Mostrando entradas con la etiqueta Redes. Mostrar todas las entradas

Intercepter-NG

 Intercepter-NG nos permite capturar tráfico en nuestra red, analizarlo (emulando al gran Wireshark con muchísimas menos opciones), ver cookies o realizar ataques más complejos (SSLStrip).

La aplicación nos presenta un diseño por pestañas, para que, una vez escogidos nuestros objetivos, aprovechar las distintas funciones que ésta ofrece. Lo primero que haremos sera buscar en la red los equipos conectados, para ello pulsamos el "radar" que aparece en la parte superior izquierda y empezarán a aparecer los equipos de la red:


Una vez seleccionados los objetivos pulsamos en la flecha verde (izquierda superior derecha), con lo que ya estaremos en el menú de pestañas. Aquí se nos presentan las distintas opciones que nos ofrece la herramienta, la primera de ellas y necesaria para que el resto funcione es el Arp Poisoning (pulsando el botón play):

 

  Este nos mostrará las páginas a las que accede la víctima:


En la segunda pestaña (cuyo icono recuerda al de la herramienta Wireshark) obtenemos una visión del trafico similar a la del famoso sniffer:


La tercera posibilidad que se nos ofrece es el ver las cookies interceptadas:


  Por último nos muestra un panel de opciones donde podemos escoger funcionalidades añadidas como realizar un ataque de SSLstrip o salvar la captura en un archivo:


Y esto es todo, una aplicación interesante que nos permite llevar un completo sniffer en nuestros dispositivos.

Sniffing con Wireshark

Introducción.

Wireshark es un analizador de paquetes de red, comúnmente llamado sniffer.
Es utilizado por administradores de redes para ver todo el tráfico que está pasando en un momento específico.
Una de las ventajas que tiene, es que es open source y multiplataforma.
Wireshark ofrece distintos tipos de filtros para leer los paquetes. Captura a demás cookies y passwords que veremos a continuación en este paper.
Para instalar wireshark simplemente hay que ir a su página oficial y descargarlo.
http://www.wireshark.org/download.html
Desde linux, se puede descargar desde la consola.

Sudo apt-get install wireshark

Partes de Wireshark

Enumere las partes más importantes del Wireshark para describirlas por separado.
1 – Muestra un listado de las interfaces disponibles que podemos poner a la escucha de paquetes.
2 – Permite configurar algunos parámetros de nuestra interface
3 – El filtro permite filtras paquetes separándolos por IP, protocolos, etc
4 – Listado de paquetes. Muestra un resumen de los paquetes capturados, presionando con el otro botón del mouse se listaran opciones disponibles para manejarlos a gusto.
5 – Panel de vista en Árbol. Muestra el paquete seleccionado con mayor detalle.
6 – Panel de detalle  de los datos. Muestra los datos del panel superior en formato hexadecimal y ascii

También podemos ver en el menú superior las siguientes opciones:

File: Contiene las funciones para manipular archivos y para cerrar la aplicación Wireshark.
Edit: Este se puede aplicar funciones a los paquetes, por ejemplo, buscar un paquetes especifico, aplicar una marca al paquete y configurar la interfaz de usuario.
View: Permite configurar el despliegue del paquete capturado.
Go: Desde acá podemos ir a un paquete especifico, volver atrás, adelante, etc.
Capture: Para iniciar y detener la captura de paquetes.
Analyze: Desde analyze podemos manipular los filtros, habilitar o deshabilitar protocolos, flujos de paquetes, etc.
Statistics: Podemos definir u obtener las estadísticas del trafico capturado.
Telephony: Trae herramientas para telefonía.
Tools: Opciones para el firewall
Internal: Parámetros internos de Wireshark
Help: Menú de ayuda.

Primeros pasos con Wireshark

Una vez instalado, lo abrimos y presionamos sobre el icono marcado en rojo en la imagen

Esto nos permitirá seleccionar nuestra tarjeta de red que pondremos a la escucha de paquetes.

