Man-in-the-middle con arpspoof, sslstrip, Wireshark y mucho tiempo libre (epílogo)

Ojo, hay primera parte. Aquí expondré las preguntas que me han formulado mis millones de lectores.

No encuentro la cookie sid, ¿por?

La cookie sid es característica de Tuenti. Otros sitios web tienen otras cookies con otros nombres. Tienes varias opciones:

  1. Puedes irte aquí y comprobar si la web está ahí. Por ejemplo, para Hotmail, hacemos clic en live.js y vemos que las cookies que necesitamos copiar son cuatro: MSPProf, MSPAuth, RPSTAuth y NAP.
  2. Ponte a copiar cookies a mano hasta que des con las correctas (puede resultar bastante engorroso, la verdad).
  3. Bájate Modify Headers y metes las cookies a lo bruto.

Esto último es más sencillo de hacer de lo que parece. Una vez hayas copiado la cookie entera al portapapeles, pégala en un bloc de notas; borra el «Cookie: » del principio y el resto lo vuelves a copiar. Abre el Modify Headers, pinchas en «Start» arriba, eliges «Modify», en el primer campo pones «Cookie», en el segundo pegas la cookie, y el tercero lo dejas en blanco. Tal que así:

Luego, haces clic en «Add», y así debe quedar:

Si el circulito queda rojo en lugar de verde, haz clic en «Enable» a la derecha. Ahora, entra a Hotmail y tendrás la sesión iniciada; haz lo que veas y, una vez hayas terminado, borra la línea que añadimos al Modify Headers.

¿Cómo hago esto con varios hosts a la vez?

Para hacer todo esto con varias víctimas, hay que tener varias cosas en cuenta. Para tener mayor facilidad a la hora de usar arpspoof para varias víctimas, podemos usar:

# for i in IP1 IP2 IP3; do arpspoof -i wlan0 -t 192.168.0.$i 192.168.0.1 & done

Por ejemplo, si nuestras víctimas son 192.168.0.3, 192.168.0.132, 192.168.0.33, 192.168.0.81 y 192.168.0.254, usaremos:

# for i in 3 132 33 81 254; do arpspoof -i wlan0 -t 192.168.0.$i 192.168.0.1 & done

Luego, para parar todo esto, no podremos usar Control+C, sino:

# killall arpspoof

Ya está. Otra cosa es cambiar un poquito el filtro de Wireshark. En lugar de seleccionar sólo el host de la víctima, vamos a seleccionar todos menos el nuestro. Es decir, siendo nosotros el 2 y la víctima el 3, en lugar de:

(ip.src == 192.168.0.3 || ip.dst == 192.168.0.3)

Pondremos:

(ip.src != 192.168.0.2 && ip.dst != 192.168.0.2)

¿Cómo borro la regla de iptables esa que tengo que poner para sslstrip? ¿Y lo otro? Sin tener que reiniciar, claro.

Efectivamente si reinicias pierdes todo. Para no tener que reiniciar:

# echo 0 > /proc/sys/net/ipv4/ip_forward
# iptables -F
# iptables -t nat -F
# iptables -P INPUT DROP
# iptables -P OUTPUT ACCEPT

¿Por qué Cain para hacer lo mismo de sacar claves que van por HTTPS saca un error de certificado que acojona a cualquier usuario, mientras que ni Dios se entera de lo que hace sslstrip, aun funcionando?

Cain expende un certificado auto-firmado, por lo que los sitios HTTPS siguen siendo HTTPS, pero no con el certificado original, sino con uno falso. Los navegadores trinan al ver un certificado falso.

sslstrip, en cambio, modifica las webs que van por el protocolo HTTP para evitar que, por ejemplo, los formularios hagan POST a HTTPS. O sea, evita el uso total de HTTPS, por lo que no necesita expender certificados siquiera.

¿Y si quiero algo que no sea tráfico web?

Depende de lo que quieras. Wireshark te lo mostrará todo, es ya cosa tuya interpretarlo. Otras aplicaciones te pueden ayudar, claro; por poner un ejemplo he tenido buenos resultados con imsniff para leer conversaciones de MSN.

Hala, a pastar.

Anuncios

10 Responses to “Man-in-the-middle con arpspoof, sslstrip, Wireshark y mucho tiempo libre (epílogo)”


  1. 1 TuMalaCon100cia 03/03/2012 en 12:46

    Otro a favoritos. Buen finde. Merci.

  2. 2 susaniita 27/03/2012 en 0:16

    se agradeceria que posieras un ejemplo de los pasos de copiar las cookies y copiar portapapeles y borrar el principio….. resulta muy engorroso, no se entiende nada, pero para cuando tengas tiempo, muchas gracias por el manual de todas formas

  3. 3 susaniita 27/03/2012 en 0:35

    tambien me perdi lo de las preguntas de tus lectores, yo no las veo por ningun sitio, si las leo igual me aclaria un poco mas de el 2 paso y del tercero, pues si metes la cookie en el programa, que haces cuando tienes mas cookies?

    • 4 TuMalaCon100cia 27/03/2012 en 0:51

      Yo le hice mil y una preguntas por privado, de ahi que no aparezcan, pero basicamente sobre el manejo de cookies y como saber que cookies maneja cada sitio. En firefox hay una entension que se llama cookie manager +, jugueteando con ella podras ver lo que necesitas, es cuestion de loguearte en un sitio e ir deduciendo que cookies son las necesarias.

  4. 5 susaniita 27/03/2012 en 2:15

    ya lo he conseguido, es mas facil de lo que pensaba, por ejemplo para facebook:
    he cojido un paquete http get
    boton derecho follow tcp scream
    ahi te sale un listado, en las partes rojas te salen la cookie
    copio y pego en el cookie manager+ como bien nos dice el exelente manual de nuestro amigo
    el valor de c_user, el valor de datr, el valor de lu, el valor de xs, valor de presence y el valor de act y listo!!!! f5 en firefox y ya estoy dentro
    quizas con menos valores pueda que salga pero yo meti estos y sale

    lo de la tercera opcion no me sale, no se que hago mal, no lo entiendo muy bien, entendi que es la cookie entera sin la palabra cookie metida en el programa modify headers, pero no me sale

  5. 6 http://colegioiniciados.blogspot.com/ 11/05/2013 en 22:03

    Hi, Neat post. There’s a problem with your web site in internet explorer, could check this? IE nonetheless is the market leader and a large portion of folks will leave out your great writing due to this problem.

  6. 7 Alexis 13/02/2014 en 7:56

    Oye amigo yo he utilizado el comando de arpspoof para envenenar varias maquinas el de for i in IP1 IP2 IP3 y lo que consigo es que no pueda abrir ninguna direccion en las maquinas atacadas, sabes a que se debe eso?

  7. 8 jonathan 27/05/2015 en 22:13

    Hoy en día (en el 2015) este método sigue funcionando ? Alguien podría dar fe de que funciona ? Gracias .

    • 9 wodim 28/05/2015 en 0:42

      Claro que sí, pero la seguridad en la web cada día es más fuerte, así es que no esperes mucho éxito, ya que la mayoría de webs usan HTTPS para todo, y sslstrip ahí ni pincha ni corta.


  1. 1 Man-in-the-middle con arpspoof, sslstrip, Wireshark y mucho tiempo libre « Thacid Trackback en 26/03/2012 en 23:14

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s





A %d blogueros les gusta esto: