1 feb 2011

Firesheep: FocalPrice

Volvemos a hablar de Firesheep, hacking de botón grande, y esta vez para tratar el tema de su configuración. Es importante saber que Firesheep permite editar scripts para poder programar éstos para la captura de sesiones de aplicaciones que no vienen por defecto con la herramienta.En el presente post se codificará un script para capturar las sesiones del sitio FocalPrice. Es un sitio interesante para realizar compras de todo tipo de artículos que se puede encontrar en un Maxi China o Hiper Asia. Todo con gastos de envío de 0 euros, muy interesante. Pero volviendo al tema que nos importa, para codificar el script, se debe estudiar la cookie que genera una sesión de este sitio. Esto se puede realizar con Firefox, Chrome, etc. CodificandoEn primer lugar ir a preferences de Firesheep, y después habrá 3 pestañas: Capture, Websites y Advanced. De estos apartados ya se habló en el artículo Firesheep: probando windows live. Websites contiene todos los scripts de los sitios con lo que Firesheep trabaja por defecto, pero como se puede ver en la imagen hay un botón para añadir script personalizados. Pulsando sobre Add aparecerá una pantalla en la que se pide el nombre para el script, recomendable para tenerlo organizado es poner el nombre para el que se codificó el script.A continuación se expone el script codificado para FocalPrice:// Author: Pablo González - flu-project.comregister({name: "focalprice",url: 'http://my.focalprice.com/',domains: [ 'focalprice.com' ],sessionCookieNames: [ 'lkvw_02','lkvw_20','tuser','ASP.NET_SessionId' ],identifyUser: function () {var resp = this.httpGet(this.siteUrl);this.userName = 'focalprice User';}});Probando el scriptLlegados a este punto, solo queda probar el script codificado y ver que ocurre. Para ello, realizaremos el procedimiento normal con Firesheep. Si estamos en red switcheada se necesitará un MiTM para poder capturar las cookies de la víctima.El escenario propuesto es el siguiente:Quedaremos a la escucha, por ejemplo desde la IP 10.0.0.4, mientras la víctima con IP 10.0.0.2 se conecta a focalprice.com. La puerta de enlace es la 10.0.0.1, se realiza un MiTM. Se activa Firesheep, y a esperar a ver que ocurre.Se observa en la imagen como se ha capturada la cookie de sesión de focalprice, parece que la codificación realizada funciona. Para ver si la sesión funciona, abrimos la cookie y como se puede ver en la imagen ¡estamos dentro! Hasta aquí, llega esta prueba de concepto. Se ve la versatilidad que presenta Firesheep y su posible configuración. Siempre podríamos abrir el wireshark y capturar la cookie, pero esto quizá sea más rápido, todo automatizado.

Flu Project Team

5 comentarios:

  1. Una excelente forma de empezar el día!gracias por los aportes^^

    ResponderEliminar
  2. [...] This post was mentioned on Twitter by Flu, Juan Antonio Calles. Juan Antonio Calles said: RT @fluproject Firesheep: FocalPrice http://bit.ly/hludbW [...]

    ResponderEliminar
  3. Una manera facil y sencilla de capturar información sin estar delante de wireshark, gracias tmb por el aporte !! xD

    ResponderEliminar
  4. [...] robo de sesiones de Windows Live y la tardanza de 8 horas en caducar esas cookies, wtf? y sobre la programación para que otras cookies cayesen en las garras de firesheep. Además, nos tomamos con humor la frase ‘Firesheep hacking de botón grueso’ (que lo [...]

    ResponderEliminar
  5. Gracias por la entrada!. Cuando consiga hacer funcionar a Firesheep, probaré tu script.

    ResponderEliminar