Prueba de Sniffeo de la red, burlando el protocolo HTTPS.

¿En que se basa la prueba?

En esta prueba se procede al Sniffeo de la red, específicamente para burlar el protocolo https, lo que se hará en esta prueba sera hacer un ataque man in the midle, para así interceptar todas las peticiones del “cliente” hacia los servidores que están en internet brindado los servicios requeridos, con unas herramientas que mas adelante se describirán, el ataque se basa en desconfigurar la configuración que tiene el “cliente” basada en redes IPv4, asignándole una configuración de red nueva basada en IPv6, esto se hace con un ataque SLAAC, con el fin de conseguir los datos de registro para entrar, al servicio que brinda esa página web.

 

Network-Sniffing1

 

 

¿Que herramientas se utilizaran en esta prueba?

La siguiente prueba se realizara, apoyándonos en las herramientas de seguridad de redes, FOCA, que se podrá encontrar su fácil descarga e información, en la página web de sus desarrolladores http://www.informatica64.com/evilfoca/, WireShark, mencionada en otros artículos, donde también se podrá encontrar su descarga gratuita e información en la página web de sus desarroladores https://www.wireshark.org/ y un cliente configurado correctamente en una máquina virtual con el sistema operativo que a nosotros nos guste.

FOCA versión: EVIL FOCA (DEFCON21) – 0.1.3.0

 

Screenshot_3

 

WireShark versión: WireShark 1.12.1

 

Screenshot_2

 

Máquina virtual con S.O con: Windows 7 Professional 64 bits – VirtualBox

Screenshot_1

Comienza la prueba

Paso 1: Tener la máquina virtual inciada y con acceso a internet, una vez comprobado esto, se vera que configuración de red tiene la misma.

Screenshot_4

Como podemos ver en la misma imagen, el servicio DHCP le ha asignado una configuración de red basada en IPv4, como comentaba anteriormente para hacer este ataque tendríamos que darle una configuración de IPv6 mediante el ataque SLAAC.

Paso 2: Este paso tenemos que abrir la herramienta de seguridad informática, llamada Evil FOCA, y tener localizado el “cliente” objetivo, una vez, localizado se procederá a realizar el ataque SLAAC.

Screenshot_5

Una vez localizado el “cliente” objetivo, seleccionamos la pestaña SLAAC, después se añadirá la dirección IPv6 de este cliente y se pulsara start, para que proceda al ataque SLAAC y para que FOCA haga el ataque MITM.

Screenshot_6

 

En este punto le daremos al botón “+” se nos abrirá un cuadro de diálogo, donde nos mostrara las IP´s basadas en IPv6, seleccionamos la del “cliente” y pulsamos “Accept”.

Screenshot_7

 

Llegados a este punto se nos añadirá al apartado del ataque SLAAC el “cliente”, una vez añadido pulsaremos “Start” para que comience el ataque.

Screenshot_8

Al pulsar el botón “Start” se nos informara de que el ataque esta siendo realizado.

Screenshot_9

¿Como comprobamos de que el ataque esta siendo efectivo?

Fácil nos vamos a la maquina virtual, en cmd colocamos el comando “ipconfig” y como había comentado anteriormente teníamos que darle una configuración de red basada en IPv6.

Screenshot_10

Y efectivamente tenemos una configuración de red basada en IPv6, el siguiente paso de esta prueba es abrir un navegador y probar con alguna página web que trabaje con el protocolo HTTPS, en mi caso, he elegido www.gmail.com todo este proceso se debe hacer con wireshark analizando la red. Lo que se deberá configurar antes de analizar la red, es por donde lo vamos a analizar, en mi caso sera por Wi-Fi, una vez seleccionado por donde vamos a analizar, pulsaremos “Start”, para que empiece analizar.

Screenshot_12

 

Aquí una captura de como empieza a capturar.

Screenshot_2

Después entramos al navegador, y empezamos a loguearnos, en este caso en gmail.com.

Screenshot_11

En la siguiente captura os daréis cuenta de que, la página web ya no inicia con el protocolo HTTPS si no con el HTTP y así nos permitirá atrapar los paquetes del login.

Screenshot_15

Una vez dentro, procedemos a loguearnos en el servicio de correo.

 

Screenshot_16

Una vez iniciada la sesión, procederemos a parar de sniffear la red.

 

Screenshot_17

 

 

Después de haber parado el sniffeo de la red, procederemos a filtrar los paquetes obtenidos mediante “http.request.method== POST”.

 

Screenshot_19

Una vez filtrados los paquetes cazados, nos aparecerá un paquete seleccionado, lo abrimos y nos iremos a la última linea la abriremos y procederemos a su lectura.

 

Screenshot_20

Una vez abierto, iremos a la última linea.

Screenshot_22

 

Y como se puede apreciar, en la linea Email y Passwd, están las credenciales que se han ingresado en el proceso de acceso a gmail.com.

 

Saludos, David De Maya Merras, gracias por la colaboración ha Francisco Javier Gambin, www.frangambin.es.

Please follow and like us:
0

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *