Ettercap – Capturando conexiones SSL


Advertencia: ** El autor no se hace responsable del mal uso que se le de a esta herramienta, solo lo publica con fines académicos **

Holaa…Nuevamente traigo un nuevo tuto, donde capturaremos conexiones SSL…… 🙂

Bueno ahora vamos a la practica:

Topologia:

  • Una vez alli vamos a la siguiente ruta: /etc/etter.conf

nano /etc/etter.conf

  • Luego descomentamos la siguiente linea:

#redir_command_on = “iptables -t nat -A PREROUTING -i %iface -p tcp –dport %port -j
REDIRECT –to-port %rport”</p>

Nota: La linea que esta subrayada en rojo es la linea que debemos descomentar (Descomentar: Borrar el signo numeral, para que la linea pueda ejecutarse), la he dejado tal cual y la he copiado. La linea subrayada en verde es la que he copiado, y he descomentado 🙂 si quereis podeis descomentar de una vez la linea y no copiarla 🙂
  • Una vez hecho esto, vamos a ejecutar el ettercap en modo grafico.Para esto copiamos en la terminal:

ettercap -C

  • Luego ingresamos a la siguiente interfaz, y alli vamos a ir a la opcion: Sniff> Unified sniff

  • Allí escogemos la interfaz por la que escuchamos (Generalmente es la eth0), y damos “Enter”

Nota: En ocasiones nos aparece una advertencia diciendonos que la tarjeta se va a poner en modo promiscuo, le damos “OK”

  • Ahora vamos a ver que host hay en nuestra LAN, para ello vamos a la opción: Host > Scan for host

  • Y vemos esta ventana, donde se muestra el proceso de escaneo:

  • Ahora listamos los equipos encontrados: Host> Host list

  • Alli entonces vemos los host de nuestra red, y entre esos, esta:

Direccion IP Victima: 192.168.0.102

Direccion IP Router: 192.168.0.1

  • Ahora vamos a parnos encima de la Dir IP de la victima, y tecleamos la tecla numero “1

  • Ahora nos ubicamos en la Dir IP del router y teclamos la tecla numero “2

  • Bueno ahora vamos a lanzar el ataque MITM, vamos a: MITM> ARP poisoning

  • Nos aparece una ventana diciendonos que cuales son los parametros, escribimos: remote

Nota: Ahora estamos en la mitad de las dos maquinas, para comprobar esto, vamos a la maquina objetivo (Vale que esto se puede, porque lo estamos haciendo en un ambiente controlado ;)) En la maquina objetivo tecleamos arp -a y deberiamos ver dos direcciones IP con MAC iguales.

  • Vamos entonces e empezar a sniffear, para ello vamos a: Start> start sniffing

  • Y bueno una vez iniciemos sesión. Ejemplo: Gmail, nos debería mostrar el user, password y hasta la URL donde nos logueamos. En el cuadro de abajo, titulado: User messages. Probemos:

Al ingresar en Gmail nos aparece la siguiente ventana, donde nos dice que no se puede validar el certificado, es la primera señal de que algo esta pasando 🙂

Nota: Vemos entonces que esta es una advertencia, y no me sorprende de los señores de Gmail, ya que es bastante seguro 🙂 …. Pero como todos sabemos, un User normal siempre daría clic en “Continuar de todos modos” sin pensarlo dos veces 🙂 ……Aunque la idea es perfeccionar la técnica para que no nos muestre este tipo de advertencia… Esto queda de tarea….

  • Ahora actuando como usuarios finales con poco conocimiento, hemos ingresaso a gmail y nos hemos logueado, ahora miremos la ventana de Ettercap:

  • Una vez finalizado nuestro ataque, procedemos a salir pulsando las teclas Control + X

Sirve tanto para contraseñas encriptadas como para contraseñas no encriptadas 🙂

“Bueno esto es todo por hoy….Espero le den un buen uso, y aprendan como prevenir este tipo de ataques…Hasta la proxima.”

Anuncios
comentarios
  1. Haod dice:

    holas me parecio muy interesante todo esto pero tngo una duda, yo pense q el protocolo ssl era muy seguro por los algoritmos q usa pero en si cual es la falla que tiene ssl para que ettercap pueda capturar el user y passwd.

  2. humanliks dice:

    Hola gracias por visitar el blog:

    Las razones son:

    1- La regla de iptables tiene un redirect que lo que hace es indicarle a nuestra tarjeta que esta en modo promiscuo, que escuche las conexiones TCP, las cuales tienen flags con acuse de recibido. Al momento de usted indicarle que no valide el certificado digital, le esta diciendo que no envie la información cifrada con una llave publica y privada, dependiendo si es simetrica o asimetrica la validación.

    En pocas palabras, no es que SSL sea inseguro, sino que el usuario final es el eslabon mas bajo en este tipo de ataques. 🙂

    Saludos, espero haber sido claro 🙂

  3. francisco dice:

    buenas me gusria saber si alguien me puede echar una mano, resulta que para que al usuario no le muestre la alerta de los certificados se podia hacer de una manera , descomentando una serie de lineas , pero no se como hacerlo haber si alguien me puede echar una mano. gracias

    • humanliks dice:

      Hola Francisco, en ettercap no es posible lo que decis de los certificados, para que los certificados se validen y que para el usuario sea totalmente transparente el ataque, debes combinar este metodo con SSLStrip..

      Saludos, gracias por visitarnos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s