VULNERABILIDAD MESSERGER_ARP SPOOFING_INTERCEPTAR Y MODIFICAR CONVERSACIONES

8/7/2019 VULNERABILIDAD MESSERGER_ARP SPOOFING_INTERCEPTAR Y MODIFICAR CONVERSACIONES

1/18

VULNERABILIDAD MESSENGERARP SPOOFING - INTERCEPTAR Y MODIFICAR CONVERSACIONES

JOHANA CANO HERNNDEZGRUPO: 38110

NSTRUCTORFERNANDO QUINTERO

CENTRO DE SERVICIOS Y GESTIN EMPRESARIALADMINISTRACION DE REDES DE CMPUTO

MEDELLNSENA2011


2/18

VULNERABILIDAD MESSENGERARP SPOOFING - INTERCEPTAR Y MODIFICAR CONVERSACIONES

Esta vulnerabilidad esta principalmente basada en la ejecucin de un script atacando a laAplicacin MSN para interceptar y modificar una conversacin que se est planteando entre dosusuarios independientes, esto vulnera la seguridad de la informacin que se est transmitiendo atravs de la red, tambin est violando la CONFIDENCIALIDAD e INTEGRIDAD de cada uno de losusuarios ya que el atacante se est dando cuenta de lo que cada uno de los mismos escribe y envaa segn los parmetros que se hayan especificado y modifica los datos que se estn transmitiendo,es decir, se cambian los mensajes a la voluntad de la persona maliciosa. Es posible engaar a unhost dentro de una red dicindole que la direccin MAC con quien se quiere comunicar sea un tercerhost, producindose as una redireccin del trfico del host origen al host destino verdadero con elfin de funcionar transparentemente en la comunicacin de ambos y observando todo lo que se dicen.Este tipo de ataque se conoce como Hombre en medio o Man In The Middle.

Para esta prctica vamos a utilizar tres maquinas virtuales (dos Windows XP y un Backtrack). Comoprimer paso vamos a verificar las direcciones IP de cada una de los equipos.

WINDOWS XP 1 (VICTIMA 1)


3/18

BACKTRACK (ATACANTE)

WINDOWS XP (VICTIMA 2)


4/18

Estando en la maquina Backtrack vamos a crear un filtro que le diga al programa como encontrar lapalabra que queremos interceptar y como cambiarla. Lugo lo vamos a traducir para que utilice el

filtro propiamente dicho. Vamos a implementar la herramienta del Backtrack Ettercap. La cual nospermite hacer un Spoofing ARP que es la finalidad de esta vulnerabilidad. Como primer paso vamosa crear un archivo de texto en el escritorio y lo llamaremos filtrotxt.


5/18

Ya creado el archivo, ahora pasamos a abrirlo para anexar la informacin.


6/18

Ahora vamos a empezar a programar el filtro y vamos a editar las siguientes sentencias:

If (ip.pro == TCP && search(DATA.data, hola)): Esto significa que SI el protocolo de IPes TCP y adems si llamo la funcin bsqueda y le doy los parmetros de DATA.data ybusco dentro de la misma y encuentro la palabra holava a suceder algo.

{. Replace(hola , chau);: Abrimos la llave para especificar que si lo anterior secumple se va a reemplazar la palabra hola por la palabra chau.

Msg(cambio realizado :p .\n);}: Cuando lo anterior se cumpla me lance un mensajedentro de la herramienta diciendo cambio realizado mas una carita feliz sacando la lengua,

el salto de lnea y se cierra la funcin con la llave.


7/18

Ahora como siguiente paso cerramos para que el archivo guarde lo que hemos configurado.

Nos dirigimos a la consola, estando all vamos a ejecutar el comando pwd para saber en qu

directorio estamos parados, como podemos observar en la siguiente imagen nos encontramos del

root, luego damos el comando ls para listar todos los archivos que all se encuentren; en estedirectorio podemos ver el archivo .txt que creamos anteriormente.


8/18

Luego vamos a utilizar el comando Etterfiltersin ningn parmetro, como podemos visualizar en lasiguiente imagen nos dice No source file, esto quiere decir que no tiene un archivo de origen.

Debemos colocarle un determinado parmetro a este comando para que nos pueda funcionar, en

este caso sera el parmetro del archivo de origen (filtrotxt) y la opcin -o que significa el archivode salida, es decir, luego debemos especificar el nombre del nuevo archivo filtro.ef ; ahora

ponemos a correr el comando y nos dice que lo hemos codificado exitosamente.


9/18

Ahora vamos a hacer un listado para ver que efectivamente creo el archivo, ahora vamos a copiar el

archivo filtro.ef a la carpeta donde se encuentra el Ettercap que es en /usr/share/ettercap/,despus nos dirigimos a esa ruta para verificar que efectivamente lo hemos copiado correctamente.

