Ettercap (I-?): Toma de Contacto & Envenamiento ARP

Empezamos con otra saga en la que le daremos caña a Ettercap, para empezar esta pequeña entrada de instalación, basta con irse a su pagina oficial y descargarselo para Windows (sin no olvidar las WinPcap)  y en el caso de linux lo tenéis en BackTrack (como no =)) volviendo al asunto una vez lo tenemos instalado basta con arrancar la aplicación y veremos su interfaz:

oneInterfaz gráfica de Ettercap NG

Antes de seguir voy a hacer una rápida explicación de ARP Poison aunque tenéis documentación a punta pala en google.

ARP es un protocolo que permite almacenar una tabla de direcciones IP=> MAC cuando Pepe (10.0.0.1)[00:11:22:33:44:55] quiere hablar con Maria(10.0.0.2)[CA:FE:CA:FE:CA:FE] tiene que preguntar cual es su mac para poder generar el paquete, por ello se manda el paquete arp, preguntando por broadcast “Oye, cual es la mac de 10.0.0.2!? el que lo sepa que se lo diga a 10.0.0.1” un ejemplo de paquete arp por culpa de un ping:

arpPeticion

Paquete ARP

Ahora viene el problema, y es que el atacante puede generar estos paquetes a voluntad haciendo creer a Maria que Pepe ha cambiado de Mac de [00:11:22:33:44:55] a la del atacante [CA:CA:CA:CA:CA:CA] entonces cuando Maria quiera hablar con Pepe en vez enviárselo a el, los paquetes pasaran por el atacante y el atacante se los renviara a Pepe, tras haberlos leído, para que el ataque funcione hay que asegurarse de engañar a las 2 partes haciendoles creer que somos con quien ellos quieren hablar:

man

How MitM Works

Como ya tenemos la teoría vamos a la practica como nuestra primera toma de contacto:

Seleccionamos la interfaz en Sniff> unified Sniffer:

undi

Sniff> unified Sniffer

Ahora necesitamos escoger las victimas,vamos a Hosts y pegamos un scaneo a los hosts:

scan

Hosts > Scan for Hosts

Si vamos a Host List vemos todos los host en cuestión:

hostList

Host List

Ahora pulsamos en ADD to Target 1 al Gateway para interceptar todas las conexiones hacia internet,  que en este caso es la 192.168.58.100 y a la victima que seria 192.168.56.101:

logHostADD

Una vez ya los hemos añadido si pulsamos en Targets> Current Targets veremos como están seleccionados:

currentTargets

Para comenzar con el ARP Poison pulsamos en Mitm (Man in The Middle) y escogemos Arp Poisioning, y en el cuadro marcamos que Sniffemos las conexiones remotas:

minteh

Pulsamos en Start> Start Sniffing y comenzara a interceptar:

sniffin

Ahora si comprobamos la IP/MAC del atacante y la comparamos con la información que la victima guarda en su tabla ARP vemos como el ataque se ha realizado correctamente:

ArpOKImacBT

Ahora si, la victima entra en una página cualquiera y se loguea a través de una de sus paginas favoritas en HTTP veremos como al pasar por nosotros Ettercap nos muestra la contraseña:

form

pass

Finalmente para acabar, el comando que hace lo mismo:

textModeettercap -Tq -M arp:remote /192.168.1.1/ /192.168.1.140/

Espero que como toma de contacto os haya gustado y en próximas entregas enredaremos un poco más!

Anuncios

4 comentarios sobre “Ettercap (I-?): Toma de Contacto & Envenamiento ARP

    1. Agradezco tu comentario Luweeds =) me alegro de que haya quedado claro, con este tipo de explicaciones nunca sabes si lo explicas bien o te quedas corto =), intentare que la siguiente este para mañana o esta semana como muy tarde lo acabare publicando.
      Gracias por leerme y un saludo Luweeds =P

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s