Cómo esnifar el tráfico de una conexión con Wireshark

En el post anterior vimos cómo podíamos realizar un ataque Man in the middle (MITM) , y cómo podíamos conseguir las credenciales de una persona realizando una técnica de sniffing con el programa Cain & Abel.

Hoy vamos a ver algo parecido, vamos a ver cómo podemos esnifar una conexión con el programa Wireshark, este programa va a capturar todos los paquetes que se envíen y se reciban en la red, en la que estamos conectados. Con este programa podremos analizar exhaustivamente la información de cada paquete.

Si queréis descargarlo podéis hacerlo desde su web:

www.wireshark.org

Bien una vez lo tengamos lo abrimos y nos encontraremos con la interfaz de inicio. Para capturar el tráfico lo primero que tenemos que hacer es seleccionar la tarjeta de red que tenga salida a internet, para ello seleccionamos "Interface list" aquí tendremos una lista con todas las interfaces, elegimos la que vamos a utilizar y le damos en aceptar.

Comenzará a analizar y a mostrarnos todos los paquetes de información que se envíen o se reciban en la red en la que estemos conectado. Una vez aquí deberemos conocer la IP que estemos utilizando para poder saber que paquetes estamos enviando y cuales son los que estamos recibiendo. Si no sabéis vuestra IP, en windows nos iríamos a Inicio , escribimos cmd y entramos, una vez dentro escribimos "ipconfig", le damos enter, y arriba nos saldrá la IP.

Ya sabemos cuál es nuestra IP, así que ya podemos distinguir entre los paquetes que se envían y los que se reciben. Otra cosa que debemos saber es como crear un filtro para hacer la búsqueda más sencillas en caso de que busquemos una trama de un paquete en concreto, para ello nos iríamos a la barra del buscador que tenemos arriba y aquí escribiríamos el tipo de filtro que queremos utilizar,  por ejemplo cómo podéis ver en la imagen de abajo estoy utilizando el filtro "ARP" para que muestre todas las tramas con ese mismo protocolo. Y si quisiéramos salir del filtro le daríamos a "clear".

También debemos saber que con el botón cuadrado rojo de arriba podemos parar de capturar paquetes, de este modo podemos analizar con más comodidad una trama en concreto. Ya por último os voy a explicar un poco como podemos leer la información de cada trama, abajo como podéis ver tenemos varias pestañas para desplegar, aquí nos muestra toda la información de cada paquete.

En el primer apartado "Hypertext transfer protocol" nos enseña la página web que esté enviando o recibiendo ese paquete, y también podemos encontrar el equipo, el sistema operativo, la versión, etc...

En "Transmission control protocol" podremos ver el puerto que está utilizando http y el puerto de destino.

En la siguiente pestaña en "Internet protocol" y aquí veremos la dirección que está mandando el paquete de información y la dirección que lo está recibiendo.

Y ya por último en el apartado de "Ethernet" podremos consultar las direcciones físicas de nuestra "mac" y las de destino.

Esto a sido todo por hoy, nada más, espero que os haya sido de ayuda, nos vemos en el siguiente post, un saludo!

Cómo realizar un ataque Man in the middle (MITM) con Cain & abel

Hola a todos bienvenidos de nuevo a mi blog, en esta ocasión veremos como podemos realizar un ataque Man in the middle - ARP Spoofing con el programa Cain & abel.

Lo primero que tenemos que tener claro es en que consiste un ataque de estas características, Wikipedia nos dice lo siguiente:

En criptografía, un ataque man-in-the-middle o JANUS (MitM o intermediario, en español) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.

Lo siguiente que tenemos saber es en que consiste el programa Cain & abel. Pues bien Cain & Abel es una herramienta de recuperación de contraseña para sistemas operativos de Microsoft. Permite una fácil recuperación de diversos tipos de contraseñas por la red sniffing, cracking contraseñas encriptadas utilizando Diccionario, fuerza bruta y ataques Criptoanálisis, grabación de conversaciones VoIP, decodificación de contraseñas revueltos, recuperar claves de red inalámbrica, revelando cuadros de contraseña, el descubrimiento de contraseñas en caché y el análisis de enrutamiento protocolos. 

