Analizando Mercado Libre 20th Anniversary Gifts

-
Imagen
 Análisis de mensaje Mercado Libre 20th Anniversary Gifts. En estos días se ha estado compartiendo  un mensaje a través de la aplicación de mensajería Whatsapp, donde supuesta mente Mercado Libre regalara Gifts por su aniversario número 20 y el cual lo catalogan como Phishing. Sin embargo en mi opinión, este no es un ataque de phishing ya que la definición de este es: " El phishing es un tipo de ataque de ingeniería social que se utiliza a menudo para robar datos del usuario, incluidas las credenciales de inicio de sesión y los números de tarjetas de crédito . Ocurre cuando un atacante, disfrazado de entidad confiable, engaña a una víctima para que abra un correo electrónico, mensaje instantáneo o mensaje de texto" De acuerdo a lo anterior y en resumen, el phishing es utilizado para robar credenciales o información personal de la victima, en este caso del famoso mensaje no recolecta ningún tipo de información, unicamente solicita sea compartido con más personas para "re
Publicar un comentario

ARP Cache poisoning with Scapy python

-


Cuantos de nosotros ha escuchado hablar sobre ataques a la tabla ARP o ataques de Man In The Mitle, pues la finalidad de este post, es explicar un poco los conceptos básicos de como se llevan a cabo este tipo de ataques y/o como inician estos ataques.
NOTA: No usen el conocimiento para hacer mal a las persona, úsenlo para ampliar el conocimiento y poder aplicarlo para hacer el Internet un mundo mejor para los que vienen de tras, no sean niños ratas, ser especialista de seguridad o hacker no es de la noche a la mañana y el solo dar click a las herramientas no es suficiente.
Bueno pues sin más, espero les agrade.

¿Que es ARP?

Address Resolution Protocol por sus siglas en ingles (ARP), es un protocolo que funciona en la capa de enlace del modelo de referencia OSI o en la capa de red del modelo de referencia TCP/IP.

¿Para que sirve?

Este protocolo es el responsable de encontrar "todas" las direcciones MAC de las NICs que se encuentra conectadas en una red y relacionarlas con la dirección IP que tienen asignada.

En la mayoría de los sistemas operativos, contamos con un comando que nos permite desplegar la tabla ARP, en ella podemos observar que dirección IP tiene que MAC y viceversa. Para poder desplegar el contenido de la tabla, basta con ejecutar el comando arp -a desde la linea de comandos (cmd o terminal). 

Entradas actuales en la tabla ARP

¿Que es ARP cache poisoning attack?

Envenenamiento de la cache ARP, es un ataque bastante viejo, el cual sigue siendo hoy en día uno de los "trucos" encontrados en la caja mágica del atacante xD, el atacante hace uso de este ataque para poder "espiar" el trafico de la victima y saber a donde y con quien se esta comunicando, si esta viajando trafico sin cifrar, para capturar passwords en texto plano, etc.

¿Como funciona el ataque?

Protocolo ARP es un protocolo muuuuy viejo y dada su naturaleza no fue pensado para hacer mal alguien al contrario fue diseñado para la comunicación, por lo tanto es un protocolo que fue diseñado no pensando en la seguridad o que existirían personas mal intencionadas que usaran este para su propósito.

Imaginemos que dentro de la red hay un usuario visitando algún sitio de internet por lo que su comunicación va de la PC del usuario, pasando por el router y llegando al servidor web, el servidor web le responde su solicitud sin ningún problema. 



En la misma red se encuentra un atacante y quiere ver lo que esta visitando la victima, en la mayoría de redes LAN, se encuentran configuradas con DHCP, esto es de mucha ayuda pero igual puede ser una puerta de entrada, ya que así como asigna una dirección IP al cliente que se conecta, también le asigna su puerta de enlace predeterminada (modem o router).

El atacante dentro de la misma red consigue la dirección MAC del la puerta de enlace, la maquina envía una petición ARP al broadcast preguntando por la dirección MAC del modem el atacante realiza la suplantación de identidad de la MAC del modem, por lo que le responde al usuario que el tiene la dirección MAC, por lo que la maquina del usuario cree esto y agrega a su tabla ARP la dirección MAC e IP del atacante, BUM!!!!

La maquina del usuario al creer que el atacante es el modem o router a donde debe enviar los paquetes, esta sigue su flujo de comunicación, el atacante realiza el mismo proceso con el modem para decir que el es la maquina victima, de esta forma puede lograr hacer MITM, de esta forma la victima enviara la información, pasando por el atacante, el atacante la manda al modem, el modem al servidor web, y de regreso. De esta forma es como funciona el ataque.

NOTA: Aveces el atacante inunda la tabla ARP para causar que sea "actualizada" y de esta forma poder realizar el ataque sin problemas.


Ilustración MITM attack
Para una mayor comprensión, el siguiente diagrama muestra el proceso del ataque.



Bien, de acuerdo a la explicación anterior, procedemos hacer la demostración del ataque, para esto haremos uso de un script echo en python el cual hace uso de scapy, para los que no han escuchado sobre este, les dejo un post que escribí scapy python.

