Arquivo da categoria ‘Sniffer’

Usando msn shadow e dsniff para capturar conversas de msn, icq etc…

Lógica do sniffing para capturar conversar em rede:

Tem alguém na sua rede, batendo papo no msn com outra pessoa, daí você usa o arpspoof para avisar todos computadores da rede, que o seu computador está como servidor, Sendo assim, tudo que entrar ou sair da rede terá que passar pelo seu computador(tipo um proxy transparente).

Daí, entra a tarefa do msn shadow que capturará todas as conversas.

Vamos la, para voce entender melhor o tutorial…

A ferramenta MSN Shadow possui a funcao de capturar as mensagens instantaneas que trafega pela rede com protocolos como MSN, Yahoo messenger, jabber. A ferramenta pode ser usada tanto com rede sem fio como em rede com fio, bastando simplesmente selecionar a interface de rede na qual encontra-se ligado.

O MSN Shadow permite visualizar em tempo real as mensagens instantaneas que trafegam pela rede, e tambem existe a possibilidade de capturar as conversas que ocorrem por meio de video conferencia podendo ser salvo em formato de video.

Para que o ataque seja realizado com sucesso, primeiro devemos ativar o encaminhamento de pacotes IP para que o tráfego da rede chegue aos destinos predefinidos.

O dsnif auxilia o MSN Shadow na captura dos pacotes com a ferramenta arpspoof. O arpspoof é executado contra o gateway da rede, fazendo com que todos os pacotes tenham que passar primeiro pela maquina do investigador, fazendo isso todo o trafego da rede passa primeiro pela maquina que está sendo executado o MSN Shadow.

Ativaçao do encaminhamento de pacotes IP:

#echo 1 > /proc/sys/net/ipv4/ip_forward

Execuçao do comando arpspoof que enviará pacotes de broadcast, avisando toda a rede que os ip’s possuem o endereço Mac da maquina atacante:

#arpspoof [endereco Ip do gateway]

#arpspoof [endereco IP da vitima]

OBS: Si você não quiser e/ou não saber usar o arpspoof, basta usar o caim e abel que eu já ensinei em um tutorial antes.

Suponha que você seja o segurança de rede da sua empresa, e todos os usuários reclamam que a conexão com a internet toda hora cai… Você, talvez como quase todos os gerentes de segurança em rede irá tentar resetar o modem da empresa. Porem, depois de resetar o modem, acontece novamente o problema dos usuários reclamarem… Daí, vem a pergunta… Como identificar uma possível DDOS( denial of service – negação de serviço)?

Existem muitas ferramentas que ajudam a voce identificar esse ataque.. Vou dar um belo exemplo usando o wireshark(Ethereal).

O Wireshark é uma ferramenta que verifica os pacotes transmitidos pelo dispositivo de comunicação (placa de rede, placa de fax modem, etc) do computador. O objetivo deste software, também conhecido como sniffer, é detectar problemas de rede, conexões suspeitas, auxiliar no desenvolvimento de aplicativos e qualquer outra atividade relacionada a rede.

Você pode baixa-lo no link abaixo:

http://www.baixaki.com.br/download/wireshark.htm

Abra o wireshark e ative o capturador de pacotes

1

Depois disso, basta começar a ver os pacotes trafegando na rede. No caso, do teste onde eu mesmo estava manejando duas maquinas.

1º Maquina é o atacante

2º Maquina do segurança

Na maquina do atacante deu um broatcast em toda rede, fazendo com que a mesma fique lenta e  conseqüentemente perderia a conexão com a internet de todos os computadores da rede.

Na maquina do segurança, eu usei o wireshark para identificar quem era o autor de toda aquela bagunça.

Veja na imagem:

broadcast

Na hora que eu comecei a capturar pacotes com o wireshark, então percebi que o ip 192.168.1.3 estava mandando pacotes para toda a rede(broadcast).

Repare que na ultima coluna chamada “Info”, tem algumas informações…

Who hás 192.168.1.45?  tell 192.168.1.3

O ip que está depois da palavra “tell” é o atacante(192.168.1.3) e o ip que esta depois do “Who hás” é o alvo.

Neste caso, todas as maquinas estavam sendo os alvos… repare que todas as linhas tem um ip diferente, Neste caso o atacante está atacando toda a rede, por isso que a internet de todos esta caindo.

Para acabar com este problema de broadcast, basta você adquirir um roteador ou switch gerenciável, e configurá-lo para recusar broadcast em excesso em toda a rede.

Depois de descobrir o ip do autor de quem está fazendo a zona na rede, basta ir ao individuo de bater na cara dele e depois cuspir no computador dele…kkkkkkkkkkkkkk

Brincadeira… Tome as decisões de acordo com a política de segurança da empresa onde você trabalha.

Em um dos meus posts passados, Eu criei um tutorial de como fazer o ataque de Man in the Middle usando o achilles. Hoje vou mostrar a mesma coisa, porem de uma forma muito mais avançada, pois é feita com uma ferramenta muito mais avançada também…Ferramenta chamada: CAIM E ABEM

O CAIM é muito mais avançado do que o achilles, pois o caim é usado de forma mais complexa e também usa de uma transparência, (Lembra do proxy transparente? Si não lembra veja o post que eu criei na categoria rede), O proxy transparente é usado para facilitar a vida de um segurança de rede, pois ele não precisa configurar cada browser de cada computador! Exemplo:

1

Então, essa configuração em cada navegador, não mais precisará, pois teremos uma ferramenta mais avançada.

Então vamos começar.

A interface do caim e Abel é a seguinte:

2

Eu já andei fazendo um scan na minha rede, como vocês podem ver.

Primeiramente teremos que Fazer um escaneamento em toda a rede, para ver os computadores, e para isso teremos que ativar as duas opções especificadas abaixo…

3

Ative estas opções para começar a sniffar e capturar pacotes…

Logo após isso, faça um venenamento em todas as redes, com o arp.

Eu já falei aqui no blog sobre envenenamento com arp, basta você olhar em outros posts

Depois disso quando alguem da rede entrar em um site com segurança ssh (https), automaticamente o caim irá gerar um certificado e tentará burlar a segurança da rede.

Si sua estiver vulnerável a este ataque, então concerteza quando você tentar fazer o Man in the Middle na sua rede, dará certinho.

4

Neste exemplo eu burlei o certificado do yahoo, e descobri a senha do yahoo de uma “pessoa”.

Si alguém tiver alguma pergunta a me fazer sobre este post ou assuntos semelhantes, pode mandar por um comentário…

Si não tiver nenhuma pergunta, deixe seu comentário, ou sua critica construtiva.

tutorial cain e abel

Publicado: maio 27, 2009 em ataques, rede, Sniffer, wirelles

Clique aqui e veja nosso novo site

Estou disponibilizando aqui no blog um tutorial sore o Cain.

Cain é uma ferramenta que foi projetada para recuperar senhas para plataformas windows 9x/2000/XP, porem alguns usam para o mal esta ferramenta… Entretanto si formos pensar bem, no meu ponto de vista, ”a pessoa que criou este programa: não criou somente para descobrir senhas!”… Mas vamos lá

Irei citar algumas de suas funcionalidades aqui:

Versão Utilizada: Cain & Abel 2.8.4



1. inicio

O pacote virá com 3 programas: O Cain(O programa em si!), Abel, um “backdoor” para administração remota do Cain e a lib WinPcap, que permite a análise se redes. Se você não instalá-lo opções como sniffing não irão funcionar e o wintrgen, que é o gerador de rainbow table que esplicarei depois.

2. Start/Stop Sniffer e Start/Stop APR

Com este botão você poderá iniciar ou parar o sniffer. Para quem não sabe o sniffer deixa o seu adaptador de rede em modo promíscuo, ou seja, escutando todos os dados que trafegam pela rede mesmo não sendo direcionada para aquela máquina. Quando você clicar pela primeira vez aparecerá uma caixa de diálogo chamada Configurantion Dialog onde você deverá selecionar o adaptador a ser usado(caso sua máquina tenha mais que um) mas o programa configura automáticamente.

3. Guia Sniffer

Depois de iniciado o sniffer você poderá ver seus resultados na guia sniffer. Na parte inferior será subdividida em mais guias: Host, APR, Routing, Password, Voip

3.1 Host

Computadores que estão em sua subnet. Para ver os pc’s basta apenas clicar no botão + (Add to list). Ao clicar mostrará uma guia de scaneamento de mac address, você pode pôr uma faixa ou colocar para mostrar todos. Irão mostrar o endereço de ip, endereço MAC e fingerprint do pc.

3.2 APR

Muitas vezes sua rede é segmentada por switchs, fazendo assim você não poder sniffar outros segmentos. Para isso existe o que chamamos de ARP poisoning. o ARP poisoning consite em você envenenar a tabela ARP do seu switch fazendo ele receber os pacotes do pc que você deseja. Não entrarei em detalhes porque este não é meu objetivo. No guia APR você terá que escolher o tipo de APR: DNS, SSH-1, HTTPS ou RDP. Selecionado você terá que adicionar o host clicando no botão +. Lembre-se que o botão Start/Stop APR deve estar selecionado. Ao clicar no botão + aparecerá uma caixa com os hosts da sua subnet que obtivemos no guia host(Lembra?). Agora é preciso apenas adicionar os host para o APR. Depois de fazer isso você verá o ícone e do lado escrito poisoning.
O APR do Cain Também realiza o Homem no meio(man in the middle) em redes locais seguindo os mesmos procedimentos.

3.3 Routing

Esta seção pediria um explicação extensa, e como este é um manual básico, irei pular aqui. Desculpem-me!

3.4 Password

Esta seção, com o sniffer ligado, mostrará todas senhas que passam por você. Não precisa de nenhuma configuração, eles apareceram ali. Ele pega senhas de vários, você já deve ter visto a listinha dele. Mas as vezes as senhas podem vir criptografadas, explicarei isso mais abaixo.

3.5 Voip

Igual ao Password. Todas conexões de voip que aparecerem o cain gravará para você. Semelhante ao grampo de telefone, mas grampeia conversas no Voip.

4. Botões Add to list(+) e Remove from list(lixeira)

Servem para adiconar ou remover alguns itens que são usados em alguns guias.

5. Botão configure

É o mesmo que você selecionar o menu configure. Mostrará um guia para configuração. Não irei explicar aqui, mas só de você olhar você entenderá. Não precisará mexer, Pois o cain já configura tudo altomatimente.

6. Botão Base 64 password decoder

Serve para quebrar senhas criptografadas em Base 64. Basta colocar a senha.

7. Botão Access database password decoder

Quebra senhas de banco de dados Access. Basta selecionar o arquivo e o tipo.

8. Botões da CISCO

O primeiro serve para quebrar senhas do type-7 colocando a senha e outro do VPN Cient, colocando o arquivo. Esses botões não tem muito o que comentar…

9. Outros Botões de Password Decoder

Basta apenas colocar o password ou o arquivo e pronto. COmo disse não tem muito o que comentar. A partir daqui irei comentar somente o necessário, ok?

10. Box Revelator

Revelar senhas entre ******* das caixas de senhas?

11. Hash Calculator

Você digita o que quer e ele mostrará ele em hash. È necessario quando você precisa saber um hash específico ou fazer um teste.

12. RSA
Também não explicarei este. meu tempo muito curto!.

13. Guias
Já expliquei os principais botões. Agora os guias, que é o que falta.

13.1 Protected Storeg

Ele pega no registro senhas dos seguintes programas(se estiverem armazenadas no registro):
– MS Outlook 2002’s passwords(POP3, SMTP, IMAP, HTTP)
– Outlook Express’s passwords(POP3, NNTP, SMTP, IMAP, HTTP, LDAP, HTTP-Mail)
– Outlook Express Identities
– MS Outlook’s passwords (POP3, NNTP, SMTP, IMAP, LDAP, HTTP-Mail)
– MSN Explorer’s Sign In passwords
– MSN Explorer’s Auto Complete passwords
– Internet Explorer’s protected sites passwords
– Internet Explorer’s Auto complete passwords

Basta clicar no botão +.

13.2 Network
Mostra detalhes da rede.

13.3 LSA Secrets
também pega do registro senhas usadas para iniciar serciços como senhas do arquivo SAM. Clique no Botão +.

13.4 Cracker

Quando você obtem senhas criptografadas você pode clicar com o botão direito e colocar “send to crack”. Lá ele divide os passwords e faz a quebra através de alguns tipo de força bruta, ataque de dicionário, criptoanálise(Você verificar em uma rainbow table feita no wintrgen) ou rainbowcrack-online.

13.5 Traceroute
É o tracert do windows ou traceroute do linux com mais opções.

13.6 CCDU (Cisco COnfig Downloader)
Configurações CISCO. Para usuários mais avaçados.

13.7 Wireless
Através de um dispositivo wireless varre por redes sem fio.

Lendo você não vai entender quase nada, Eu aconselho vocês a baixarem e fazerem o teste… Pois, ele é muito bom mesmo.
Duvidas: postem aqui:

Gostou? Comente!

fonte: forumharckermania

Tecnicas de invasao e defesa

Existem muitas tecnicas de invasao e defesa, existem muitas que nao sao divulgadas na internet, pois são tão belas e adoraveis que pessoas que descobrem nao as divulgam publicamente. Exemplo: Muitos crackers nao divulgam suas tecnicas pois seriam ruim para eles, pois as falhas seriam corrigidas.
Vamos largar de conversa  e partir para a explicaçao.
Não falarei de todas as tecnicas, até porque eu nao sei de todas existentes. vou falar das mais utilizadas e precisas.
Tecnicas de Invasao
1º – tem que si definir o alvo
2º – Recolher informaçoes sobre o alvo
3º – Usar ferramentas para a invasao
4º – Phishing
5º – Esteganografia
<———Tecnicas invasao—————>
1 – definir um alvo
Para definir um alvo, voce pode usar o google, myspace, orkut, google groups.
Exemplo: google
* Voce pode fazer buscas especificas utilizando recursos avançados do google como as tags,Intitle, Inurl, Intext.
Esses recursos podem trazer belos resultados.

intranet2 – Engenharia social
engenharia social “é a arte de enganar”
Voce pode iludir uma pessoa a receber uma foto que teria um virus incluido na foto.
<———Ferramentas para intrusao—————>
Existem milhares de ferramentas para penetration(invasao), Porem vou mostrar aqui as melhores, “que eu acho”, (para a ferramenta ser boa, voce tem que gostar! e saber usar).
Google, Dig, Nmap, Nessus, Metasploit, Telnet, Sendip, John the ripper, Host, Hping3, Netcat.
=> Dig – Uma ferramenta quase igual ao nslookup, Porem mais flexivel, pode ser utilizada para fazer buscas como A, TXT, MX E NS.
dig +qr google.com any
;; ANSWER SECTION:
google.com. 10186 IN MX 10 smtp2.google.com.
google.com. 10186 IN MX 10 smtp3.google.com.
google.com. 10186 IN MX 10 smtp4.google.com.
google.com. 10186 IN MX 10 smtp1.google.com.
google.com. 318637 IN NS ns1.google.com.
google.com. 318637 IN NS ns2.google.com.
google.com. 318637 IN NS ns3.google.com.
google.com. 318637 IN NS ns4.google.com.
;; AUTHORITY SECTION:
google.com. 318637 IN NS ns2.google.com.
google.com. 318637 IN NS ns3.google.com.
google.com. 318637 IN NS ns4.google.com.
google.com. 318637 IN NS ns1.google.com.
;; ADDITIONAL SECTION:
smtp1.google.com. 2986 IN A 72.14.203.25
smtp2.google.com. 2986 IN A 64.233.167.25
smtp3.google.com. 2986 IN A 64.233.183.25
smtp4.google.com. 2986 IN A 72.14.215.25
ns1.google.com. 345220 IN A 216.239.32.10
ns2.google.com. 345220 IN A 216.239.34.10
ns3.google.com. 345219 IN A 216.239.36.10
ns4.google.com. 345219 IN A 216.239.38.10

=>portScan –  PortScan é um scanneador de portas. o portscan ele sai batendo em cada uma das portas  e ve quais estao abertas. Um exemplo de portscan é o nmap. Nmap é um brilhante portScan existente no dia de hoje. É uma otima ferramenta, muito utilizada para invasao, para descobrir falhas nos sistemas e descobrir portas abertas desnecessariamente.

portscan=>Nessus –  o Nessus é uma ferramentas de autitoria muito usada para detectar e corrigir vulnerabilidades nos computadores da rede local. Nessus encontra bugs e mostra o link de sites para corrigir os BUGS.

=> Metasploit –  Essa é a melhor ferramenta que existe. É utilizado para escrever, testar e executar codigos de exploit. Foi desenvolvido para prover penetraçao em sistemas atraves de programas com bugs(erros).
Metasploit > console   e interface web.

metasploit

=> Telnet – Um protocolo para si conectar remotamente asistemas.
telnet http://www.alvo.com.br 80
Trying 200.189.171.181…
Connected to http://www.alvo.com.br.
Escape character is ‘^]’.
GET / HTTP/1.1
Host: http://www.alvo.com.br

=> John the ripper –    Um programa usado para descriptar senhas unix, dos, winNT?/win95 e tambem MD5,DES baseado na funcao CRYPT.

=> Hping3 –   Ferramenta capaz de enviar pacotes TCP, UDP E ICMP personalizados e receber respostas como consegue em icmp. com ele podemos fazer um ataque DoS.

=> Netcat –   Programa para consultoria de redes muito
conhecido, isso deve-se ao fato de ele ser um
programa muito versátil, podendo desde ser
um simples telnet, portscan até um sniffer.
TROJAN/nc
nc -l -e /bin/bash -p 1033
A porta 1033 será colocada em listenning, redirecionaremos a saida de dados para um shell (/bin/bash). Assim quando alguém se
conectar a essa porta terá domínio total sobre
o computador.
Sniffer/nc
# nc -vv -z 75.126.176.71 -p 80 22 110 25 21
servidor9.molservidores.com [75.126.176.71] 22 (ssh) : Connection refused
servidor9.molservidores.com [75.126.176.71] 110 (pop3) open
servidor9.molservidores.com [75.126.176.71] 25 (smtp) open
servidor9.molservidores.com [75.126.176.71] 21 (ftp) open

=> Phishing –  Phishing é um tipo de fraude projetada para
roubar sua identidade.Em um phishing scam,
uma pessoa mal-intencionada tenta obter
informações como números de cartões de
crédito, senhas, dados de contas ou outras
informações pessoais convencendo você a
fornecê-las sob pretextos enganosos.=> jp(hide an seek)   –   O jphide e o jpseek são programas utilizados
para esconder mensagens em arquivos JPEG.

<—————–Tecnicas CONTRA-INVASAO——————->
Firewall
(NHWK)IDS
HoneyPots
Antispam

=> Firewall –    Port Knock, uma solução leve e fácil de
configurar, permite que portas específicas só
sejam abertas no momento desejado atraves
de tentativas de conexão em portas
específicas.

=>(NHWK)IDS  –
NIDS – Network Intrusion Detection System
HIDS – Host-based Intrusion Detection System
WIDS – Wireless Intrusion Detection System
KIDS – Kernel Intrusion Detection System

=>  HoneyPots –  Útil para vigilância e alerta aos tipos de
ataques mais utilizados porem deve ser
utilizado com cuidado para que o invasor não
tenha acesso a rede real.

=> Antispam –   Indispensável para qualquer MX, útil para evitar
emails forjados e de domínios não confiaveis,
pode ser incrementado com opções de RBL e
CAPTCHA (“Completely Automated Public
Turing test to tell Computers and Humans
Apart”).

Aê galera tava conversando com um amigo da net sobre segurança em rede, e ele  perguntou pra min só por brincadeira: será que a segurança de hoje em dia está legal?

depois de algum tempo  eu comecei a pensar:

Nossos sistemas de hoje em dia é muito fragil. Tantas pragas que existem na internet hoje, tantos roubos, tantas invasoes, tantos roubos de informaçoes, Isso gera nas pessoas um certo medo do computador, da internet. Pessoas nao fazem compras pela internet, pois tem muito medo.
Esse mesmo medo virou pânico em pleno século XXI. Ladroes assaltavam bancos confortavelmente no Havaí enquanto desviam o dinheiro para a suíça. Hoje em dia temos varias ferramentas que hackers criaram para administradores de rede, Porem as mesmas são utilizadas por hackers do mal. Por exemplo: SNIFERS um interceptador e resgistrador de  tráfegos de dados em uma rede de computadores, E muitas pessoas usam esta bela ferramenta para o  MAL.
Diariamente, paginas e paginas são tiradas do ar por piratas digitais. Grupos de hackers e crackers brasileiros, como prime suspectz e inferno.br(esse ÚLTIMO já extinto), junto a outros centenas pelo mundo realizam façanhas extraordinárias, como objetivo, a  invasao, Um exemplo disso é o site da microsoft, Nasa, FBI, Interpol e muitos outros.
O que restas, é pessoas espertas como eu e voce, Estudar para não ser mais uma das vitimas.