Ettercap III – ?: Dirftnet

Volvemos con un aperitivo para las siguientes entregas, ya que si combinamos la herramienta Driftnet que nos mostrara las imágenes que vayan pasando por la tarjeta de red podemos hacer una captura más vistosa, para lanzar driftnet dando por hecho que ya hemos realizado con éxito el MiTM:

 driftnet vacio driftnet -i interface

Ahora cuando la victima visite cualquier página veremos algunas de las imágenes y las almacenaremos en /tmp/driftnet:

info64

Imágenes capturadas tras visitar una gran web

Solo recordar que Wireshark no se iba a quedar atrás, ya que sí pulsamos File > Export Objects > HTTP podemos guardar las imágenes:

objectsWireImágenes en Wireshark

Espero que os haya gustado y nos vemos en la próxima =)

Ettercap II – ? : DHCP Spoofing

En esta entrada veremos como hacernos pasar por DHCP para que los recién llegados pasen atraves de nosotros, para entender esta mecánica, tenemos que saber como funciona DHCP y es tan simple como que cuando un ordenador entra en la red no tiene ni ip ni nada, entonces pega un grito al broadcast diciendo “Oye quillo, y en esta red por donde se sale? donde esta la marcha?”  y muy amablemente los DHCPs contestaran explicándole donde esta el Gateway y el DNS de la red, lo podemos ver en un paquete de respuesta típico de DHCP, para hacer un poco más simple el proceso he filtrado por los paquetes que se mandan al Broadcast y se ve la conversación:

redConversacion DHCP (ip.addr == 255.255.255.55 para filtrar por broadcast)

El primer paquete es del Cliente pidiendo por favor que alguien, quien sea le de una Ip y la información, el segundo lógicamente la respuesta del buenazo del DHCP con toda la información de la red:

paqueteconInfoRespuesta del DHCP con toda información

Luego ya son tramas de confirmación y demás en las que no entraremos, y que es lo que vamos a hacer nosotros como atacante? vamos a ser el mejor y más rápido DHCP de toda la red, a cambio le diremos que nosotros somos su gateaway y que nos envié sus conexiones, para hacer esto, arrancamos el modo gráfico que se que gusta más y hacemos click en Sniff > unidef sniff y le damos MitM > DHCP Spoofing:

DHCP SpoofingDHCP Spoofing

El primer campo es opcional y dice cual es el rango de ip que regalaremos, podéis dejarlo en blanco, pero yo regalare las ips de la 5-20, el segundo es la mascara de red y el tercero el dns finalmente pulsamos en Start Sniff:

startSniff

Ahora no es como el ARP poison que funciona inmediatamente, ya que tendremos que esperar a que lleguen nuevos clientes a pedir información, podemos forzar esto con un ipconfig /release y luego ipconfig /renew:

ipREnewipconfig /release    ipconfig /renew

Si observamos, el gateway ha cambiado a la ip del atacante y eso significa que todo lo que enviemos a internet pasara por nosotros, reitero para comprender mejor este ataque es importante saber lo que es un DHCP y un Gateway, miremos que ha pasado en la red y la pelea que ha tenido el router y el atacante por ser el DHCP:

pelea

Se pisan los talones, se quedo con la ip que le ofrecía el router pero con el gateway y el DNS de nuestro DHCP:

atackDHCPRespuesta de nuestro DHCP

confEfecto en la victima

Bueno basta de chachara vamos a mirar nuestra pagina favorita que seguro que nadie me coge la pass:

completeSniffando la pass de nuestra página favorita

Finalmente para acabar dejo el comando que simplifica todo esto:

commandettercap -Tq -M dhcp:/255.255.255.0/192.168.1.1

Espero que os haya gustado y hasta la próxima!