DNS spoofing + SET = User data Owning ;)

Bien amigos, hoy vengo a explicar una técnica por la cual podemos hacernos con contraseñas de algunos servicios utilizados en nuestra red wifi, se trata básicamente de un phising, utilizando una página fake y falseamiento de dns ;).

Bien, vamos a utilizar dos herramientas:

Ettercap, desde Ubuntu, para instalar seguimos estos pasos:

sudo apt-get update
sudo apt-search ettercap

Nos saldrán dos opciones:

ettercap-graphical – Ettercap GUI-enabled executable
ettercap-text-only – Ettercap console-mode executable

Recomiendo utilizar la interfaz gráfica, no conseguí echarlo a andar en modo texto xD xD

sudo apt-get install ettercap-graphical

SET (social engineering tool) en Backtrack, podemos acceder así:

SET

Bien, vamos al lío, una vez dispongamos de estas herramientas, vamos a montar la web fake:

Entramos en SET como en la imagen, a continuación nos saldrá un menú, vamos a:

website attack vectors

A continuación:

Credential harvester attack method

y por último, podemos elegir dos opciones:

Web template –> nos da algunas webs fake preinstaladas, quizás un tanto antiguas
Site cloner –> Nos permite introducir la url de la web que queremos copiar 😉

En este caso elegiré Facebook 🙂

Bien, ahora vamos a ver cuál es la ip de la máquina con SET, vamos a la consola y:

ifconfig | grep inet

en mi caso la 192.168.0.100

Si ahora vamos a un navegador de la red y entramos a esa dirección, nos debe mostrar un fake de Facebook 🙂

Bien, hasta ahora hemos montado la primera parte del ataque, vamos a ver como hacer el dns spoofing.

Vamos a la consola (ya en ubuntu) y tecleamos:

sudo gedit /usr/share/ettercap/etter.dns

Nos aparecerá un archivo de configuración, y buscamos estas lineas

facebook.com A 192.168.0.100
*.facebook.com A 192.168.0.100
http://www.facebook.com PTR 192.168.0.100 # Wildcards in PTR are not allowed

192.168.0.100 es la dirección donde dejamos corriendo SET con la página fake ;), estas lineas lo que vienen a decir es que cuando el usuario teclee facebook.com en su browser, lo llevará a 192.168.0.100.

Ahora corramos la aplicación:

sudo ettercap -G

Aparecerá la interfaz gráfica de la aplicación, ahora seguimos los siguientes pasos:

Sniff –> Unified Sniffing –> Elegimos interfaz
Hosts –> Scan for hosts –> Escanea los host de la red
Hosts –> Host List –> Seleccionamos la ip de la víctima y pulsamos “add to target1”, añadimos la ip del router a target2 😉

mitm –> arp poisoning –> activar solo “Sniff remote connections”
Plugins –> Manage de plugins –> Nos sale una lista de plugins –> Seleccionamos dns_spoofing
Start –> Start sniffing

Tardará un rato en activarse el dns_spoofing, así que si al principio no funciona probad algún minuto más tarde 😉

Ejemplo hecho con microsoft.com, no con facebook 😉
dns_spoofing

Al cabo del rato, si el pc de la víctima entra en http://www.facebook.com, será redirigido a la máquina 192.168.0.100, y claro, tan inocentemente, introducirá sus datos 😀

Ahora en la consola de SET nos aparecerá algo así, como podemos ver “usuario” y “password” son los datos del login 😉

SET

NOTA: si al empezar a sniffar, la víctima se queda sin conexión (se ha producido un DOS), debemos hacer lo siguiente:
sudo nano /proc/sys/net/ipv4/ip_forward

Cambiamos el 0 por 1 y guardamos, con esto conseguimos que el tráfico que llega a la máquina que hace el MITM sea redirigido a su destino 😉

Comentad para cualquier cosa 😉

HackSaludos!!

Anuncios

Acerca de Darkvidhck

Estudiante de ingeniería informática, haciendo mis pinitos como desarrollador web, programador, gamer y Linuxero. Aficionado a la seguridad. Eterno viciado al conocimiento.
Esta entrada fue publicada en Seguridad y etiquetada , , , , , . Guarda el enlace permanente.

5 respuestas a DNS spoofing + SET = User data Owning ;)

  1. Pingback: Explotando sistemas a través del navegador | EncodingTheCode

  2. criskros dijo:

    ami me ocurrio un (Dos) pero cuando entro a la dirrecion esa “nano” no me muestra nada :S

  3. Quiero.descargar esto pero no puedo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s