Jorge García Delgado. 5.b.1- Cain & Abel Windows. A. Introducción

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Jorge García Delgado. 5.b.1- Cain & Abel Windows. A. Introducción"

Josefina Río Torres
hace 8 años
Vistas:

1 5.b.1- Cain & Abel Windows A. Introducción Cain & Abel es una herramienta de recuperación de contraseña para los sistemas operativos Microsoft. Permite una fácil recuperación de los diversos tipos de contraseñas por inhalación de la red, craqueo contraseñas encriptadas utilizando Diccionario, fuerza bruta y ataques Criptoanálisis, grabación de conversaciones VoIP, decodificación revueltos contraseñas, recuperación de claves de red inalámbrica, revelando cuadros de contraseña, destapando contraseñas depositadas y analizando de enrutamiento protocolos. El programa no explota ninguna vulnerabilidad de software o los errores que no se podrían fijar con poco esfuerzo. Cubre algunos aspectos de seguridad / presente debilidad en las normas de protocolo, los métodos de autenticación y el almacenamiento en caché mecanismos, cuya misión principal es la recuperación simplificada de contraseñas y credenciales de varias fuentes. B. Instalación 1.- Instalamos el programa, tras ello nos pide instalar otro software necesario para el funcionamiento del sniffer, el cual también instalamos.

de conversaciones VoIP, decodificación revueltos contraseñas, recuperación de claves de red inalámbrica, revelando cuadros de contraseña, destapando contraseñas depositadas y analizando de

2 2.- Aquí vemos un pantallazo de la interfaz del programa. 3.- Lo que vamos hacer con este programa es hacer que los datos que circulan en la red pasen por nuestra interfaz de red para ser capturados. Emplearemos además dos técnicas ARP Spoofing y DNS spoofing, donde se realizan acciones como sniffer, MITM (Man in the Middle), Spoofin, y Pharming.

pasen por nuestra interfaz de red para ser capturados.

C. ARP Spoofing ARP Spoofing, también conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que puede

3 C. ARP Spoofing ARP Spoofing, también conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que puede permitir al atacante husmear paquetes de datos en la LAN (red de área local), modificar el tráfico, o incluso detener el tráfico (conocido como DoS: Denegación de Servicio). 1.- Lo primero que hay que realizar es capturar datos, para ello nos dirigimos a la pestaña /configure /Sniffer y en esta seleccionamos la interfaz de red a utilizar, en mi caso esta: 2.- Ahora nos dirigomos a la pestaña ARP (Arp poison Routing), en la vamos a cambia la dirección MAC de la interfaz de red, para ello damos sobre Use Spoofed IP and MAC addresses, y se cambia automáticamente.

- Lo primero que hay que realizar es capturar datos, para ello nos dirigimos a la pestaña /configure /Sniffer y en esta seleccionamos la interfaz de red a utilizar, en mi caso esta: 2.

3.- Ahora vamos a reiniciar el sniffer, para ello simplemente lo apagamos y encendemos dando sobre el icono Start/Stop Sniffer, que vemos en la imagen. 4.

4 3.- Ahora vamos a reiniciar el sniffer, para ello simplemente lo apagamos y encendemos dando sobre el icono Start/Stop Sniffer, que vemos en la imagen. 4.- Ahora nos dirimos a la pestaña Sniffer y hacemos clic con el botón derecho en esa misma ventana y seleccionamos Scan MAC Adresses y a continuación, seleccionamos All hosts in my Submet y también marcamos All Test, con esto escaneamos toda la red por completo. 5.- Ahora en la pestaña inferior con nombre ARP, hacemos clic. Debemos marcar el icono que podemos observar en la parte de arriba con el símbolo:

- Ahora nos dirimos a la pestaña Sniffer y hacemos clic con el botón derecho en esa misma ventana y seleccionamos Scan MAC Adresses y a

5 6.- Como vemos en la imagen se han obtenido las IP, MAC, y nombre de host y compañía de los equipos en la red. 7.- Ahora situándonos bajo la pestaña ARP, damos sobre el icono del + de color azul, ya que vamos a agregar el router para capturar todo el tráfico, nos colocamos entre el router y los host de la red (MITM). 8.- Tras esto activamos el ARP, dando sobre el icono que se muestra en la imagen.

- Ahora situándonos bajo la pestaña ARP, damos sobre el icono del + de color azul, ya que vamos a

9.- Ahora analizaremos los datos, para ello nos dirigimos a la pestaña Password para observar los campos capturados. En la imagen vemos un ejemplo de los campos de usuario y password obtenidos.

6 9.- Ahora analizaremos los datos, para ello nos dirigimos a la pestaña Password para observar los campos capturados. En la imagen vemos un ejemplo de los campos de usuario y password obtenidos. Estos nombres de usuario y claves están encriptadas. Tambien observamos que se han capturado bajo el protocolo HTTPS (es el protocolo seguro de HTTP) lo que significa que son datos de páginas web a las que accede el usuario Tambien podemos analizar los certificados obtenidos, para ello nos dirigimos a la pestaña /sniffer / ARP. Se puede obtener el contenido del certificado y usarlo, pero no explicare como, en este trabajo.

Tambien observamos que se han capturado bajo el protocolo HTTPS (es el protocolo seguro de HTTP) lo que significa que son datos de páginas web a las que

7 11.- Si recordamos las contraseñas y usuario obtenidas antes estaban encriptadas, pues bien este programa posee un cracker que te permite desencriptar las contraseñas. Para ello nos dirigimos a la pestaña superior Sniffer e inferior Passwords, abrimos el menú contextual de las contraseñas obtenidas y le damos a Send to Cracker, para enviarlas a desencriptar. Una vez hecho lo anterior nos dirigimos a la pestaña superior Cracker y abrimos el menú contextual de las contraseñas y usuario enviados aquí antes, y seleccionamos el tipo de ataque para obtener en claro los datos.

Para ello nos dirigimos a la pestaña superior Sniffer e inferior Passwords, abrimos el menú contextual de las contraseñas obtenidas y le damos

8 DNS Spoofing DNS Spoofing: Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-ip" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-ip de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el caché DNS de otro servidor diferente (DNS Poisoning). 1.- Lo primero que hay que realizar es capturar datos, para ello nos dirigimos a la pestaña /configure /Sniffer y en esta seleccionamos la interfaz de red a utilizar y a la pestaña ARP (Arp poison Routing), vamos a cambia la dirección MAC de la interfaz de red, para ello damos sobre Use Spoofed IP and MAC addresses. 2.- Ahora vamos a reiniciar el sniffer, para ello simplemente lo apagamos y encendemos dando sobre el icono Start/Stop Sniffer, que vemos en la imagen. Tras esto encendemos también el ARP, dando sobre el icono amarillo que se muestra en la imagen.

Esto se consigue falseando las entradas de la relación Nombre de dominio-ip de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco

3.- Nos dirigimos a la pestaña superior Sniffer y dentro de esta en la parte inferior en ARP, ahora debemos situarnos sobre la casilla ARP-DNS y darle a ratón derecho y seleccionar Add to list. 4.

9 3.- Nos dirigimos a la pestaña superior Sniffer y dentro de esta en la parte inferior en ARP, ahora debemos situarnos sobre la casilla ARP-DNS y darle a ratón derecho y seleccionar Add to list. 4.- Se abre una ventana donde escribimos el nombre DNS que escribirá el host, y la IP a la que será redirigido el nombre de dominio. Si no sabemos la IP a la que queremos enviarlo, le podemos dar a resolver escribir el nombre de otro dominio y nos devolverá su ip.

- Se abre una ventana donde escribimos el nombre DNS que escribirá el host, y la IP a la que será redirigido el

10 Desde otro ordenado he escrito el nombre de dominio usado anteriormente, para redirigirlo a y ha funcionado perfectamente. NOTA: Cain y Abel también se puede utilizar para crackear passwords de redes inalámbricas con cifrado WEB y WPA/WPA2.

11 5.b.2.- ArpWatch GNU/Linux ARP Watch es una herramienta para sistemas linux que nos puede ayudar a detectar el envenenamiento ARP en nuestro sistema operativo. Con esta herramienta podemos comprobar la correspondencia entre pares (IP/MAC). en el caso en que se esté provocando un ataque ARP Watch manda un correo de notificación a la cuenta administrador del sistema. También puede detectar nuevos host en la red (si alguien falsifica su IP/MAC para hacer un ataque de envenenamiento ARP). # usage: arpwatch [-dn] [-f datafile] [-i interface] [-n net[/width [-r file] [-u username] [-e username] [-s username] # cat /etc/sysconfig/arpwatch # -u <username> : defines with what user id arpwatch should run # -e < > : the < > where to send the reports # -s <from> : the <from>-address OPTIONS=" " 1.- Instalamos el programa con el comando: #apt-get install arpwatch 2.- Una vez instalado deberemos editar el fichero de configuración, que está en /etc/arpwatch.conf, para que mire nuestra subred y nos envíe las alertas. Para esto, añadimos una línea dentro del fichero que ponga: eth0 -a -n / Para que nos envíe las alertas, tenemos muchas formas. Una de ellas es configurarlo para que nos mande un mail, añadiendo al fichero /etc/arpwatch.conf una línea que ponga: eth0 -a -n /24 -m usuario@dominio.es 4.- Esta es la pinta que tienen las alertas recibidas cuando aparece un nuevo equipo:

en el caso en que se esté provocando un ataque ARP Watch manda un correo de notificación a la cuenta administrador del sistema.

Documentos relacionados

PRACTICA 6.1 Wireshark, NMAP Caín & Abel Caín & Abel

PRACTICA 6.1 Wireshark, NMAP Caín & Abel Caín & Abel PRACTICA 6.1 La monitorización del tráfico de red es un aspecto fundamental para analizar qué está sucediendo en la misma, y poder tomar precauciones y medidas de seguridad en la misma. Herramientas como