20 mar 2012

Jugando con Ettercap (parte 2 de 3)

Muy buenas! Hoy vamos a explicar una de las muchas maneras de las que podemos aprovechar el plugin dns spoof. En concreto usaremos SET (Social Engine Toolkit), clonando la web de twitter y robando credenciales.

Para empezar, abriremos una nueva ventana del terminal y ejecutamos SET.

“cd /pentest/exploits/SET”

“./set”

Suponiendo que tenemos la aplicación actualizada, escogemos la segunda opción, ataques web.

En este segundo menú, podremos escoger entre una amplia gama de opciones, en lo personal acostumbro a usar el Multi-Attack Web Method ya que da muchísimo juego, aunque en esta ocasión la opción escogida es la 3, Ataque de credenciales.

Ahora simplemente debemos introducir la web a clonar, en nuestro caso twitter. (Recordar hacer el registro dns de la web y nuestra ip en el archivo etter.dns como vimos en el primer artículo).

Una vez introducida, solo quedará esperar a que cualquier equipo de la red haga la petición dns de twitter.com y nuestra máquina la responderá con la falsa ip en lugar de la del servidor legítimo.

Recordad que, si el equipo cliente tiene almacenada en caché la información de la consulta dns no surgirá efecto, por lo que os recomiendo al hacer las pruebas, borrar la chaché dns “ipconfig /flushdns” y los datos del navegador, por si acaso.

En la última entrega sobre ettercap, trataremos la opción de aplicar filtros, para modificar los paquetes. Cambio de imágenes, palabras, redirecciones, etc.

Dicho esto,  a disfrutar!

6 comentarios:

  1. Tengo dos dudas respeto a tu post:1) Una vez que utilizas SAT para clonar twitter, y teniendo redirigidas las entradas desde twitter a ,por ejemplo, 192.168.137.3 (el de la primera entrada), como le indicas al servidor web que tengas que lo que tiene que servir es el archivo creado por SET, es decir, se hace solo, se crean automaticamente todos los ficheros y tu tienes que copiar al servidor??2) No lo he probado, lo hare el fin de semana, pero dos cosas, donde guardaria SET los usuarios y contraseñas q han sido introducidos, y luego,como sugerencia, aunque no se si SET lo hace, una vez que as introducido el usuario y la contraseña en el fake de twiiter se podria crear ua cookie con los datos y usarla para redirigir al usuario a la pagina de twitter sin que se de cuenta de nada

    ResponderEliminar
  2. Hola Jaime,Respecto a tu primera duda te cuento; Si has leído la primera entrega de ettercap (por lo que dices, entiendo que si) al activar el plugin dnsspoof de ettercap, las peticiones a tu servidor DNS referentes al dominio twitter.com serán respondidas con la IP de tu servidor web, por lo que al clonar la web de twitter con SET, el mismo programa ya arranca el servidor de apache, etc cualquier usuario será redirigido automáticamente. En resumidas cuentas, en la primera y segunda parte se explica todo lo necesario para que el ataque funcione, lo que no veas es porque se configura mediante las herramientas.2) SET por definición no crea una cookie con los datos del usuario y por tanto vuelve a mostrarse la web de login. Sería un detalle crear la cookie correspondiente, así que habrá que investigarlo! Respecto a donde guarda los usuarios y contraseñas, la verdad no lo se. Los muestra por pantalla pero desconozco si lo guarda en algún log, supongo que si. Si lo pruebas este finde mira en la carpeta de la herramienta a ver si encuentras algo y de ser así ponlo por aquí. Si descubro algo al respecto te lo comento.Espero haber respondido tus preguntas :)

    ResponderEliminar
  3. jordisk, he estado trasteando a estas horas indecentes de la noche, finalmente y tras alguno errores, he conseguido hacer funcionar SET y ettercap o eso parece, el problema, es que una vez con ettercap activado, y con el Set en funcionamiento, cuando me conecto o lo intento a la pagina objetivo, es cierto que se redirige hacia mi servidor y SET detcta la conexio, pero por alg'un motivo, lo que me aparece es una pantalla blanca y no un fake de Twitter, puede esto deberse a que hay que encender apache o es algo relacionado con SET debido a que me he saltado un paso(aqui irian signos de exclamacion pero el backtrack me ha cambiado todo el teclado y no se donde estan jeje)

    ResponderEliminar
  4. Buenas Jaime, Pues la verdad no se cual puede ser el error que tienes, pero si lo comentas en el foro y pones capturas de pantalla y/o los errores que tienes intento ayudarte :)un saudo

    ResponderEliminar
  5. y la parte tres del tuto?

    ResponderEliminar
  6. Aquí la tienes! :) http://www.flu-project.com/jugando-con-ettercap-parte-iii-de-iii.html

    ResponderEliminar