MITM Conexiones FTP

Cmo capturar trfico y contraseas
de otras personas en tu red

Gracias a Wireshark podemos capturar y leer paquetes que salen y entran a nuestro equipo. Sin
embargo, esto podra no ser muy til en trminos de un ataque ofensivo, lo realmente
interesante sera poder leer los paquetes de otros equipos en la red para capturar credenciales
que vayan viajando en texto plano.
Planteemos un escenario: Logramos una intrusin a la mquina de una red local y detectamos
que hay un equipo Windows 7 que pertenece al administrador de la red, nuestra mquina Kali y
un servidor FTP (En nuestras pruebas usamos Metasploitable 2) al que dicho administrador,
hipotticamente, se loguea constantemente para, por ejemplo, actualizar el sitio de la empresa a
la que estamos atacando. Sin duda, querramos entrar a ese servidor FTP puesto que supondra
una gran brecha de seguridad para nuestro cliente.Intentamos un ataque de contraseas que
resulta no ser efectivo, el software del servidor est completamente actualizado y no tiene
vulnerabilidades pblicas. Qu podemos hacer ahora? Pues bien, sabemos que el protocolo
FTP no utiliza conexiones cifradas y que por lo tanto cada vez que el administrador de la red se
conecta desde su mquina Windows al servidor FTP las credenciales viajan en texto plano. As
que la conclusin es muy sencilla: debemos interponernos en la comunicacin de esas 2
mquinas y capturar todo el trfico que viaja entre ellas, puesto que as podremos leer las
credenciales de acceso al servidor FTP.
El switch de la red solo nos enva paquetes cuando estos van dirigidos a nosotros y en nuestro
escenario las credenciales se dirigen desde la mquina Windows hasta el servidor FTP,
evidentemente en ningn momento pasan por nosotros, as que tendremos que engaar al switch
o a la mquina Windows para que crea que los paquetes si van dirigidos a nuestra mquina
(Suplantando la identidad de nuestras mquinas objetivo). Vamos a crear un ataque de Man In
the Middle (Hombre en el medio) que nos permitir interceptar y redireccionar el trfico antes
de que llegue a su verdadero destino. La tcnica para hacernos pasar por alguna mquina dentro
de la red es ARP Cache poisoning (tambin conocida como ARP Spoofing).
Si queremos ver el ARP Cache actual de nuestra mquina usamos el comando arp.
Ahora, para demostrar que la tabla ARP se actualiza cuando un equipo se conecta a la red y
nosotros intentamos conectarnos a l, vamos a levantar una mquina virtual Debian (Ustedes
pueden levantar la que quieran) y hacer un escaneo con Nmap (Un intento de conexin a SSH o
un ping tambin funciona) para luego volver a ejecutar el comando arp.
Luego de esa conexin ejecutamos arp y voal, tenemos al final de la lista a la nueva IP
(192.168.1.166) en nuestro ARP Cache
El problema de confiar el direccionamiento ARP es que no tenemos garanta de que la relacin

IP - MAC sea correcta. Cualquier mquina puede responder a una solicitud ARP que vaya para,
por ejemplo, 192.168.1.234, incluso si esta mquina realmente es 192.168.1.9 o alguna otra, de
todas formas la mquina victima (La que hace la solicitud ARP) aceptar esta respuesta.
El procedimiento anterior, en pocas palabras, es ARP Cache Poisoning. Enviamos una serie de
respuestas ARP que le dicen a nuestra victima que somos otra mquina dentro de la red. As,
cuando la victima envie trfico dirigido a esa mquina realmente ir directamente hacia
nosotros para que lo leamos con nuestro sniffer de trfico.
Antes de que podamos realizar el ataque debemos habilitar el IP Forwarding en nuestra
mquina Kali para poder redireccionar cada paquete a su verdadero destino. Si no habilitamos
esto, generaremos una denegacin de servicio en la red, donde los clientes legitimos no pueden
acceder a los servicios que necesiten.
Para habilitar el IP Forwarding utilizamos el siguiente comando:
Podemos ejecutar nuevamente el comando arp para verificar la MAC de las mquinas que
atacaremos y as poder comprobar una vez ejecutado el ataque que, en efecto, las direccionas
MAC estn cambiando y siendo suplantadas
192.168.1.234 es la mquina Ubuntu con el servidor FTP y por ahora su MAC

es: 08:00:27:f4:a8:06
192.168.1.10 es la mquina Windows que se conecta al FTP y por ahora su MAC
es: 08:00:27:22:fd:8b
Una herramienta muy sencilla para ejecutar un ataque ARP Cache poisoning es arpspoof, tan
solo tenemos que especificar la interfaz de red que estamos usando (eth0), la IP de nuestra
mquina victima y la IP de la mquina que queremos suplantar. Para nuestras pruebas haremos
creer a la mquina Ubuntu que somos la mquina Windows, para eso especificamos con -i la
interfaz con -t la IP de la victima (192.168.1.234) y como ultimo parametro la IP de la mquina
que queremos suplantar (192.168.1.10)
En este momento la mquina Ubuntu piensa que nuestro Kali es la mquina Windows. Ahora,
para capturar la otra parte de la conversacin vamos a tener que hacerle creer a Windows que
somos Ubuntu, para eso en otra terminal utilizamos el comando anterior pero esta vez con -t
vamos a especificar la IP de Windows y como ltimo parametro la de Ubuntu
En este momento ya hemos realizado el ataque de ARP Cache poisoning y suplantado las
mquinas en ambas direcciones, as que solo hace falta lanzar nuestro sniffer de trfico
(WireShark) seleccionando la interfaz de red (eth0) y esperar a que el administrador se conecte
al servidor FTP para que podamos capturar sus credenciales.
Simulamos la conexin desde Windows al FTP
Volvemos a Wireshark en nuestra mquina Kali y aplicamos un filtro para ver paquetes solo del
protocolo FTP
En el paquete nmero 1299 vemos el nombre de usuario enviado (REQUEST: USER

msfadmin), en el paquete nmero 1303 la contrasea (REQUEST: PASS msfadmin) y en el
paquete 1305 comprobamos que el Login fue exitoso y por tanto las credenciales son correctas.
Como vemos la captura de trfico puede llegar a ser muy til para escalar privilegios dentro de
una red local, siempre y cuando hayan servicios que no cifren su informacin.

MITM Conexiones FTP

Cargado por

Copyright:

Formatos disponibles

MITM Conexiones FTP

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

MITM Conexiones FTP

Cargado por

Copyright:

Formatos disponibles

Cmo capturar trfico y contraseas

de otras personas en tu red

El problema de confiar el direccionamiento ARP es que no tenemos garanta de que la relacin

192.168.1.234 es la mquina Ubuntu con el servidor FTP y por ahora su MAC

Simulamos la conexin desde Windows al FTP

En el paquete nmero 1299 vemos el nombre de usuario enviado (REQUEST: USER

También podría gustarte