Saludos Mundo libre.
He leido un articulo exelente en Xtremeroot por supuesto y quiero compartirlo con todos ustedes:
El articulo trata de Man-in-the-Middle, El texto es el siguiente.
De todos modos, probablemente debería tratar de explicar qué es lo que vamos a estar haciendo en primer lugar. Pero primero, para aquellos de ustedes que se ejecutan en Linux, esto es lo que usted necesita.
DSniff
Twisted-Web
SSL-Strip
Ettercap
* Nix OS con parches para el kernel, etc
Python 2.5 o superior.
Es opcional para instalar sslstrip puesto que sólo se puede ejecutar directamente a través de la línea de comandos. Es completamente de ti mismo.
Lo más probable es el mejor sistema operativo Linux para todo este tipo de cosas es, de hecho, Back Track, pero yo prefiero hacer de todo en lo que estoy corriendo y ya que mi kernel de Ubuntu es parcheado, modded y ha sido a través de un guardarropa completamente nuevo de la núcleo estándar, te voy a mostrar lo que estoy haciendo con Ubuntu. Track Back de hecho, pre-instalación de todas estas cosas, pero para los usuarios que no saben cómo conseguirlos:
sudo aptitude install dsniff python-twisted-web ettercap
También voy a adjuntar los archivos de SSL-Strip en la parte inferior del tutorial.
Y parchear el kernel y / o conductores son a la vez hasta que usted haga.
Cita
ARP significa Address Resolution Protocol y que permite a la red para traducir las direcciones IP en direcciones MAC. Básicamente, ARP funciona así: Cuando un host con IP en una red local está tratando de contactar a otro que necesita la dirección MAC (aka: la dirección de hardware) de la máquina que está tratando de ponerse en contacto. Primero busca en él es la caché ARP (para ver la caché ARP en el tipo de ventanas en el "arp â €" a "en la línea de comandos) para ver si ya tiene la dirección MAC, pero si no se difunde a una solicitud de ARP preguntando" Yo, que tiene esta dirección IP que estoy buscando? " Si el host que tiene esa dirección IP escucha la consulta ARP, responderá con su propia dirección MAC y una conversación puede comenzar a utilizar IP. En las redes de bus común como Ethernet utilizando un hub o 801.11b todo el tráfico puede ser visto por todos los ejércitos, que es NIC están en modo promiscuo, pero las cosas son un poco diferentes en redes conmutadas. Un interruptor se ve en los datos enviados a él y trata de sólo envía paquetes a su destinatario basado en direcciones MAC. Las redes conmutadas son más seguros y ayudar a acelerar la red sólo el envío de paquetes, donde tienen que ir. Hay maneras alrededor de los interruptores sin embargo:). Usando un programa como arpspoof, Ettercap nos puede "mentir" a otras máquinas en la red de área local y decirles que tenemos la IP que están buscando, así canalizar el tráfico a través de nosotros.
Voy a admitir ahora, después de haber escrito una explicación amplia de seguridad antes de lo que se ve arriba, pensé que era demasiado confuso para la gente a seguir, así que sólo una mirada y encontré éste, y pensamos que va a hacer. Por lo tanto, la alabanza va a quien escribió esa frase, supongo. : (
Lo primero que debe hacer es asegurarse de que el reenvío de paquetes está activada, de otra forma nuestra máquina va a caer todo el tráfico entre los hosts que están tratando de rastrear, causando una denegación de servicio. Algunas de las herramientas voy a mostrar lo haga por usted de forma automática, pero para estar seguro de que usted lo desea, puede hacerlo usted mismo. Utilice el siguiente comando:
[B] Usted debe estar en privilegios elevados antes de hacer nada de esto: (sudo-i)
echo 1> / proc/sys/net/ipv4/ip_forward
Ahora que nuestra máquina pequeña y útil enviará el tráfico que puede comenzar Arpspoofing. Supongamos que quiero oler todo el tráfico entre un host y gateway para que pueda ver el tráfico que se envía a Internet. Para conseguir tráfico en ambas direcciones que yo haría los siguientes comandos:
Para configurar iptables para interceptar las peticiones HTTP (como root):
iptables-t nat-A PREROUTING-p tcp - destination-port 80-j REDIRECT - to-port
arpspoof-i-t
Una vez hecho esto, verá líneas similares a esta por debajo. Yo sé que mi IP está aquí, pero por alguna de las personas que no saben ya, estas son las direcciones IP internas y no externas.