Ya se que existen herramientas que pueden ayudarnos a realizar este tipo de ataques, para el fin de este post usaremos scripts echos en python.
El script que usaremos en este post lo encontraran en mi github.

La imagen a continuación muestra la tabla ARP de una maquina virtual windows.


La dirección IP 192.168.0.1 pertenece al modem, la IP 192.168.0.22 es la IP del atacante, como pueden observar cada dirección IP tiene una dirección MAC asociada, esta no debería ser duplicada ya que "es un identificado único", sin embargo suplantaremos al modem. La dirección IP de la maquina victima es 192.168.0.17.

Utilizando el script mencionado anteriormente, debemos realizar una pequeña modificación para adaptarlo a nuestro ambiente, debemos editar el nombre de la interfaz en mi caso eth0, editar la IP del target y la IP del gateway o puerta de enlace.



Deben realizar esos ajustes sino el script no ejecutara.
Corremos el script.


Observamos que el escript configura la interfaz eth0, obtiene las direcciones MAC de las IPs mencionadas anteriormente y comienza a realizar el ataque. Vamos a la maquina victima.


Observamos que hay 2 direcciones MAC idénticas en 2 direcciones IP diferentes, BUM!!!, tenemos la tabla ARP envenenada, al finalizar la ejecución del script se generará un archivo llamada arper.pcap haciendo uso de wireshark se puede mirar el contenido de lo capturado.

Bueno hasta aquí termina este post, espero les halla gustado, si es así compartan.

NOTA: Si alguien quiere compartir su conocimiento, este Blog se encuentra abierto para quien quiera publicar algo referente a hacking, reversing, etc. Todo con el afan de enseñar y no hacer daño a nadie, el que quiera publicar me pueden contactar por Telegram como @p4y104d

by p4y104d saludo!!!!






Comentarios

Publicar un comentario

Entradas más populares de este blog

Reverse shell & Bind Shell

-
Imagen
¿Que es una Shell? En informática, el término shell se emplea para referirse a aquellos programas que proveen una interfaz de usuario para acceder a los servicios del sistema operativo. Estos pueden ser gráficos o de texto simple, dependiendo del tipo de interfaz que empleen. Los shells están diseñados para facilitar la forma en que se invocan o ejecutan los distintos programas disponibles en el computador. Cabe hacer notar que existen 2 tipos de Shell y estos son: Shells de texto común como bash, emacs, símbolo del sistema de Windows, entre otros. Shells gráfico común como GNome, KDE, XFCE, LXDE, Unity, MacOS Desktop Environment, Escritorio Windows, entre otros.   Shells 1. Reverse shell 2. Bind Shell Reverse shell Un Reverse shell es un tipo de shell en la cual el host (maquina victima) se comunica hacia el host del atacante. El host (maquina del atacante) tiene a la escucha un puerto en el cual recibirá la conexión, que va a usar, para lograr la conexión del int
Leer más

Generar Diccionarios de Ataques con Fuerza Bruta

-
Imagen
Generar Diccionarios de Ataques con Fuerza Bruta ¿Qué es un diccionario? De acuerdo a la definición, un diccionario es un catálogo de palabras de un idioma, ordenadas alfabéticamente, que proporciona su significado ortográfico y su pronunciación, separación silábica. Bueno esto es la definición ahora a lo que nos compete, estos archivos son tan importantes a la hora de hacer un ataque de fuerza bruta, si estamos realizando pentesting, es una parte necesaria en los servicios que estemos auditando y verificar la robustez, si se encuentran en algún diccionario de ataque, deseando acceso al sistema objetivo. Los diccionarios de ataque son las herramientas que debemos tener a la mano (la foto de la novia en la cartera), y si tenemos más variedad de password tendremos mayor probabilidad de acceder al sistema objetivo, se podría complicar si el verdadero password es suficientemente complejo. La definición acertada, es un intento de entrada en un sistema digital que utiliza una
Leer más

TP-LINK WN722N v2 modo monito

-
Imagen
Antena WiFi TP-LINK WN722N v2  TP-LINK WN722Nv2 Hola a todo, en este post vamos hablar un poco sobre el mito que existe sobre la tarjeta de WiFi TP-LINK WN722N v2, el cual es que no se puede poner en modo monitor. Antes de comenzar, quiero decirles que no estén triste, no hicieron una mala inversión, solo basta con investigar un poco y se encuentra la solución. El motivo del porque esta antena no se puede poner en modo monitor cuando recién la compramos, es porque el tipo de chipset el cual es RTL8188EUS, no lo soporta. Para poder dar solución al problema debemos bajar el drive "no oficial del fabricante", el cual fue modificado para permitir utilizar esta antena en modo monitor. Debemos dar gracias al usuario @kimcoder quien es el que libero el driver modificado para poder utilizarlo con kali linux. A la fecha de escribir este post el 10 de Nov del 2019, estoy utilizando la versión de Kali Linux 2019.3 con kernel 5.2.0. Bueno pues dejemos la hablada y vamos a
Leer más