Para saber que tarjeta poner a la escucha, debemos observar cual es la que recibe paquetes.
Se puede observar en la imagen que en mi caso es la wlan0. Una vez identificada, damos en Start para comenzar.
Automáticamente el programa comenzara a capturar paquetes de todos los hosts conectados a la red.
Ahora navegare un poco con mis ordenadores por internet para ver que podemos capturar.

Les mostrare un ejemplo de cómo se manifestó mi wireshark cuando hice un apt-get install en la consola de Linux

Ahí podemos ver de que ip a que ip se mueven los paquetes y porque protocolo. A demás de esto podemos ver el contenido del paquete que lo veremos más adelante en este mismo paper.
Si observamos la imagen, hay una caja de texto llamada Filter.

Esa caja de texto, como bien dice su nombre, permite filtrar paquetes. Y ahora veremos algunos de los filtros que posee Wireshark para que podamos usar este sniffer de una forma más eficiente.
En el filtro se pueden usar operadores lógicos como los siguientes:
== (Igual que)
> (Mayor que)
< (Menor que)
!= (Distinto que)
>= (Mayor o igual que)
<= (Menor o igual que)
Basándome en el paper de Datasecurity, les dejo a continuación los parámetros más usados en este sniffer

Filtros por IP

[En todos los ejemplos, reemplazar 0.0.0.0 por la ip a filtrar]
ip.addr = = 0.0.0.0
ip.addr = = 0.0.0.0 && ip.addr = = 0.0.0.0 (Para filtrar más de una IP )
ip.addr = = 0.0.0.0 || ip.addr = = 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)
Para filtrar paquetes de la fuente en direcciones IPv4 especificas:
ip.src == 0.0.0.0
ip.src == 0.0.0.0 && ip.src == 0.0.0.0 (Para filtrar más de una IP )
ip.src == 0.0.0.0 || ip.src == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)
Para filtrar paquetes del destino en direcciones IPv4 especificas:
ip.dst == 0.0.0.0
ip.dst == 0.0.0.0 && ip.dst == 0.0.0.0 (Para filtrar más de una IP )
ip.dst == 0.0.0.0 || ip.dst == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)
Nota: Para direcciones IP v6 utilice: ipv6.addr, ipv6.src, ipv6.dst, etc.

Para filtrar paquetes del protocolo ARP entre:
arp.src.proto (dirección del protocolo de la fuente)
arp.src.hw (dirección hardware de la fuente)
arp.dst.hw (dirección hardware del destino)
arp.src.hw_mac (dirección MAC de la fuente)
arp.dst.hw_mac (dirección MAC del destino)
arp.src.proto_ipv4 (dirección IPv4 de la fuente )
arp.dst.proto_ipv4 (dirección IPv4 del destino)
Para filtrar paquetes del protocolo Ethernet:
eth.dst == ff:ff:ff:ff:ff:ff (dirección MAC)
eth.src == ff:ff:ff:ff:ff:ff (dirección MAC)
eth.addr == ff:ff:ff:ff:ff:ff (dirección MAC)
Veremos un ejemplo con uno de los filtros: ip.addr == 192.168.1.37

En este caso me debería mostrar los paquetes correspondientes a la ip 192.168.1.37
Se puede ver en verde también 192.168.1.1 y esto es porque hace petición al router.

Filtro por protocolo

Como vimos hasta ahora, este filtro es muy poderoso, pero se darán cuenta de su potencial ahora que filtraremos por protocolo.
Algunos de los filtros son estos: tcp, http, pop, dns, arp, ssl, etc.
Con un Sniffer podemos obtener datos muy importantes. Desde cookies hasta usuarios y contraseñas. A modo ejemplo, abriré un FTP y veremos lo que hace nuestro Wireshark:

Como se puede ver, solo filtre el protocolo FTP. Y tambien notaremos que sacó mi user y pass del FTP.
Veremos ahora otros de los protocolos que suele capturar. En este caso hare un ping a mi blog www.antrax-labs.org

La imagen muestra el protocolo DNS e ICMP. Que si los añadimos en la caja de texto de filtro, nos los filtrara.
Aquí tenemos filtro por DNS

Cabe aclarar que cada protocolo tiene un color diferente (que puede modificarse a gusto) para resaltarlos y distinguirlos con mayor facilidad.

