Chaos in the LAN - Parte II

allmy

Secuestro de sesiones en red local mediante Man in the Middle y robo de cookies

---------------Serie Chaos in the LAN------------------------------

Parte 1 - http://www.mediavida.com/foro/3/chaos-in-the-lan-parte-i-443487#1
Parte 2 - http://www.mediavida.com/foro/3/chaos-in-the-lan-parte-ii-443488
Parte 3 - http://www.mediavida.com/foro/3/chaos-in-the-lan-parte-iii-443489


Tutorial realizado con fines educativos no me hago responsable de nada de lo que se haga con el.

En este tutorial voy a mezclar elementos publicados por otro usuario que también suele participar en este foro y otras partes propias.

Preparación:

La víctima tiene que estar logueada en la web de Tuenti o no haber cerrado la sesión.
Vamos a necesitar una extensión de Chrome llamada Edit This Cookie
Conseguir mediante XSS o un Man in the Middle la cookie de nuestra víctima.

Cuando os logueais en cualquier página, tuenti.com por ejemplo, este guarda en vuestro ordenador un cookie (bastante simple, por cierto) que tiene unos datos, que definen vuestra sesión, teniendo una cookie de esas características le decimos a la página que ya tenemos una sesión abierta y no hace falta que nos pida la contraseña de nuevo. Esto se hace, obviamente, por comodidad. ¿Os imagináis loguearos de nuevo en Mediavida cada vez que cerráis las ventanas?

¿Qué necesitamos para secuestrar esas cookies? Un ataque Man in the Middle, que puede ser hecho con muchas piezas de software. Las más utilizadas son Cain y Abel para Guindous y Ettercap para linux. Un software que nos permita analizar el tráfico y filtrarlo (si sacamos un log con todo el tráfico mediante ettercap nos encontraremos con que lo difícil es filtrarlo), en este caso, tanto en linux como en Windows utilizaremos Wireshark. Y por último, necesitaremos un addon que nos permita manejas y escribir en las cookies que tenemos: Cookies Manager+ https://addons.mozilla.org/en-US/firefox/addon/cookies-manager-plus/?src=search hay unos cuantos que hacen esto, y si me apuráis podéis modificarlas a base de notepad xD

Empecemos:

1º Ejecutamos el MITM, tal y como se detalla en la primera versión de "Chaos in the LAN" http://www.mediavida.com/foro/3/chaos-in-the-lan-parte-i-443487#1

2º Conectamos el Wireshark en la interfaz por la que esté pasando tráfico, o seleccionando la tarjeta directamente, depende de nuestros sistema operativo.

3º En el cuadradito de filtro ponemos "http.cookie" sin las comillas.

4º Cogemos una cookie que veamos que tiene los datos que nos interesan, más abajo detallaré para diferentes redes sociales cuales son dichos datos, y la copiamos a un documento de texto (por pura comodidad).

5º Abrimos la página de la sesión que queramos suplantar. En este ejemplo "tuenti.com".

6º Le damos al iconito de la galleta que sale a la derecha de la barra de direcciones principal, y sustituimos el valor de cada elemento de la cookie por los que hemos pillado, en algunas paginas como tuenti es solo el "sid" (creo), y en otras como facebook necesitaremos alguno más.

7º Actualizamos la página, y tataaaaaaaaaaan.


Si bien para tuenti se necesita solamente la SID...

Cookie modelo de facebook:

spoiler

He modificado los datos para no vulnerar la privacidad de nadie.

Mejor si lo hacéis logueados previamente en vuestra cuenta, así veis que partes son necesarias y cuales no.

Cookie modelo de google/google+ etc:

spoiler

Nota adicional: Las cookies tienen un tiempo de vida limitado.

A divertiros en vuestra uni!!!!!!!

En la tercera entrega os hablare del SSLStrip y pillar datos cifrados.

Hasta la próxima entrega hamijos.

Nota: Hace tiempo que no uso Windows y os lo he dicho más o menos de memoria, puede que haya algún pequeño error por alguna parte.

4
ElRuso

Voy a testear en casa, a ver si funcciona. Parece demaciado simple :)

Si algun dia trabajo en universidad pongo static ARPs de los gateways y servidores en todos los ordenadores. :)

_Akiles_

Bueno, otro MITM que te pueden colar es:

con un simple script realizar una peticion DHCP
cambiar la MAC y volver a realizar otra peticion
repetir

Agotas el pool del servidor DHCP, te pones tu como servidor DHCP, les das tu IP como gateway en las solicitudes y a inspecionar trafico!

Obviamente hay medidas de seguridad para evitarlo, CREO que en la Euskal un tio tenia montado algo asi y lo cazaron.

1 respuesta
allmy

#3 Te cazan si no lo haces bien, además, el hadware de la Euskal puede leer la dirección MAC que estas utilizando y la real de la propia tarjeta. Así que como te hayas conectado antes con la tarjeta en plan normal, solo hay que comparar logs xD

1 respuesta
lech0n

#4 oxtia en la euskal usan cisco a tope que te caza todo.

Usuarios habituales

  • lech0n
  • allmy
  • _Akiles_
  • ElRuso

Tags