Despus vamos a ejecutar el comando ettercap que es la herramienta que nos permite hacer

ataques de hombre en el medio y hacer un sniffers (capturar tramas) en la red, esto permite quetodos los paquete le lleguen al atacante o al Man In The Middle para filtrarlos y ejecutar algunasoperaciones mediante el script que hemos hecho (filtro.ef). Al usar este comando debemosespecificar algunas opciones, entre las cuales se encuentran:

-T: Esta opcin es para que sea modo texto. -q: Esta se utiliza para que sea modo silencioso. -p: Esta opcin es utilizada para el modo promiscuo, es decir cuando un computador

conectado a la red captura todo el trfico que circula por la misma. -F: Esta opcin es utilizada para especificar el filtro. -M: Esto significa que estamos haciendo un ataque de tipo Man In The Middle (Hombre en

medio). ARP-remote: Este es el modo en el que se va hacer el ataque, es de forma remota. //: Significa la separacin o la finalidad de los parmetros. /192.168.1.65: Con esto estamos especificando la direccin IP de la victima (Windows XP

victima 1)/. Por ltimo damos ENTER para lanzar el ataque.


10/18

A continuacin podemos observar que efectivamente nos ha funcionado, el porcentaje que vemos

all es la fase del scaneo, este verifica cuantos host o cuantas maquinas tiene la red que este casoha escaneado cuatro y empezar a hacer en envenenamiento ARP (ARP SPOOFING).


11/18

Ahora, como siguiente paso nos dirigimos a las maquina Windows para abrir las sesiones en el

Messenger, en este caso vamos a utilizar dos usuarios llamados Johana y Felipe; en el equipo192.168.1.65 vamos a iniciar la sesin de Johana y en el equipo 192.168.1.67 iniciaremos la sesinde Felipe como podemos observar en las siguiente dos imgenes.

WINDOWS XP (Victima 1) 192.168.1.65

WINDOWS XP (Victima 2) 192.168.1.67


12/18

Como siguiente paso vamos a iniciar una conversacin entre los dos usuarios, para este caso el

usuario Johana va a iniciar la conversacin diciendo las letras aaaaaa, inmediatamente el usuario

Felipe recibe el mensaje, este mismo le escribe las letras bbbbbb; con esto estamos demostrando

que efectivamente los mensajes estn llegando bien.


13/18

Ahora Felipe le responde a Johana Hola que tal y esta misma le escribe Hola como estas?.

Con esto estamos verificando con mensajes coherentes que la conversacin est llegando

correctamente.


14/18

Ahora como siguiente paso vamos el usuario Felipe le dice nuevamente a Johana hola Johana, y

como podemos observar en las siguientes dos imgenes efectivamente est funcionando el ataque,

la palabra hola fue reemplazada por la palabra chau. Esto se debe al mensaje interceptado que

realizamos en el Backtrack, el Ettercap est recibiendo todos los ataques y los intercambia con elscript que hemos puesto en el Etterfilter. El usuario Johana recibe un mensaje falso que es chau

Johana en vez de recibir el mensaje original que es hola johana y viceversa.


15/18

Ahora haremos la prueba del usuario Johana hacia el usuario Felipe.


16/18

Este ataque funciona para los dos usuarios ya que le hemos puesto el M Man In The Middle, eneste caso es FULL-DUPLEX (enviar y recibir mensajes de forma simultnea).Ahora nos vamos a dirigirnos al equipo Backtrack en donde podemos visualizar el mensaje que

habamos puesto en el filtro para que apareciera cada vez que los cambios en la conversacin se

hayan realizado cambio realizado :p.

NOTA: Es importante tener en cuenta que el script que hemos realizado solo va a funcionar si elusuario escribe el mensaje en letras minsculas, si las escribe en letras maysculas no va a

funcionar porque no tienen el mismo valor y esto es traducido acdigos ASCCII; Es por ello que si

queremos que este script funcione de las dos maneras debemos configurar nuevamente y poner lapalabras tanto en maysculas como en minsculas.

Veamos en la siguiente imagen como vamos a probar con maysculas y minsculas un mensaje y

efectivamente nicamente obedece al script de las que estn en minscula por que la que tiene

mayscula no cumple con la funcin.
http://es.wikipedia.org/wiki/ASCIIhttp://es.wikipedia.org/wiki/ASCIIhttp://es.wikipedia.org/wiki/ASCIIhttp://es.wikipedia.org/wiki/ASCII


17/18


18/18

Nuevamente aparece en el Backtrack loa cambios realizados que es la otra instruccin que le

pusimos al script y que nos informa que todo est funcionando correctamente.

IMPORTANTE: Este ataque puede ser implementado para modificar y tener conocimientode todos los mensajes que intercambian varios usuarios, para este caso se configur

nicamente las palabra hola, pero efectivamente podemos configurar el script en el que

especifiquemos lo que se quiere modificar o lo que queremos que reciba cada uno de los

usuarios participantes.

Documents

VULNERABILIDAD MESSERGER_ARP SPOOFING_INTERCEPTAR Y MODIFICAR CONVERSACIONES