Este laboratorio complementara el anterior «Ingenieria Social LAB-1 Phishing con SET» asignaremos por medio de un servidor intermedio la ruta dns para nuestro equipo victima.
Para entender de mejor forma este tipo de ataque, explicare algunas cosas que se deben conocer para comprender el funcionamiento de un DNS Spoofing
¿Que es un DNS y como funciona?
DNS Domain Name System (sistema de nombres de dominio) es la tecnología que permite la resolución de nombres en direcciones IP, de esta forma no es necesario para el ser humano recordar las direcciones IP de cada sitio que desee visitar, solo basta con saber el nombre FQDN, para poder conectarse.
En la imagen se presenta un esquema basico de una consulta DNS, donde el cliente envia la solicitud del dominio http://blog.xentech.cl, a su ISP y a su vez el ISP le consulta al servidor DNS, el servidor DNS le entrega la IP asociada a http://blog.xentech.cl, el ISP busca la IP y le presente al cliente lo solicitado, para el usuario todo esto pasa en fraccion de milisegundos y es completamente transparente para el.
DNS Spoofing, es un método para alterar las direcciones de los servidores DNS que utilizara la potencial víctima, y de esta forma poder tener control sobre las consultas que se realizan. Se trata del falseamiento de una relación «Nombre de dominio <==> IP» ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Esta tecnica esta entre las tecnicas de MITM.
En la imagen se presenta un esquema del comportamiento de un DNS Spoofing, donde el cliente envía la solicitud del dominio http://blog.xentech.cl, a su ISP y a su vez el ISP le consulta al servidor DNS, PERO!!!! entre el servidor DNS y el ISP existe un servidor intruso el cual desvía el trafico, este servidor intruso le entrega la ip a donde quiere dirigir la consulta al ISP y este se la entrega al cliente, el cual sin saber que se esta conectando a una dirección falsa hara acceso a una trampa. Para el usuario todo esto pasa en fracción de milisegundos y es completamente transparente para el. El usuario en realidad se conectara a una pagina web falsa y estará dentro de la red del atacante, por lo que se podrá robar su trafico, infectarlo y todo tipo de información importante.
Ettercap
Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrada al vuelo, aun manteniendo las conexiones sincronizadas, gracias a su poder para establecer ataques Man-in-the-middle(Spoofing). Ettercap es el conjunto de muchos modos de sniffing los cuales fueron implementados para darnos un conjunto de herramientas poderosas para tareas de pruebas de sniffing.
Configuracion de ettercat
En el laboratorio anterior clonamos la pagina web-login de facebook, pero nos encontramos con la dificultad de que el enlace debía ser enviado, y que para alguien que conoce un poco como funciona una url se dará cuenta que le estamos enviando una IP y no un login a la pagina de facebook. Configuraremos ettercap para que este asigne un DNS falso y lo enviaremos a nuestra victima.
Aqui usaremos el servidor con kali y la victima sera nuestro servidor windows7(si es windows es victima)
1.- editar archivo etter.dns en el directorio /etc/ettercap
vim /etc/ettercap/etter.dns
Agregaremos al archivo las siguientes rutas, ojo! la IP a configurar es la de su KALI
facebook.com A 192.168.254.154 *.facebook.com A 192.168.254.154 wwww.facebook.com PTR 192.168.254.154
2.- Ejecutar ettercap Applications ==> Sniffing & Spoofing ==> ettercap-graphical
3.- Dentro de ettercap pinchar en Sniff ==> Unified Sniffing y establecer nuestra Interfaze de red
4.- Escanear los host Hosts ==> Scan for Hosts
5.- Listar los host Hosts ==> Host list
6.- Del listado desplegado seleccionar el gateway y presionar Add Target 1
7.- Seleccionar del listado la dirección IP de nuestra victima y presionar en Add to Target 2
8.- Activar el plugins de Plugins ==> Manage the plugins y marcar con dos click *dns_spoof
9.- Activar el sniffing que ocuparemos para las conexiones remotas en este caso como comentamos al inicio sera un ataque man in the middle Mitm ==> Arp poisoning y clikear en Sniff remote connections
10.- Iniciar el Sniffer Start ==> Start sniffing
11.- Al momento de dar START, al momento de que nuestra victima habrá facebook sera dirijido directamente a nuestra ip y sera transparente para el, esto lo podemos comprobar realizando un nslokup en la VM victima
nslookup >facebook.com
en la imagen podemos ver que al momento de consultar por facebook.com, este entrega como dirección ip la de nuestro servidor atacante 192.168.254.154
ahora revisaremos escribiendo la url http://www.facebook.com en el navegador del equipo victima
Si revisamos el código fuente de esta web podremos darnos cuenta que en realidad se esta conectando a nuestro servidor intruso y no a la pagina oficial de facebook
Por ultimo ingresaremos un nombre de usuario y contraseña y revisaremos si nuestro SET (revisado en lab anterior) guardo los datos de la conexión
Efectivamente nuestro SET guardo los datos de la web invalida de facebook y logramos conseguir su usuario y contraseña, con una web que para el usuario es completamente valida.
email : holamundo@test.cl pass : password
- Resetear contraseña de ROOT en Red-Hat 8 (Examen RHCSA) - 31 enero, 2020
- Paso a paso de configuración de un entorno y la creación de la primera máquina virtual en HuaweiCloud - 10 enero, 2020
- Respaldo de Archivos locales (PCS) con AZURE BACKUP & RECOVERY - 31 diciembre, 2019