domingo, 5 de septiembre de 2010

Manual básico ettercap (entorno grafico)

En este tutorial voy a intentar exponer una idea básica de la utilización básica de ettercap usando su interfaz gráfica (GTK). Este programa que nos permite sniffar el trafico de red y obtener  así las  contraseñas escritas por otros usuarios de nuestra red, además también permite leer, por ejemplo, las conversaciones del messenger u otros programas de mensajería instantánea, además de saber las páginas que visitan, etc.

1 - Primero tenemos que descargar el ettercap, la ultima version es la 0.7.3 y
esta disponible tanto para windows como para GNU/Linux.

Windows:

http://sourceforge.net/projects/ettercap/files/unofficial%20binaries/windows/

Linux:
http://ettercap.sourceforge.net/download.php

o en el caso de las derivadas de debian (Ubuntu, Kubuntu, Mint...)

sudo apt-get install ettercap-gtk

2 - Lo instalamos.

Si tienes la versión para compilar de GNU/Linux:
# ./configure
# make
# make install

Una vez lo tengamos todo listo, empieza la parte interesante:

3 - Arrancamos el ettercap (en caso de GNU/Linux como root, ya que sino no nos permitirá seleccionar la interfaz de red a utilizar).


4 - Pestaña Sniff > Unified Sniffing.



5 - Seleccionamos la interfaz que esta conectada a la red que queremos sniffar, después le damos a "Aceptar".

6 - Pestaña Host > Scan for hosts.
En la parte de abajo de la pantalla aparecerá algo como " X hosts added to the hosts list..."
(X sera un numero correspondiente al numero de máquinas conectadas a la red).



7 - Pestaña Host>Host list.
Ahora aparecerán las IPs de las máquinas conectadas, hay que tener en cuenta que el router también aparece (No aparece nuestro PC).

8 - Seleccionamos la IP del ordenador a atacar y pulsamos "Add to Target 1", después el router "Add to Target 2".


Ahora ya tenemos los objetivos marcados, pero antes de dar el siguiente paso tenemos que tener en cuenta que vamos a utilizar una técnica llamada Man In The Middle (MITM) y lo que haremos será que todos los paquetes que van dirigidos al PC atacado pasen por nosotros, con lo que si nosotros nos desconectamos sin detener el ataque MITM nuestra víctima se quedara sin conexión por un tiempo, mientras se reinician las tablas arp.



9 - Pestaña Mitm > ARP Poisoning. Ahora marcamos la pestaña "Sniff remote connections" y pulsamos "Aceptar".


10 - Pestaña Start > Start sniffing.



Con esto estaremos snifando el trafico de red.



11 - Pestaña  View > Connections. Aquí podemos ver todas las conexiones y si hacemos doble click sobre alguna podemos ver los datos que contiene, entre ellos conversaciones del messenger, usuarios y contraseñas, etc.

Ahora es cuestión de paciencia.

-- FILTROS --


En ettercap existen unos "filtros" que le agregan nuevas funciones, como dejar sin conexión a un miembro de la red o detectar si hay otro ettercap actuando en la misma red, además de muchos otros.



Uno de estos filtros se utiliza para cambiar las imágenes de la máquina a la que le hayamos hecho el MITM mientras navega por la red y es el que comentare a continuación.

Primero tenemos que obtener el script del filtro, para esto vamos a la siguiente pagina y copiamos el script.

http://www.irongeek.com/i.php?page=security/ettercapfilter

El script es el siguiente:
############################################################################
#                                                                          #
#  Jolly Pwned -- ig.filter -- filter source file                          #
#                                                                          #
#  By Irongeek. based on code from ALoR & NaGA                             #
#  Along with some help from Kev and jon.dmml                              #
#  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!");
 # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src="http://www.irongeek.com/images/jollypwn.png" ");
   replace("IMG SRC=", "img src="http://www.irongeek.com/images/jollypwn.png" ");
   msg("Filter Ran.n");
}


Ahora modificamos la dirección de las imágenes por las que nosotros queramos, por ejemplo la de una morsa quedaría así:
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src="http://img.blogdeblogs.com/faunatura/uploads/2009/09/morsa.jpg" ");
replace("IMG SRC=", "img src="http://img.blogdeblogs.com/faunatura/uploads/2009/09/morsa.jpg" ");
msg("Filter Ran.n");
}

Lo siguiente sera guardar el script con extensión .filter, por ejemplo imagen.filter.

Una vez hecho esto abrimos una consola y vamos al directorio donde tenemos el imagen.filter. Una vez allí ponemos el siguiente comando y se compilara el filtro:
etterfilter imagen.filter -o imagen.ef

Con esto nos generara el imagen.ef. Una vez creado lo copiaremos al directorio de ettercap:
 /usr/share/ettercap

Ahora arrancamos ettercap y realizamos el MITM. Durante el ataque vamos a la pestaña filters > load a filter.

