
Volvemos a hablar de Firesheep, hacking de botón grande, y esta vez para tratar el tema de su configuración. Es importante saber que Firesheep permite editar scripts para poder programar éstos para la captura de sesiones de aplicaciones que no vienen por defecto con la herramienta.En el presente post se codificará un script para capturar las sesiones del sitio
FocalPrice. Es un sitio interesante para realizar compras de todo tipo de artículos que se puede encontrar en un Maxi China o Hiper Asia. Todo con gastos de envío de 0 euros, muy interesante. Pero volviendo al tema que nos importa, para codificar el script, se debe estudiar la cookie que genera una sesión de este sitio. Esto se puede realizar con Firefox, Chrome, etc.
Codificando
En primer lugar ir a preferences de Firesheep, y después habrá 3 pestañas:
Capture,
Websites y
Advanced. De estos apartados ya se habló en el artículo
Firesheep: probando windows live.
Websites contiene todos los scripts de los sitios con lo que Firesheep trabaja por defecto, pero como se puede ver en la imagen hay un botón para añadir script personalizados. Pulsando sobre
Add aparecerá una pantalla en la que se pide el nombre para el script, recomendable para tenerlo organizado es poner el nombre para el que se codificó el script.A continuación se expone el script codificado para FocalPrice:
// Author: Pablo González - flu-project.comregister({name: "focalprice",url: 'http://my.focalprice.com/',domains: [ 'focalprice.com' ],sessionCookieNames: [ 'lkvw_02','lkvw_20','tuser','ASP.NET_SessionId' ],identifyUser: function () {var resp = this.httpGet(this.siteUrl);this.userName = 'focalprice User';}});
Probando el scriptLlegados a este punto, solo queda probar el script codificado y ver que ocurre. Para ello, realizaremos el procedimiento normal con Firesheep. Si estamos en red switcheada se necesitará un
MiTM para poder capturar las cookies de la víctima.El escenario propuesto es el siguiente:

Quedaremos a la escucha, por ejemplo desde la IP 10.0.0.4, mientras la víctima con IP 10.0.0.2 se conecta a focalprice.com. La puerta de enlace es la 10.0.0.1, se realiza un MiTM. Se activa Firesheep, y a esperar a ver que ocurre.Se observa en la imagen como se ha capturada la cookie de sesión de focalprice, parece que la codificación realizada funciona. Para ver si la sesión funciona, abrimos la cookie y como se puede ver en la imagen ¡estamos dentro! Hasta aquí, llega esta prueba de concepto. Se ve la versatilidad que presenta Firesheep y su posible configuración. Siempre podríamos abrir el wireshark y capturar la cookie, pero esto quizá sea más rápido, todo automatizado.
Flu Project Team