0:16 Visto: e3: ser: 49: f8 FF: FF: FF: FF: FF: FF 0806 42: 192.168.1.254 respuesta ARP es-en 0:16 Visto: e3: ser: 49: f8
0:16 Visto: e3: ser: 49: f8 FF: FF: FF: FF: FF: FF 0806 42: 192.168.1.254 respuesta ARP es-en 0:16 Visto: e3: ser: 49: f8
0:16 Visto: e3: ser: 49: f8 FF: FF: FF: FF: FF: FF 0806 42: 192.168.1.254 respuesta ARP es-en 0:16 Visto: e3: ser: 49: f8
0:16 Visto: e3: ser: 49: f8 FF: FF: FF: FF: FF: FF 0806 42: 192.168.1.254 respuesta ARP es-en 0:16 Visto: e3: ser: 49: f8
0:16 Visto: e3: ser: 49: f8 FF: FF: FF: FF: FF: FF 0806 42: 192.168.1.254 respuesta ARP es-en 0:16 Visto: e3: ser: 49: f8
0:16 Visto: e3: ser: 49: f8 FF: FF: FF: FF: FF: FF 0806 42: 192.168.1.254 respuesta ARP es-en 0:16 Visto: e3: ser: 49: f8
Una vez que esto está funcionando, usted consiguió la parodia ARP configurar y solo tienes que dejar que la ejecución de una apertura de una nueva terminal / consola / línea de comandos / shell / tab / lo que sea.
arpspoof-t 192.168.1.2 192.168.1.1 y> / dev / null
El "&> / dev / nul" parte está ahí para que sea más fácil de gestionar desde un terminal, sino que lo desea, puede omitir para fines de depuración. Ahora podemos usar cualquier paquete que queremos para olfatear la conexión. Para empezar le recomiendo usar el dsniff sniffer que viene junto con arpspoof para olfatear las contraseñas de texto plano. Para ver todo tipo de tráfico que se lo recomendaría tcpdump o Ethereal. Cuando esté listo para dejar de emitir arpspoofing el siguiente comando.
killall arpspoof
Esto debería matar a las dos instancias de arpspoof comenzó arriba.
Una vez que hecho lo anterior - no matar! - Usted debe ver a montones y montones de líneas de "basura". No haga caso de ella porque es normal. Sólo tiene que abrir una nueva terminal / consola / pestaña.
Yo la utilizo en modo no interactivo pero por defecto, tiene una interfaz ncurses. Aquí está un ejemplo rápido de cómo huelen las contraseñas en modo no-interactivo entre dos máquinas.
ettercap-NAC 192.168.1.1 192.168.1.2
La "N" opción hace que no sea interactivo, la "a" la opción que dice que arppoison y la "C" le dice a analizar las contraseñas y nombres de usuario. Ettercap y Dsniff son una gran herramienta para olfatear las contraseñas de los protocolos que les envíe texto plano (telnet, SMTP, http, etc) Una cosa agradable sobre Ettercap es que va a algún proxy de conexiones como SSL y le permitirá rastrear el tráfico que suele ser encriptados , la víctima recibe un mensaje de advertencia acerca del certificado, pero mucha gente simplemente haga clic en el pasado tales cosas sin leerlos. Si desea utilizar Ettercap a sólo arpspoof para que pueda utilizar otra herramienta de sniffing con tan sólo mirar en la página del manual de la "J" opción.
Tarde o temprano, te has cogido algunas contraseñas por inhalación de la LAN. Hacerlo donde y cuando usted quiere para un método de phishing más "interactivo y estructurado". :)
Happy Hacking.
Fuente: http://www.xtremeroot.net/Offensive/index.php?showtopic=14138
Traduccion: Dellcom1@.
No hay comentarios:
Publicar un comentario