cliente asociado a la red wifi que tiene el filtrado mac hecho y para ello ponemos a trabajar el ya conocido airodump-ng de la siguiente forma, abrimos una terminal y escribimos en ella

Airodump-ng mon0  y le damos a intro, acto seguido si hay algún cliente asociado a la red wifi el airodump-ng nos lo dirá y si no lo hay habría que esperar a que se conectase, nosotros por suerte ya lo tenemos conectado, ver imagen:


Como vemos en la imagen anterior, ya tenemos la mac del cliente conectado al router protegido, ahora nuestro siguiente paso será cambiar nuestra dirección mac la cual ya vimos al principio por la del cliente que vemos arriba, ya que  se supone que esa están dentro del filtrado mac.

Bien, para empezar con el cambio de mac lo 1º será abrir una terminal y escribir lo siguiente:

Ifconfig wlan0 down


on la orden anterior lo que estamos haciendo es deshabilitar el dispositivo de red, esto es necesario para poder efectuar los cambios.

Ahora ponemos lo siguiente:

Ifconfig wlan0  hw  ether  dirección_mac_a_clonar

ver imagen:


a imagen anterior podemos ver como yo ya he introducido la mac del cliente asociado a la red protegida que en ese caso es 00:17:9a:7c:f3:8f

Ahora lo que hacemos es volver  a habilitar nuestro dispositivo de red, para ello ponemos en nuestra terminal lo siguiente:

Ifconfig wlan0 up   de esta forma nuestra tarjeta de red volverá a estar activada:


ues bien, se supone que ya hemos cambiado nuestra dirección mac por una que está permitida dentro del filtro de seguridad del router, para comprobar que la hemos cambiado, ponemos en nuestra terminal ifconfig y le damos a intro:


Como vemos en la imagen anterior, hemos cambiado con éxito nuestra mac por la del cliente asociado, con lo que ahora nos conectaremos al router sin el más mínimo problema.

CONCLUSIÓN: hemos visto que la medida de seguridad del filtrado mac de un router no es suficiente para proteger nuestra red de algún indeseado  ya que se puede evadir con cierto grado de facilidad.

Espero que less haya gustado y hasta el próximo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola, Amigos de Underc0de
Soy un un chico muy curioso que me gusta mucha las redes inalambricas y me expecializo en ellos mas en el sentido de Atacar y defender, me gustaria algun dia aprender a programar con la ayuda de ustedes

Dare mi granito de arena en la comunidad dando todo por el todo de lo que se para que la gente haga consiencia de lo que podia pasar si el acto de comete

Saludos

PD. lo siento si no me presente bien no soy muy bueno en esto Cualquier duda Mandame un MP

hoy voy a hablar acerca de un ataque bastante conocido llamado Caffe Latte que fue expuesto por Vivek Ramachandran en 2007 para atacar una contraseña WEP.

/******************************

1. Teoría

2. Práctica

******************************/

La idea de escribir este Post no es ejecutar el programa como "script kiddies" sino entender como funciona del ataque teóricamente y luego usar una herramienta que lo automatice.

1. Teoría

El ataque se llama Caffe Latte porque es capaz de obtener la Password en un tiempo aproximado de 5 minutos; que a fín de cuentas es el tiempo que tardes en tomarte un café. Además por el tipo de ataque que es, una cafetería sería el lugar idóneo para realizarlo.

A diferencia de la mayoría de ataques wifi existentes, el ataque Caffe Latte se distingue del resto por realizarse mediante un ataque al cliente y no al Access Point típico.

La idea central sobre la que se apoya el ataque es que en el cifrado WEP el usuario tiene que autentiarse mientras que el Punto de Acceso NO. Esta falta de auntenticación mutua provoca que un atacante malicioso pueda suplantar un AP mediante la copia de ESSID (nombre) y BSSID (MAC address; necesario o no según la configuración del cliente) y llegue a emparejarse con el cliente para "hacer cosas". Este hecho es impemsable en los protocolos WPA y WPA2 ya que en estos protocolos es necesaria la auntenticación de ambas partes.

El proceso del ataque es el siguiente:

• 1.1. Un atacante crea un punto de acceso wifi (AP) con un ESSID exactamente igual (el BSSID también puede copiarse si se quiere) a uno que tenga guardado un pc victima. Esta red tendrá seguridad WEP pero con una clave distinta a la del cliente (puesto que NO se sabe).
  
  1.2. Pese a que el atacante y la victima poseen claves de cifrado distintas , el cifrado WEP permite llegar hasta la fase de asociación del cliente al punto de acceso.
  
  1.2.1 El proceso de aunteticación del cliente se hacer a través de la propuesta de un reto (Flecha cuarta; de atacante a cliente) que no es mas que un texto cifrado con la clave compartida. El cliente responderá al reto (flecha quinta) y el Punto de  Acceso FALSO dirá que es válida (aunque es mentira) enviado un "Authentication Success" (flecha sexta)       
  
  
  
  
  1.2.2 Una vez acabado el proceso de aunteticación, el cliente se asocia al punto de acceso como se muestra en las flechas 5 y 6 de la siguiente imágen.
  
  
  
  
  1.2.3 Una vez establecida la asociación, el cliente intentará obtener una IP mediante DHCP ( pero el punto de acceso Falso no dispondrá de DHCP) y tras un Timeout el OS del cliente le asignará automaticamente una IP estática correspondiente al rango APIPA (169.254.0.1 a 169.254.255.254 con máscara 255.255.0.0).
  
  El cliente enviará ARPs gratuitos informando de la IP estática que se ha autoasignado para evitar problemas en la red tal como se ve en la siguiente imágen.
  
  
  
  
  1.2.4 El próximo y último paso lo realizará el AP falso. A partir de los ARP gratuitos el AP fake introducirá en la red peticiones ARP de una IP cualquiera con IP destino la IP del cliente. El cliente responderá a los paquetes ARP que le estan llegando y en poco tiempo tendremos suficiente tráfico como para poder crackear la password WEP.

2. Práctica

2.1 Vemos los interfaces de red

Vamos a iniciar la prueba viendo las interfaces de red que tenemos y cual vamos a usar en modo monitor. En mi caso la wlan1 corresponde a una tarjeta de red externa ALFA AWUS036H de las que el otro día Sebastian comentó en un POST.

Citarifconfig

2.2 Arrancamos la tarjeta en modo monitor

Una vez decidido la tarjeta que vamos a poner en modo monitor deberemos teclear el siguiente código (en mi caso usaré wlan1).

Citarairmon-ng start wlan1

2.3 Monitorizamos el tráfico

Con el comando airodump-ng empezaremos a recoger todo el tráfico que circule por el aire. Veremos como inicialmente no hay ninguna Red wifi llamada "CaffeLatte" y tras ejecutar el comando siguiente (2.4) se crea. Así mismo veremos como el cliente se conectará al fake AP y se intercambiarán tramas.

La opción -c 7 es para filtrar las búsquedas a las del canal 7.

La opción -w "xx" es para guardar la captura en el fichero "xx".

Citarairodum-ng -c 7 -w capturaCaffeLatte mon0

2.4 Creamos el AP falso para realizar el ataque

Con el programa airbase-ng crearemos el Punto de Acceso falso.

La opción -c 7 creará el punto de acceso en el canal 7

La opción -a XX:XX:XX:XX:XX:XX sirve para crear el punto de acceso con esa MAC address.

La opción -e "xx" dará el nombre (también tecnicamente conocido como essid) "xx" a la red.

La opción -L servirá para que airbase-ng adopete la configuración del ataque CaffeLatte.

La opción -W 1 sirve para que la red adopte cifrado WEP. Si hubiese un 0 la red sería abierta.

La opción -x "xx" es opcional; sirve para que una vez que comience el ataque, envie "xx" paquetes por segundo.

Citarairbase-ng -c 7 -a XX:XX:XX:XX:XX:XX -e "WifiCaffeLatte" -L -W 1 -x 100 mon0

Cuando "el cliente" se conecte a la red se asociará a este y comenzará el ataque. El estado del ataque lo veremos en la terminal de airbase-ng.


Veremos en airodump-ng que "el cliente" se ha conectado y empiezan a transmitirse frames.


2.5 Descifrando la clave

Cuando hayamos capturado un número alto de paquetes IV (vectores de inicialización) procederemos a ejecutar aircrack-ng para obtener la clave.

Con la opción -e "xx" descifraremos solo la red con el essid (nombre) "xx".

Citaraircrack-ng -e WifiCaffeLatte capturaCaffeLatte*.cap

El ataque en teoría esta pensando para que se ejecute en un tiempo de 5 minutos, pero en mis pruebas no he conseguido ese rendimiento ni de lejos. De hecho no he conseguido muchos paquetes IV al cabo de 10 minutos. He hecho las pruebas con un chipset RTL 8187L atacando ordenadores con Windows 7 y Windows XP; además he probado tanto con Bactrack 5 R3 como con Kali sin conseguir un gran número de paquetes IV en ambos casos.

En este Link, Vivek Ramachandran intenta reproducir el ataque (año 2012) y tampoco consigue llevarlo a cabo. Al final dice que contactará con el equipo de Aircrack-ng para ver si pueden avanzar en el problema.

Quizás sea problema de mi tarjeta de red. Probaré a usar otras herramientas como wifite y otras tarjetas para seguir haciendo pruebas y cuando me salga haré una segunda parte mostrando la manera en la que me ha salido

Espero que les haya gustado recordar este curioso ataque.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta