Man-in-the-middle con arpspoof, sslstrip, Wireshark y m...

https://thacid.wordpress.com/2012/03/02/man-in-the-mid...

Blog Acerca de Ay, que yo tambin quiero una Raspberry Pi! Man-in-the-middle con arpspoof, sslstrip, Wireshark y mucho tiempo libre (eplogo)

Man-in-the-middle con arpspoof, sslstrip, Wireshark y mucho tiempo libre

Publicado 02/03/2012 Notas mentales 6 Comentarios Etiquetas: arpspoof, jeik jeik, man in the middle, mitm, sslstrip, tuenti

HOLA HOLA. Hoy, queridos amigos, vamos a aprender a hacer un man-in-the-middle (de aqu en adelante, MITM) usando arpspoof, sslstrip, Wireshark, y algunas otras cositas ms. Las instrucciones las har a la medida de Arch Linux, pero como sois ms listos que la mar, no os costar nada de nada hacer lo mismito en otras distros o incluso en otros sistemas operativos. S seor. El objetivo: cazar la sesin y, posteriormente, la cookie del perl en Tuenti de nuestra hermanita, la cual nos cae mal porque no s, eso ya es cosa vuestra. Antes de nada, reuniremos los ingredientes: 1. arpspoof. Esto est en el paquete dsni. 2. sslstrip. Hay un PKGBUILD en el AUR. 3. Wireshark. Instala wireshark-gtk, luego adete al grupo wireshark usando usermod -a -G wireshark usuario, y cierra todas las sesiones que tengas abiertas para que los cambios tengan efecto. 4. Firefox con su complemento Cookies Manager+. 5. iptables. 6. nmap. Si nos sabemos la IP de la ingenua vctima no nos va a hacer ni falta, pero supongamos que la tenemos que adivinar. Bueno, ya est bien de instalar tonteras. Al meollo. Nuestra inquieta hermanita es un dolor de huevos importante, y hemos decidido gastarle una bromita inocente: le vamos a cambiar el estado del Tuenti. Podramos ir a su ordenador y cambirselo directamente, pero como es una yonki, no hay quien la separe de ah, por lo que lo habremos de hacer remotamente. Son las tres y media; ya ha vuelto de clase, ya ha comido. Se ha sentado frente a su ordenador. Ay, qu nervios. Lo que nos vamos a rer. A que s? Supondremos que no sabemos la IP que tiene el PC de nuestra hermanita. Si fuimos nosotros los que lo conguramos en su da, o tenemos acceso al router y dicho PC usa
1 de 10 16/04/13 01:50

Man-in-the-middle con arpspoof, sslstrip, Wireshark y m...

https://thacid.wordpress.com/2012/03/02/man-in-the-mid...

DHCP (quin no es admin de su propia red?), ya tenemos la IP . Pero vamos a imaginar que no. En esta vida hay que ponerse en lo peor. Abrimos una terminal, nos hacemos root y, suponiendo que nuestra red de rea local (ay, qu pedante) est en 192.168.0.*, ponemos: # nmap 192.168.0.0/24 -sP Vale. Y ahora? Pues aqu estn los resultados: Starting Nmap 5.51 ( http://nmap.org ) at 2012-03-02 12:29 CET Nmap scan report for 192.168.0.1 Host is up (0.0014s latency). MAC Address: 00:03:6F:CA:03:A1 (Telsey SPA) Nmap scan report for 192.168.0.2 Host is up. Nmap scan report for 192.168.0.3 Host is up (0.0018s latency). MAC Address: E4:7C:F9:DE:81:1F (Samsung Electronics Co.) Nmap done: 256 IP addresses (3 hosts up) scanned in 6.91 seconds Ah, ah, bien. Vemos tres direcciones IP despiertas: 1. 192.168.0.1, que obviamente es el router. 2. 192.168.0.2, que somos nosotros (en este caso, prueba de ello es que no nos sale la MAC, pero esto depende de otros factores). 3. 192.168.0.3, que es nuestra hermanita. Bueno, y ahora qu hacemos, diris. Cuando nuestra terrible hermanita genera trco, ste va directamente desde su ordenador al router y, de ah, a la WAN Internet. Nuestro objetivo es colocarnos en medio de ella y del router para poder controlar lo que hace: no slo podremos verlo todo, sino que adems podremos modicarlo! Sacaremos el arpspoof. sta es una herramienta sencilla: slo requiere la IP de la vctima (nuestra hermanita) y la IP del router (el router). Antes necesitamos ciertos preparativos. Para hacer que el trco uya por nuestro ordenador, debemos explicrselo al kernel educadamente: # echo 1 > /proc/sys/net/ipv4/ip_forward Vale. Por otro lado, tienes reglas de iptables puestas? De ser as, qutalas; nos pueden dar problemas. Ahora s, arpspoof al ataque. ESPERA ESPERA ESPERA. Antes, abre Wireshark.

2 de 10

16/04/13 01:50

Man-in-the-middle con arpspoof, sslstrip, Wireshark y m...

https://thacid.wordpress.com/2012/03/02/man-in-the-mid...

Pincha en la interfaz que vayas a usar (en mi caso, wlan0). Ya ests capturando, pero an no hemos hecho el arpspoof, por lo que slo ves lo que haces t. Si miras en la parte superior de Wireshark, una de las barras de herramientas reza Filter. Ah escribiremos un ltro para no liarnos con lo que hace nuestro ordenador; slo queremos ver lo que hace el de nuestra hermanita. Adems, slo nos interesan las peticiones HTTP . He aqu lo que habremos de poner: (ip.src == 192.168.0.3 || ip.dst == 192.168.0.3) && http.request O sea:

Hacemos clic en Apply y ya no deberamos ver nada. Hasta ahora, todo bien. Ahora es cuando podemos empezar con el arpspoof. Escribimos en una terminal de root: # arpspoof -i wlan0 -t 192.168.0.3 192.168.0.1 Obviamente, la primera es la IP de nuestra hermanita y la segunda es la del router. YA, YA. Ahora nos vamos a Wireshark. Buf, buf. Ya empezamos a ver cositas, eh. Nos vamos a una peticin de Tuenti (la que sea, de stas que empiezan con GET o POST), hacemos clic y, en el panel de abajo, abrimos Hypertext Transfer Protocol.

Nos sale la lista de parmetros de la peticin, entre ellos Cookie. Bingo, esto es lo que queremos. Hacemos clic derecho en Cookie, Copy, Bytes, Printable Text Only.

3 de 10

16/04/13 01:50

Man-in-the-middle con arpspoof, sslstrip, Wireshark y m...

https://thacid.wordpress.com/2012/03/02/man-in-the-mid...

Tenemos la cookie, tos. LA TENEMOS. Nos falta ver qu hacemos con ella. Bueno, lo primero va a ser abrir un editor de texto y pegarla ah. Cookie: sid=lQBJBAAAAADo2zzghWuEuoXvA4Ro2eckJSrcOOuuUE8; lang=es_ES; pid=0b3c7a; co16sx3p=1; __utma=81029266.1859165469.1330689298.1330689298.1330689298.1; __utmb=81029266.1.10.1330689298; __utmc=81029266; __utmz=81029266.1330689298.1.1.utmcsr=tuenti.com|utmccn= (referral)|utmcmd=referral|utmcct=/ Como ves, es una lista de parmetros. El nico que realmente queremos es sid. Cpialo al portapapeles. Ahora vete al Firefox y abre Tuenti. Si tenas tu sesin abierta, cirrala. Abre el Cookies Manager+ y, en el cuadro de bsqueda, pones tuenti. Te dar unos cuantos resultados que, sin duda alguna, diferirn de stos:

Ahora haz doble clic en, por ejemplo, pid:

4 de 10

16/04/13 01:50

Man-in-the-middle con arpspoof, sslstrip, Wireshark y m...

https://thacid.wordpress.com/2012/03/02/man-in-the-mid...

Cambia pid por sid y el contenido de la cookie por el contenido de sid que ya cogimos antes:

Pincha en Save as new y cierra el Cookies Manager+. Sigues en la pgina de inicio de sesin de Tuenti, no? Pues pulsa F5. Ay, ay, ay que me da.

Lo hemos conseguido. Podemos or esto de fondo. Qu ilusin, joder. Somos dioses. Espera, que no. Y si cierra sesin? Pues ya no podremos usar esa cookie ms, queda invalidada. Qu hacemos? Pues para eso un seor muy amable y muy bueno invent sslstrip. Hagmoslo funcionar. Nos vamos a una terminal de root y arrancamos sslstrip: # sslstrip sslstrip 0.9 by Moxie Marlinspike running Muy bien. Y ahora tenemos que poner una regla de iptables para redirigir todo lo que va por el puerto 80 hacia el 10000, que es donde sslstrip escucha: # iptables -t nat -A PREROUTING -p tcp destination-port 80 -j REDIRECT to-port 10000 Ya est. As de primeras no hemos notado nada, pero mira, vmonos a Tuenti (al de nuestra hermanita, que no lo hemos cerrado an) y le cerramos la sesin.
5 de 10 16/04/13 01:50

Man-in-the-middle con arpspoof, sslstrip, Wireshark y m...

https://thacid.wordpress.com/2012/03/02/man-in-the-mid...

Como es natural, si se le cierra la sesin de repente lo va a notar, pero bueno, a nosotros no es que nos importe mucho. Volvemos a la pantalla de inicio de sesin. Tierra cero. Nuestra hermanita har clic en cualquier enlace de dentro de Tuenti y tambin volver al inicio de sesin. Y entonces mirar extraada y proceder a iniciar sesin metiendo sus datos. El resto ya os lo imaginis. sslstrip modica al vuelo la pgina que nuestra hermanita ve; normalmente ella iniciara sesin usando HTTPS, pero sslstrip cambia, en el formulario de inicio de sesin: <form id=form_login action=https://secure.tuenti.com/?m=Login& amp;func=do_login&#8221; method=post Por: <form id=form_login action=http://secure.tuenti.com/?m=Login& amp;func=do_login&#8221; method=post Ni el mejor detective descubrira el trabajito. Para simplicar las cosas, vamos a cambiar el ltro de Wireshark por: (ip.src == 192.168.0.3 || ip.dst == 192.168.0.3) && http.request.method == POST As slo veremos las peticiones POST (como la que hay que hacer para iniciar sesin), y, voil:

6 de 10

16/04/13 01:50

Man-in-the-middle con arpspoof, sslstrip, Wireshark y m...

https://thacid.wordpress.com/2012/03/02/man-in-the-mid...

Y el resto ya es cosa vuestra. Dont be evil Atencin: hay una segunda parte de este post con ms informacin.

Me gusta:
Me gusta Cargando...

6 Respuestas a Man-in-the-middle con arpspoof, sslstrip, Wireshark y mucho tiempo libre Feed para esta Entrada Direccin de Trackback

1.

1 TuMalaCon100cia 02/03/2012 en 16:27 Bu, estoy en ello, ya lo he leido una vez, ahora queda releerlo y ponerlo en marcha. Te agradezco mucho este pedazo de articulo, si tengo algun problema con algun comando te lo har saber. Gracias. Responder

2.

2 susaniita 26/03/2012 en 22:59 enhorabuena, muy educativo a la vez de ameno pues la historia de tu hermanita me tenia intrigadisimaaaa, sabrias tambien decirme cual es la cookie que hay que captar en el facebook or gmail o hotmail de tu queridisima hermanita gracias Responder 3 wodim 26/03/2012 en 23:13 Lee la segunda parte: http://thacid.wordpress.com/2012/03/03/man-in-themiddle-con-arpspoof-sslstrip-wireshark-y-mucho-tiempo-libre-epilogo/ Responder

3.

4 simonmarley1 03/06/2012 en 18:35 perdona no me va este comando y lo he puesto por lo menos 20 veces..haber si me puedes ayudar..gracias

7 de 10

16/04/13 01:50

Man-in-the-middle con arpspoof, sslstrip, Wireshark y m...

https://thacid.wordpress.com/2012/03/02/man-in-the-mid...

Responder 4. 5 Daniel 10/07/2012 en 5:51 Muy bueno funciona al 100 Responder

1. 1 Man-in-the-middle con arpspoof, sslstrip, Wireshark y mucho tiempo libre (eplogo) Thacid Trackback en 03/03/2012 en 12:06

Deja un comentario
Aade tu comentario aqu...

Introduce tus datos o haz clic en un icono para iniciar sesin:

Correo electrnico (requerido) (La direccin no se har pblica) Nombre (requerido) Web

Ests comentando usando tu cuenta de WordPress.com. ( Log Out / Cambiar )

Ests comentando usando tu cuenta de Twitter. ( Log Out / Cambiar )

8 de 10

16/04/13 01:50

Man-in-the-middle con arpspoof, sslstrip, Wireshark y m...

https://thacid.wordpress.com/2012/03/02/man-in-the-mid...

Ests comentando usando tu cuenta de Facebook. ( Log Out / Cambiar ) Cancelar Connecting to %s Recibir siguientes comentarios por correo. Recibir nuevas entradas por email.

Publicar comentario
Ay, que yo tambin quiero una Raspberry Pi! Man-in-the-middle con arpspoof, sslstrip, Wireshark y mucho tiempo libre (eplogo)

buscar

go

Sobre m
Mi Twitter Mi Last.fm

Entradas recientes
Installing fearqdb on Debian + lighttpd in 10 steps Rewrite rules for SMF Pretty URLs on Lighttpd Memetro y sus consecuencias Minecraft en Arch Linux Balance CyanogenMdico en el LG E510 Optimus Hub
Tema K2-lite por k2 team. Blog de WordPress.com. Entradas RSS y Comentarios RSS

Seguir

Follow Thacid
Recibe cada nueva publicacin en tu buzn de correo electrnico.

Introduce tu direccin de correo electrnico

9 de 10

16/04/13 01:50

Man-in-the-middle con arpspoof, sslstrip, Wireshark y m...

https://thacid.wordpress.com/2012/03/02/man-in-the-mid...

Sign me up
Ofrecido por WordPress.com %d bloggers like this:

10 de 10

16/04/13 01:50