El programa no explota ninguna vulnerabilidad de software o errores que no pudieron ser corregidos con poco esfuerzo. Cubre algunos aspectos de seguridad / debilidad presente en las normas de protocolo, métodos de autenticación y mecanismos de almacenamiento en caché; su principal objetivo es la recuperación simplificada de contraseñas y credenciales de varias fuentes, sin embargo, también se envía algunas utilidades "no estándar" para los usuarios de Microsoft Windows.

En otras palabras este programa es un sniffer, un sniffer es un programa informático que registra la información que envían los periféricos, así como la actividad realizada en un determinado ordenador.

Una vez tengamos claro todo esto, deberemos proceder a descargar el programa, podéis descargarlo desde su página oficial:

http://www.oxid.it/cain.html

Cuando lo tengamos, desactivamos nuestro antivirus y también tendremos que desactivar el firewall de windows, y por último instalamos el programa.

Después de instalarlo lo abrimos como administrador.

Una vez nos aparezca la interfaz del programa, nos iremos a configurar y seleccionamos la tarjeta de red que vamos a utilizar, luego nos vamos a la pestaña de APR (Arp Poison Routing), aquí podremos cambiar nuestra "mac", yo lo dejaré como está.

Pinchamos arriba en el botón Sniffer, y ahora le damos en la pestaña de añadir, aquí elegimos la primera opción, todos los hosts,  y abajo elegimos la opción de todos los test, y pinchamos en OK.

Lo siguiente que tenemos que hacer es irnos abajo a la pestaña de APR, aquí hacemos click en la casilla de arriba (para activar la casilla de añadir) y pinchamos en añadir. Nos saldrá una nueva pestaña y en la primera casilla que nos sale tenemos que elegir el router y en la segunda los dispositivos que queremos envenenar y le damos a OK.

Ahora tendremos que pinchar arriba en el botón de APR, abajo nos empezarán a salir las conexiones, deberemos esperar a que la victima se loguee en alguna página para poder obtener las creedenciales de su cuenta. Para ellos nos tenemos que ir abajo a la pestaña de passwords, y en la izquierda entramos y seleccionamos HTML y ahí nos deberán aparecer todas las contraseñas y los usuarios.

Puede que alguna contraseña salga encriptada, si es así no hay problema os vais arriba a Cracker y ahí deberéis poner vuestra contraseña para desencriptarla. Y bueno ya hemos terminado por hoy, en la próxima ocasión veremos como podemos realizar un ataque "MITM" con Wireshark  y Networkminer,  hasta la próxima !

Descargar y configurar Poison Ivy 2.3.2

Hola a todos bienvenidos a mi canal y bienvenidos a un nuevo post. En esta ocasión veremos como podemos descargar y  configurar Poison Ivy 2.3.2. Este rat es uno de los más estables y sencillos del mercado, os aseguro que os dará pocos problemas.

Como ya sabéis, todo lo que podéis encontrar en mi blog esta realizado para el aprendizaje, y para concienciar a las personas de la falta de seguridad en nuestros dispositivos electrónicos. No me responzabilizo del uso que hagan terceros de estas técnicas.

Lo primero que tenemos que hacer es descargarlo desde esta página:

https://mega.co.nz/#!bB0kDARJ!1SLMExJnZ-7UssPPaqSMgDKxLY9o0ZQxY7KGY0Yik5k

(Resubido el 16/4/2015)

Aquí podéis comprobar que el archivo esta totalmente limpio:

https://www.virustotal.com/es/ 

Una vez descargado, extraemos el archivo .rar, y nos dejará dos carpetas. La primera es para parchearlo y poder utilizarlo en windows, y en la segunda carpeta podremos encontrar todos los plugins que existen para este rar, y por supuesto también encontraremos el troyano. Extraemos el troyano, entramos en la carpeta y abrimos el ejecutable. Nos saldrá esta ventana:

Lo siguiente que hacemos es irnos a "File" y luego a "new client" , primero vamos a poner el puerto que vamos a utilizar y luego le pondremos una contraseña y le damos en "start".