Otros filtros

Veremos ahora otros filtros de gran utilidad, como este otro que nos permite filtrar por dominio o host
http.host == “DOMINIO”
Acá lo que hice fue poner la url de facebook y robo mi cookie. Veremos ahora un ejemplo con otra web, pero filtrando nada más que el protocolo TCP:

Se puede ver de qué ip privada navego hacia que ip publica. En este caso, la ip pública es la del foro infiernohacker y abajo muestra la url de referencia.

Otras opciones de Wireshark

Veremos ahora algo que se llama Go to Packet o ir al paquete. Para usar esta opción basta con ir a GO >> Go to Packet en el menú de la barra superior.
Permite ir a un número de paquete que especifiquemos en el cuadro de texto.

Otras de las opciones muy útiles que tiene Wireshark es la de poder mostrar en formato ascii la lectura de los paquetes capturados para poder así facilitar su entendimiento
Para ir a esta opción colocamos en el filtro HTTP y solo basta con clickear con el botón secundario del mouse y seleccionar Follow TCP Stream

Como se puede ver, se ve mucho más entendible el código y permite tambien pasarlo a Hexadecimal, C Array etc.

Espero que les haya sido de utilidad

ANTRAX

Incrementar potencia WIFI de un portatil sin antena

En este caso les traigo un pequeño truco para incrementar la potencia de la señal de interfaces inalambricas.
Lo que tenemos que hacer es ir a Inicio > Panel de control > Sistema

Vamos a la pestaña Hardware como muestra la imagen y a continuacion entramos a el Administrador de Dispositivos.

En la lista de controladores, desplegamos el que se llama Administradores de Red.
Veremos seguramente dos controladores, como muestra la imagen. 
Al que dice Wireless, lo clickeamos con el otro boton del mouse y vamos a Propiedades.

Nos dirigimos a las Opciones Avanzadas y al que dice Power Level lo incrementamos al 100%
Puede haber una alternativa, y en lugar de decir Power Level, dice algo de Ahorro de energia que en su defecto seria algo similar.

Espero que les sirva!

Cambiar la MAC digital de una PC manualmente [Windows]


1. Vamos al [Panel de Control] de Windows –> [Conexiones de red].
 
2. Hacemos doble click en nuestra conexión 
 3. Click en Propiedades 
Y luego en Configuracion

4. Luego vamos a la pestaña Avanzada u Opciones Avanzadas.
5. Dentro de la pestaña buscamos el campo “Network Address” y especificamos el valor hexadecimal que tendrá como dirección MAC nuestra placa.

Y con esto ya tendremos una nueva dirección de MAC
El problema de este último método es que no todas las placas de red nos permiten modificar el MAC Address.

Cambiar la MAC digital de una PC con EtherChange [Windows]


    * Primero que nada necesitaremos el EtherChange

Descarga oficial: http://www.ntsecurity.nu/downloads/etherchange.exe
Mirror: http://elgeek.com/files/etherchange.exe

    * Ahora se procede a ejecutar el programa, y tendremos algo asi:
1. Seleccionamos el adaptador de red correspondiente (placa de red).
2. Tipeamos “1? para especificar una nueva dirección ethernet, o sea MAC Address.
3. Escribimos la nueva MAC Addres sin comas, guiones o cualquier tipo de separadores.

Listo! Ahora solo resta reiniciar el ordenador para habilitar la nueva MAC Address.
Suscribirse a: Entradas (Atom)