Una vez aquí seleccionamos el archivo imagen.ef y pulsamos aceptar. Con esto ya estar el filtro aplicado y las imágenes que vea la víctima serán sustituidas por las que nosotros queramos.

fuente del filtro: http://www.irongeek.com/i.php?page=security/ettercapfilter


Un saludo.




by AETSU

lunes, 23 de agosto de 2010

Comandos utiles GNU/linux

Bueno desde mi iniciación con GNU/linux (distribuciones basadas en Debian) he ido creando un pequeño archivo con comandos de shell que me son útiles o me han sido de ayuda alguna vez, así que los pondré porque seguro que a mas de uno que se introduce en este mundo  le ayudan:


---- Adept ----


Reparar adept:
sudo dpkg --configure -a

Actualizar adept:
sudo apt-get update && sudo apt-get upgrade

Adept completo:
sudo apt-get update && sudo apt-get upgrade && sudo apt-get autoremove && sudo apt-get purge

---- Paquetes .deb ----


Convertir unpaquete .rpm a .deb:
alien <nombre del paquete>

Instalar un .deb:
sudo dpkg -i <nombre del paquete>

Desistalar un .deb:
sudo dpkg -r <nombre del paquete>

Ver todos los paquetes instalados:
dpkg -l | grep ii | more

---- Instalar un .bin ----


chmod +x <nombre del paquete>  (este comando le da permisos de ejecución al .bin)
./<nombre del paquete>

---- Purgar kernel ----


sudo dpkg -l | grep linux-image
sudo aptitude purge linux-image-2.6.27-11-generic            -- Aqui el que toque
sudo aptitude purge linux-headers-2.6.27-11-generic         -- Aqui el que toque


---- Ver estado salud bateria ----

cat /proc/acpi/battery/BAT0/info


---- Listar procesos ----


Todos los procesos en ejecución:
ps -aux
Los procesos e ejecución que más recursos están consumiendo:
top

---- Temporizador -----

sleep <tiempo a esperar (10m o 10s por ejemplo)>;<orden a realizar (killall amarok)>



---- Ver espacio vacio libre discos -----

df -h


---- Formatear un USB en FAT32 ----


dmesg                                                    -- vemos la unidad de nuestro usb
umount /dev/sdb1                             -- en lugar de sdb1 ponemos la unidad de vista antes
sudo mkfs.vfat /dev/sdb1                -- igual que el paso anteriro, en lugar de sdb1, la etiqueta de nuestra unidad


---- Ver dispositivos conectados al USB ----

lsusb


---- Ver dispositivos pci ----

lspci


---- Buscar archivos ----

sudo find /  -name 'nombre_archivo'



---- Saber donde esta instalado un programa ----

whereis <nombre del programa>



---- Listar comandos introducidos terminal ----

history

---- Listar ultimos comandos historial ----

fc -l



---- Ejecutar el ultimo comando que contenga la cadena de texto elegida ----

!cadena

ejemplo

!nano



---- Borrar desde la posicion actual al principio de la linea ----

ctrl + u



---- Borrar desde la posicion actual al principio de la palabra ----

ctrl + w



---- Directorio actual ----

pwd



---- Reparar claves GPG ----


Error de ejemplo:
W: Error de GPG: http://repo.offensive-security.com binary/ Release Las firmas siguientes no se pudieron verificar porque su llave pública no está disponible: NO_PUBKEY 720DB78AE5513C11

Para solucionar esto tenemos que coger las 8 ultimas cifras de la clave errónea, en este caso, E5513C11
y entonces ponemos:

gpg --keyserver keyserver.ubuntu.com --recv E5513C11
y la salida será:
aetsu@aetsu-pc:~/wire$ gpg --keyserver keyserver.ubuntu.com --recv E5513C11
gpg: solicitando clave E5513C11 de hkp servidor keyserver.ubuntu.com
gpg: clave E5513C11: clave pública "BackTrack Development Team <info@remote-exploit.org>" importada
gpg: Cantidad total procesada: 1
gpg:               importadas: 1
Por último queda poner:
gpg --export --armor E5513C11 | sudo apt-key add -
y la salida sera:
aetsu@aetsu-pc:~/wire$ gpg --export --armor E5513C11 | sudo apt-key add -
OK
Con esto ya podéis hacer un
sudo apt-get update

Aquí tenis todos los que tenia apuntados, si encuentro alguno mas interesante lo añadire. Por otro lado se admiten sugerencias asi como criticas.

Un saludo.

by  Aetsu








domingo, 22 de agosto de 2010

ASALTANDO REDES WIFI -- CIFRADO WEP / WPA -- CON AIRCRACK-NG

En este documento pdf está recogido como atacar redes con seguridad WEP y redes con seguridad WPA utilizando la suite Aircrack-ng.





by Aetsu