Ahora nos vamos de nuevo a "File" y entramos en "new server". le damos a create profile y le ponemos un nombre a nuestro server.

Lo siguiente que tenemos que hacer es añadir nuestro host, le daremos en "add" y agregamos nuestro host, le ponemos el puerto que pusimos antes y le damos a OK. Abajo le ponemos la contraseña y le damos a "Next".

En esta pestaña vamos a seleccionar las cuatro primeras casillas, luego le damos a "random" , y en la casilla en blanco de arriba vamos a poner System32, y en la casilla de abajo System32.exe. Es muy importante que en la segunda casilla pongamos .exe si no, no podremos crear el server. Y le damos de nuevo a "Next".

Bueno aqui es ya a gusto de cada uno, yo marcaré las cuatro primeras casillas y le daré directamente a "Next" .

Y ya hemos llegado a la última casilla, aquí le podemos cambiar el icono si queréis. Bueno, en esta casilla hay poco más que explicar, le daremos a "generate", seleccionamos donde lo queremos guardar, le ponemos un nombre y ya tendremos listo nuestro troyano para utilizarlo.

Ya sabéis que si lo queréis hacer indetectable solo lo tenéis pasar por algún crypter. Y nada más, esto a sido todo por hoy, espero que os haya sido de ayuda y nos vemos en el siguiente post, un saludo!

Descargar y configurar Xtreme Rat 2.9

Hola a todo bienvenidos de nuevo a mi blog, hoy vamos a ver como podemos descargar y configurar Xtreme Rat 2.9. Desde el sitio web del “creador” lo define como una herramienta de administración remota, nos ofrece la versión 3.6, y distintos skins, nos explica los cambios por versión, y nos ofrece el código fuente del programa por 350$…

Como ya sabéis, todo lo que podéis encontrar en mi blog esta realizado para el aprendizaje, y para concienciar a las personas de la falta de seguridad en nuestros dispositivos electrónicos. No me responzabilizo del uso que hagan terceros de estas técnicas.

Bueno vamos a empezar, aqui os dejo el link para descargar el rat:

https://mega.co.nz/#!2AdFCDCD!11rG7YIvWDLQNqw0odiFVAcvORTyg5nZKW7ba6QI8vA 

Y aquí tenéis una web donde podéis comprobar que el archivo esta limpio:

www.virustotal.com

Lo primero que vamos a hacer es descargar y extraer el archivo, abriremos el cliente (como ya sabéis, si no tenéis el antivirus desactivado os dará error).

Una vez abierto nos vamos abajo a "opciones" y añadimos los puertos que vamos a utilizar, le ponemos una contraseña y una vez echo esto cerramos y nos vamos a "nueva", agregamos un nuevo perfil y le ponemos un nombre a nuestro server.

Entramos en el nuevo perfil, y primero le vamos a dar a "añadir" y ponemos nuestro host o la ip que utilizaremos seguido de dos puntos y el numero del puerto que abrimos anteriormente. Abajo le ponemos la contraseña.

Una vez configurada la conexión, pasamos al apartado de instalación del servidor. Fijaos que podemos modificar el nombre del ejecutable, así como podemos elegir en que archivo ejecutable lo inyectamos, el directorio de instalación , si deseamos que se difunda vía USB, ocultar el mismo mediante atributos, iniciar con el sistema, las claves de registro, el valor de las mismas, así como las opciones de randomizar las claves… Sino estáis seguros de como configurarlo os aconsejo que lo dejéis como en la imagen de abajo.

La ventana de keilogger la dejaremos tal y como viene por defecto, y nos vamos directamente a la pestaña de crear servidor, aquí marcamos la casilla de UPX para que nuestro archivo sea menos pesado y también le podemos cambiar el icono. Por último le damos en crear y ya tendremos listo nuestro server. Bueno esto ha sido todo por hoy, espero que os haya sido de ayuda, en el próximo post veremos como podemos realizar un ataque "man in the middle" (MITM), y nada más, un saludo!