Evitar el logout luego de un hijacking de sesión

Buenas, hoy les traigo una útil y «sencilla» técnica que nos permitirá en algunos casos evitar que los usuarios a los que les robamos la sesión por medio de hijacking de cookies cierren la sesión, evitando así que las cookies ya no tengan valor, y que la sesión deje se poder ser utilizable.

Escenario:

Nos encontramos conectados a una red ajena, como puede ser la de un lugar público o de nuestro trabajo(¿Por qué no?). Mediante envenenamiento ARP, logramos ver el tráfico de al menos un cliente. Viendo el tráfico de un cliente, logramos ver las cookies de sesión de alguna página. Estas las introducimos en nuestro navegador mediante la herramienta cookset. Luego de tener robada su sesión, queremos prolongar la duración de esta evitando el proceso de logout en el cliente.

Lo necesario para llevar a cabo el ataque:

• Tener corriendo alguna distribuición de Linux, y poder tener privilegios de root
• Tener instalado correctamente el firewall Iptables, en las distros más populares viene por defecto
• Tener instalado correctamente el servidor proxy squid, en algunas distros ya viene

Atacando

Antes que todo crearemos un backup de la configuración de Squid(se usa el archivo por defecto, cambiarlo si en su máquina está en otra ruta). Ejecutemos el siguiente comando en la terminal(de root):

mv /etc/squid/squid.conf /etc/squid/squid.bak

Luego, con nuestro editor de textos favorito creamos el archivo /etc/squid/squid.conf y le agregamos el siguiente contenido:

http_port 3128 transparent
cache_mem 64 MB
cache_dir ufs /var/spool/squid 150 16 256

acl mi_pc src 127.0.0.1/32
acl red src all
acl all src all

#Restringe petciones cuya URI coincida con alguna de las expresiones regulares
#en el archivo indicado
acl logout_restrict urlpath_regex «/etc/squid/logout_regex»

http_access allow mi_pc
http_access allow red !logout_restrict
http_access deny red
http_access deny all

Luego creamos, en el mismo directorio, el archivo logout_regex, con las expresiones regulares que queremos, yo agregué solo una:

^.*[lL]ogout.*$

Una vez realizado esto ponemos a correr el proxy:

start squid

Si ya lo teníamos corriendo, lo reiniciamos

restart squid

Ahora, lo que hacemos es redirigir cualquier petición HTTP a nuestro proxy, y que este se encargue. Esto lo hacemos con iptables (asegurarse de que no haya reglas anteriores, y de cambiar la dirección de la red si es que es diferente):

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 3128

Una vez realizado este proceso, la víctima podría navegar más o menos normalmente, pero cuando quiera cerrar su sesión, vera este mensaje (que puede ser cambiado por otro):

Espero que les haya sido útil. Saludos!

Cookset: automatizando el proceso de robo de cookies

Hoy comparto una herramienta que acabo de programar en Python, que no hace nada nuevo, pero hace más sencillo lo ya hecho.

Todo se remonta hace unos días donde me tocó jugar un rato con en una red interna, cosa que no es muy frecuente para mí. La técnica que más usé fue, además de el envenenamiento DNS, ya explicado anteriormnte, el robo de sesiones mediante la captura de cookies. Esto es de lo más fácil: Arp Spoofing, Sniffing, captura y paso al navegador. Si hay algo que me sorprendió es que el paso al navegador, por lo menos en Linux (con Internet Explorer se podría hacer fácilmente), hay que hacerlo manual, es decir, cookie por cookie. Esto se hace bastante tedioso cuando la página tiene varias cookies y son de grandes tamaños. Pregunté en los foros de Dragonjar si alguien sabía alguna herramienta que haga esto, pero no recibí respuesta. Luego vi este video en Flu Project donde hacían el mismo proceso que yo, cookie por cookie:

Sin encontrar una herramienta me decidí hacerla por mi cuenta, y llegué a una utilidad que reemplaza el archivo /etc/hosts o su similiar en Windows redirigiendo a nuestra PC, esta corriendo un mini servidor web que establece las cookies dadas anteriormente en un archivo.

A continuación muestro una serie de pasos para utilizarlo:

Botón derecho – Follow TCP Stream a un paquete de Wirehark

Copiar el texto de la consulta HTTP, y guardarlo en un archivo al que luego indicamos en el programa

Corremos la aplicación como root, y esta nos dice que entremos a la página a la que queremos establecer las cookies

Le aparece este mensaje. Una vez que actualize la página ya tendrá las cookies establecidas

Espero que esta herramienta les haya sido útil, y que se ahorren un poco de tiempo al realizar este proceso

Link a la descarga: http://pastebin.com/0NuzfL9h

Saludos!

PD: Si por casualidad el programa hace siempre nos redirija a nosotros la página aún, con el programa aún terminado, correrlo como root con la opción –restore o -r puede soluciona este problema.

Dnsspoof: suplantando las consultas DNS de los clientes

Hola, hoy les quiero contar de una muy útil herramienta de la suite Dsniff que usé hace poco. Es bastante conocida, pero la quiero mostrar ya que me sirvió bastante. Esta sirve para cuando estamos dentro de una red y logramos hacer un ARP Spoofing, entonces esta herramienta crea un sencillo servidor DNS y redirecciona las consultas de nombres de los clientes a este último servidor. Esto hace que, si nuestra víctima quiere saber la dirección IP de twitter.com, por ejemplo, nos la redireccione a otra IP, como podría ser a nuestra propia IP, y que esta tenga montada un servidor Web con un Scam que se robe sus datos. A continuación mostaré como llevar a cabo este proceso. La idea es que se puedan obtener el usuario y contraseña del Facebook de una persona conectada a una misma red.

El primer paso es obtener una shel de root y consultar la dirección de la puerta de enlace con el comando route:

Luego escaneamos con nmap(parámetro -sP para que haga un ping) la red objetivo para buscar víctimas, y elegimos una(que no sea la puerta de enlace que consultamos anteriormente):

Ahora que ya tenemos la víctima(192.168.2.9) activamos el reenvío de paquetes y le hacemos un arpspoof, haciendonos pasar por la puerta de enlace consultada anteriormente. Este comando lo dejamos corriendo mientras queramos hacer el ataque:

Creamos un archivo del tipo /etc/hosts donde se especifiquen cada dominio con la dirección IP que queremos que se le asigne. En este caso se le asigna nuestra IP privada(no local) a los hosts de facebook:

En una nueva pestaña de la terminal(se puede hacer con Ctrl-Shift-T) corremos el dnsspoof, pasándole como parámetro la interfaz y el archivo con los hosts

Una vez que está todo corriendo, habría que esperar a que se renueven las peticiones DNS de la víctima(creo que tarda unos 2 minutos) y que esta quiera entrar a su facebook, cuando realmente su cuenta esté siendo robada por medio de Phishing.

Como conclusión, se puede decir que es bastante sencillo hacer esto, y que mucha gente puede caer en estas trampas. Muchas veces veo que cuando se dan consejos de seguridad en Internet para principiantes siempre se dicen cosas como que no le dé la contraseña a cualquiera o que la página no le pide la contraseña. Pero, ¿Cuándo es el momento de que a las personas con conocimientos básicos también se les diga que no entren a estas páginas desde una red pública, o que por lo menos lo hagan bajo HTTPS? Como muchas veces, la falta de educación al respecto suele ser el problema.

Saludos y felices fiestas!