Το προφίλ μας στο Google Plus
20

deltaCast s01e05 | Basic MiTM

Οι επιθέσεις Man in The Middle που βασίζονται στην τεχνική του ARP spoofing, είναι από τις πρώτες που μαθαίνει όποιος ξεκινά ν' ασχολείται με το network hacking ή το penetration testing. Σ' αυτό το επεισόδιο του deltaCast συνδυάζουμε το ARP με το DNS spoofing και δείχνουμε ότι ακόμη κι αν ο υπολογιστής μας είναι 100% ασφαλής, υπάρχουν επικίνδυνες παγίδες στις οποίες δεν είναι διόλου απίθανο να πέσουμε!

Όσο καλά κι αν είναι προστατευμένος ο υπολογιστής μας κι ανεξαρτήτως του λειτουργικού συστήματος ή των δικτυακών εφαρμογών που χρησιμοποιούμε, δεν αποκλείεται να αποδειχθούμε τα θύματα μιας σχετικά εύκολης επίθεσης. Στην πραγματικότητα, πρόκειται για μια ολόκληρη οικογένεια επιθέσεων που μπορούν να εξαπολυθούν ακόμη κι από αρχάριους. Στο s01e05 του deltaCast εξηγούμε, επιδεικνύουμε κι αποδεικνύουμε τον ισχυρισμό!

Σημείωση: Τις τρεις διαφορετικές εκδοχές του επεισοδίου (HD, SD, Mobile) μπορείτε να τις κατεβάσετε από εδώ.

Σπόνσορες του deltaCast είστε εσείς, οι συνδρομητές του περιοδικού deltaHacker. Χωρίς τη στήριξή σας δεν θα μπορούσαμε να φτιάχνουμε τα επεισόδια. Σας ευχαριστούμε!

===== Σημειώσεις επεισοδίου =====

  • Για το πώς ακριβώς δουλεύει το ARP spoofing μπορείτε να διαβάσετε στο σχετικό άρθρο του deltaHacker 001. Στο ίδιο τεύχος υπάρχει και άρθρο όπου γίνεται επίδειξη επίθεσης MiTM. Τα εργαλεία που χρησιμοποιούμε στο συγκεκριμένο άρθρο είναι τα arpspoof και dnsspoof.
  • Στο deltaHacker 010 γίνεται χρήση του ettercap, σε άρθρο όπου δείχνουμε πώς αποκτάμε απομακρυσμένη πρόσβαση σε μηχάνημα-στόχο επιζητώντας να αποκρυπτογραφήσουμε το password του Administrator.
  • Υπάρχουν πολλά αντίμετρα κατά του ARP spoofing και περιγράφονται σε άρθρο που δημοσιεύεται στο site. Μην παραλείψετε να διαβάσετε και τα σχόλια, κάτω από το άρθρο.
  • Ένας τρόπος για να ξενοιάζετε από επιθέσεις MiTM, ειδικά όταν σερφάρετε από επίφοβα περιβάλλοντα όπως δημόσια WiFi hotspots, καφετέριες, ξενοδοχεία, συνεδριακούς χώρους κ.λπ., είναι με χρήση του OpenVPN. Για το πώς θα στήσετε τον δικό σας OpenVPN server σε περιβάλλον Linux μπορείτε να διαβάσετε στο σχετικό άρθρο του deltaHacker 007. Επίσης, σε αυτό το άρθρο δείχνουμε, αναλυτικά και βήμα προς βήμα, πώς στήνεται το OpenVPN σε περιβάλλον FreeBSD.

Θέλετε ειδοποιήσεις στο email σας κάθε φορά που βγαίνει νέο deltaCast; Γραφτείτε στη σχετική λίστα.

Μοιράσου το:

Google DiGG ReddIt LinkedIn Microsoft Live del.icio.us StumbleUpon RSS PDF Print

20 Responses to “deltaCast s01e05 | Basic MiTM”

  1. nick1234 | 30/01/2013 at 13:47

    αν θελω να κανω το ιδιο αλλα για πολλαπλες διευθυνσεις πχ facebook και hotmail ποιες ρυθμισεις πρεπει να κανω στο set?

    • subZraw | 30/01/2013 at 13:59

      Το SET μπορεί να σερβίρει ένα site τη φορά, επομένως το credential harvesting μπορεί να το κάνει για ένα μόνο site. Σκέψου εξάλλου ότι το εργαλείο δεν προορίζεται για blackhats. Αντίθετα, χρησιμοποιείται από επαγγελματίες pen testers και security professionals, οι οποίοι πληρώνονται για να βρίσκουν αδυναμίες σε συστήματα και δίκτυα, να εκπαιδεύουν το προσωπικό εταιρειών σε ζητήματα ασφαλείας κ.ο.κ.

    • z4rt4z | 19/03/2013 at 06:26

      αν θελεις να κανεις το ιδιο για ολα τα site τα οποια στελνουν κρυπτογραφημενες πληροφοριες δεν θα χρησιμοποιησεις το set...
      θα τρεξεις το ettercap σε συνδιασμο με το sslstrip. αυτο ισουται με καταγραφη username kai password σε οποιοδηποτε site.

  2. Gemyrony | 08/02/2013 at 20:59

    Καλησπερα πηγα να το δοκιμασω στο λαπτοπ του ιδιου δυκτιου αλλα το ettercap μου εβγαλε L3 send error... γιατι?

  3. Dr.Paneas | 11/02/2013 at 01:47

    Χρησιμοποιώ το BackTrack μέσω του VirtualBox στημένο πάνω σε έναν Macbook Air. Εχω δώσει από το VirtualBox να έχει το BackTrack σε Bridge Network (και όχι σε NAT).

    Από το Terminal του Macbook Air βλέπω μόνο IPV6.
    Από το Terminal του BackTrack βλέπω πάλι μόνο IPV6.

    Με αποτελέσμα όταν τρέχω το MiTM, ο στόχος να μην έχει Internet, διότι δεν είμαι ο router και δεν κάνω IP forward. Το πρόβλημα είναι ότι δοκίμασα τις παρακάτω εντολές και πάλι τα ίδια... ο στόχος (θύμα) δεν έχει Internet.

    echo 1 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv6/conf/all/forwarding

    καμια βοήθεια ;

    • subZraw | 11/02/2013 at 08:30

      Αχά. Ανεξάρτητα από το αν χρησιμοποιούσες VirtualBox ή VMware, όταν ένα VM είναι σε bridged networking μέσω του ενσωματωμένου wireless physical adapter, τότε αδυνατεί να πάρει IP μέσω του (φυσικού) router [*].

      Στην περίπτωση του Air, λοιπόν, προκειμένου το BackTrack VM να πάρει διεύθυνση IP *απευθείας* από τον router του τοπικού δικτύου και ασύρματα, τότε η μόνη σου λύση είναι να συνδέσεις στο laptop ένα εξωτερικό, wireless USB adapter. Από τις ιδιότητες της μηχανής, την εξωτερική αυτή συσκευή αυτή θα τη δώσεις στο VM. Το guest OS, εν προκειμένω το BackTrack, πρέπει να έχει τους κατάλληλους drivers για τον wireless adapter. Ένας adapter που δουλεύει άψογα με το BackTrack είναι η Alfa AWUS036h.

      [*] Έχοντας ψάξει παλιότερα το ίδιο θέμα, αν θυμάμαι καλά ορισμένοι router δεν έχουν πρόβλημα και δίνουν IP τόσο στο VM, όσο και στον host. Το θέμα είναι ότι δεν θυμάμαι σε ποιες περιπτώσεις συμβαίνει κάτι τέτοιο. Επίσης, ποτέ δεν έχω συναντήσει μια τέτοια "ευνοϊκή" περίπτωση.

  4. Dr.Paneas | 11/02/2013 at 12:19

    Χρήστο, παίρνει μια χαρά IP το BackTrack μου, για παράδειγμα ενώ το macbook έχει 192.168.1.9, το BackTrack παίρνει 192.168.1.8. Το πρόβλημα είναι ότι στο Macbook Air δεν διαθέτει Ethernet (eth0 ή eth1) αλλά μόνο ασύρματη σύνδεση (en0). Όταν λοιπόν τρέχω το BackTrack μέσω του VMWare η IP (192.168.1.8) δείχνει ότι βρίσκεται στο eth1, αλλά το Ettercap παρόλο που συνδέεται σωστά ενδιάμεσα στον στόχο και το router, αδυνατεί να κάνει forward με αποτέλεσμα o στόχος να μην έχει Internet.

    Εγκατέστησα λοιπόν το Ettercap και στο Mountain Lion, ώστε να δω αν είναι αδυναμία του hardware μου ή όχι. Χρησιμοποιήσα το Macports για την εγκατάσταση και όλα πήγαν καλά. Χρησιμοποιώντας πλέον το interface (en0) που αντιστοιχεί στην ασύρματη σύνδεση για το σύστημά μου, το Ettercap δούλεψε άψογα, εκτελώντας τα προκαθορισμένα + το IP forwarding.

    Αυτό που καταλαβαίνω είναι πως υπάρχει μπέρδεμα το VirtualBox σε όσους έχουν ασύρματη σύνδεση στο βασικό λειτουργικό, και επιλέγουν eth0 ή eth1 στο Virtual Machine. Σε κάθε περίπτωση, ίσως αυτός ο Adapter που αναφέρει να δουλέψει άψογα, αλλά επειδή η Apple είναι η μεγαλύτερη σκύλα με ξένο HW, δεν ξερω κατα πόσο θα δουλέψει στο MBA.

    • subZraw | 12/02/2013 at 09:58

      Αυτό που έγραψες, το ότι βλέπεις μόνο διευθύνσεις IPv6, με οδήγησε να πιστέψω ότι α) αυτές είναι self-assigned και β) δεν έχουν αποδοθεί διευθύνσεις IPv4.

      Πάντως δεν γνωρίζω αν υπάρχει θέμα με το VirtualBox και τους wireless (physical) network adapters.

      Επίσης, τον adapter της Alfa που σου προτείνω δεν χρειάζεται να τον δει το OS X. To BackTrack θέλεις να τον δει -- και τον βλέπει :) Σε δοκιμές μου, π.χ., το host computer ήταν ένας iMac με OS X 10.7.5 και το BackTrack έτρεχε σε VirtualBox VM. Δεν θυμάμαι αν το OS X έβλεπε την Alfa, το BackTrack όμως δεν είχε κανένα απολύτως πρόβλημα.

      Επειδή βέβαια με φόβισες λίγο, ας σημειώσω ότι σε MB Air δεν έχω πρόσβαση ούτε εμπειρία, δεν ξέρω τίποτε, δεν ήμουν εγώ κ.λπ. κ.λπ., επομένως YMMV :D

  5. z4rt4z | 19/03/2013 at 06:39

    σχετικα με την καταγραφη του wireshark μπορει να καταγραψει me την mitm μεθοδο cookies απο το facebook του θυματος μεσω https και να το προβάλει στον επιτηθέμενο με ενα script του greasemonkey το οποιο εισαγει cookies απο το wireshark. http://www.youtube.com/watch?v=7HMnMqzkXu4 tested

  6. Re4cTiV3 | 17/04/2013 at 17:44

    Εμενα κολλάει στο " 192.168.1.2 - - [17/Apr/2013 10:26:33] "GET / HTTP/1.1" 200 - ". Η εντολή που έτρεξα είναι "ettercap -q -T -i eth0 -P dns_spoof -M arp:remote /192.168.1.1/ /192.168.1.2/ "

    μπαίνω απο 192.168.1.2 στο facebook.com και δεν βγάζει μετά possible password στο set...

    τι μπορώ να κάνω;

  7. Re4cTiV3 | 17/04/2013 at 17:49

    σαν να γίνεται timeout o backtrack server

  8. mtriantafyllos | 08/06/2013 at 10:51

    Συγνώμη για την ενόχληση, αλλά θα ήθελα να ρωτήσω το εξής: Γιατί η μέθοδος αυτή δουλεύει μια χαρά όταν τρέχω το backTrack από VMware και ΔΕΝ δουλεύει για τους υπόλοιπους υπολογιστές του δικτύου όταν είναι το ΜΟΝΟ λειτοργικό στον ίδιο υπολογιστή? (Στον δικό μου υπολογιστή εννοώ ότι έχω κάνει format και έχω μόνο backTrack. Και τότε είναι που υπάρχει το πρόβλημα). Σκέφτομαι μήπως έχει πρόβλημα το backtrack όταν συνδέεται ΑΣΥΡΜΑΤΑ, και εννοώ ότι χάνει τη σύνδεση που και που.Ευχαριστώ.

  9. h.n.y | 08/06/2013 at 12:39

    Ρίξε μια ματιά εδώ
    http://www.backtrack-linux.org/forums/showthread.php?t=40352

  10. mtriantafyllos | 11/06/2013 at 12:40

    Όπως και ο Dr.Paneas ακριβώς, έτσι και εγώ έχω το ίδιο ακριβώς πρόβλημα. Ο στόχος ΔΕΝ έχει ιντερνετ. Το δοκίμασα ΚΑΙ σε Kali Linux με το ίδιο ακριβώς αποτέλεσμα, παρόλο που το Guest OS παίρνει κανονικά ΙΡ και συνδέεται στο ιντερνετ. Δεν το έχω δοκιμάσει για να πώ την αλήθεια όταν το λειτουργικό είναι μόνο του χωρίς κάποιο VM, αλλά δεν ξέρω εάν είναι θέμα του VMware/VirtualBox ή κάτι άλλο.

  11. stath3000 | 04/08/2013 at 16:53

    Γεια σας μου βγάζει το εξης σφαλμα: MITM attacks can't be used on uncofigured interfaces

  12. gfanaras2002 | 08/02/2014 at 01:37

    Να κανω με την σειρα μου μια ερωτηση, σε δοκιμη επιθεσης mitm σε δικο μου υπολογιστη που τρεχει eset antivirus με κοβει διοτι βλεπει ARP poisoning attack, υπαρχει τροπος να κανω mitm attack χωρις ARP spoofing μηπως και ξεγελασω το antivirus, η μηπως αυτο παραπεμπει σε blackhat τακτικες

    • subZraw | 08/02/2014 at 07:16

      Φυσικά και μπορείς :) Ο όρος MiTM είναι γενικός και ουσιαστικά πρόκειται για μια περιγραφή. Οι επιθέσεις MiTM πραγματοποιούνται με διάφορους τρόπους κι ένας εξ αυτών είναι το ARP poisoning, που έχει νόημα μόνο εντός LANs. Τώρα, σε κάποιες περιπτώσεις πράγματι υπάρχουν αντίμετρα, οπότε το ARP poisoning δεν μπορεί να πραγματοποιηθεί. Αναλόγως του τι θέλει να πετύχει ο attacker, έχει τη δυνατότητα να καταφύγει σε άλλες τεχνικές (ή τεχνάσματα). Ένα παράδειγμα: http://deltahacker.gr/2013/06/08/ubuntu-mitm-router/

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Google Site-Search

Πρόσφατα

  • Tabber

Σχόλια

Άρθρα

Θέματα

Αρχείο