6 jul 2011

Hijacking Twitter

El turno de twitter. Hoy en día es muy sencillo suplantar la identidad en cuentas de tuenti o Facebook, pero ¿qué ocurre con twitter? Pues como se va a ver en esta PoC es igual de sencillo.

Para capturar la cookie de twitter se realizará el mismo proceso que en los artículos anteriores, es decir, un MITM y con Wireshark analizaremos el tráfico. Recordar que es casi vital utilizar un filtro para Wireshark, ya que si no podemos perdernos en todos los paquetes que pasan por nuestra tarjeta de red. El filtro recomendado es: ‘http contains “Cookie” ‘ o ‘http contains “Cookie” && http contains “twitter” ‘.

Para realizar el MiTM, se puede utilizer cualquier herramienta vista con anterioridad, por ejemplo, cain & abel, ettercap, arpspoof, el propio cookie monster.

¿Qué hay de nuevo?

En primer lugar, diremos que lo que necesitamos de la cookie de twitter son 2 parámetros. Con esos 2 parámetros se puede realizar la suplantación. Por supuesto, me toca decir que es una prueba de concepto, niños de España y el mundo no hagáis esto en casa, ni se lo hagáis a nadie… sed buenos… :)

Vamos con la prueba. Con Wireshark obtenemos la cookie. Algo parecido a la imagen de a continuación.

Captura de cookie

Bueno, vamos a estudiar la cookie en profundidad en un notepad porque tiene muchos parámetros, ¿Cuáles son los 2 que nos interesan?

[caption id="attachment_3362" align="aligncenter" width="458" caption="Notepad con información de la cookie"][/caption]

En efecto, esos 2 parámetros son los necesarios para que la suplantación funcione. Aunque si realizáis este proceso, con vosotros mismo ‘of course’, os daréis cuenta de que hay un parámetro que se repite en diferentes conexiones… os propongo un juego en los comentarios me lo tenéis que decir, será ‘twid’ o será ‘_twitter_sess’, chan charaná…

Para realizar la suplantación crearemos una cookie en un navegador, como por ejemplo Firefox, mediante un gestor de cookies, que permita la adición de cookies.

[caption id="attachment_3363" align="aligncenter" width="475" caption="Creación de una cookie con un gestor de cookies en Firefox"][/caption]

Los valores para ambos parámetros son Servidor: .twitter.com Ruta: /

Por cierto, en Tuenti cuando queremos salir, la víctima o el atacante, dependiendo quién le dé a cerrar sesión, la sesión se cierra de verdad. Con Twitter tenemos el problema de Windows Live, no cierra directamente la sesión, por lo que si la víctima cierra la sesión y el atacante está dentro, el atacante puede seguir disfrutando de la cuenta de la víctima.

Para finalizar deciros que os invito a que comentéis cual es la solución al reto, cual es el parámetro necesario para la suplantación pero que no cambia de una sesión a otra…

 

7 comentarios:

  1. Si tengo un sitio web, como puedo prevenir eso (uso cookies) y supongo que pasará lo mismo que postean. Hay alguna solución?

    ResponderEliminar
  2. firmar la cookie por ejemplo, aunque es un proceso que como creemos que piensan estas entidades complica la cosa...

    ResponderEliminar
  3. He estado buscando info sobre firmar las cookies, encuentro poca. Podríais hacer un post para dar una pequeña idea de forma clara y simple. Gracias.PD: solo si puede ser xD

    ResponderEliminar
  4. Excelente tutorial, probado y funciona Ok!

    ResponderEliminar
  5. [...] otras veces del tema de la suplantación de cookies como en los artículos Hijacking en Tuenti, Hijacking en Twitter o en Cookie Monster: automatizando el hijacking, por lo que omitiremos el paso de suplantar la [...]

    ResponderEliminar
  6. [...] http://www.flu-project.com/hijacking-twitter.html [...]

    ResponderEliminar