tag:blogger.com,1999:blog-21555208.post1140269158556912174..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: Ataque Man in the middle con DHCP ACK InjectorChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger21125tag:blogger.com,1999:blog-21555208.post-29326134676390854642017-11-06T03:45:19.807+01:002017-11-06T03:45:19.807+01:00 este post es viejo pero apuesto que funciona aun,... este post es viejo pero apuesto que funciona aun, me pregunto que a lo mejor. ultimamente que he visto los dispositivos conectados a mi red como televisor o algun cacharro que ya no se ha actualizado podra tener alguna vulnerabilidad que comprometa la red interna o (lan) digamos un atacante que tiene tu ip publica te hace un mapeo de puertos... resulta que tienes un puerto desconocido abierto en tu router o gateway... obviamente el no sabe que mi red tiene cacharros viejos pero yo ni se que tengo un puerto abierto desconocido, la historia de este cuento es que veo como paquetes udp son enviados al router por una direcccion local que corresponde a un cacharro viejo por el puerto 1900... me imagino que se trata del protocolo upnp, obviamente lo hace el cacharro viejo desde dentro... no se porque lo hace tan seguido.. si es normal... mi pregunta es sencilla es posible entonces hacer un MITM a mi router desde fuera wan(atacante) engañando al gateway externo del router 🤔 ya se que a lo mejor he visto muchas peliculas de hackers... o debería ver alguna para enterarme... pero digamos se puede spoofear el gateway al que apunta el router... estoy un poco perdido la verdad... pero aun lo del dhcp me parece muy ingenioso. erik_reddhttps://www.blogger.com/profile/17670580076362965246noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-72930970094139162962017-03-21T00:35:15.250+01:002017-03-21T00:35:15.250+01:00Vaya Martin Jose, cuánto lo siento. Dile a esa hac...Vaya Martin Jose, cuánto lo siento. Dile a esa hacker que es una crack ;) . Ha conseguido crackearte la gramática. Se ve que tienes un buen firewall que ha evitado que esto mismo suceda con la ortografía. ¡Buen trabajo! Ahora desconéctate de internet durante un año y sal a la calle. ¡Se volverá loca!Anonymoushttps://www.blogger.com/profile/11509996125301850631noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-9722176850353076262016-03-10T20:08:26.510+01:002016-03-10T20:08:26.510+01:00os dire en mi cado eh sido atacado una mujer de c...os dire en mi cado eh sido atacado una mujer de chile también , obsesiva me hizo un infierno por muchos años , atacando mi modem directamente , lo sabia todo ahora mi teléfono móvil escucha todo ve todo sabe mi vida y lo que hago , probe con un modem sacar todo aparte peor detecto mi modem nuevo entrando en las red del poste de la calle , si lo puede hacer escanea todas las líneas conectadas el nombre de usuario de mi nueva pc asi me encontró d nuevo , ahora vendi mi pc nueva y modem , la única forma de escapar a esta hacker aunque sacrifico movilidad es a trvez de los café internet no hay otra Anonymoushttps://www.blogger.com/profile/06074064362074070599noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-54646142137985559222014-08-08T14:35:52.817+02:002014-08-08T14:35:52.817+02:00Amoh a vé...
¿Difícil de detectar?
Si el usuario ...Amoh a vé...<br /><br />¿Difícil de detectar?<br />Si el usuario hace un tracert o tracepath a google.com y no sale el gateway (puerta de enlace) de su router, ¿qué?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-68508436936632905982012-10-07T05:49:41.703+02:002012-10-07T05:49:41.703+02:00Algun "tutorial" ?Algun "tutorial" ?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-59951711480839826502012-03-14T03:56:58.728+01:002012-03-14T03:56:58.728+01:00Señores muchas gracias por todas sus publicaciones...Señores muchas gracias por todas sus publicaciones.<br /><br />Thor, no habria forma de publicar el codigo de la aplicacion?<br /><br />Creo que este se podria modificar de cierta forma para detectar servidores DHCP falsos.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-44143481350011773782012-02-25T13:28:35.215+01:002012-02-25T13:28:35.215+01:00Gracias Chema, lo que me falta es alguna herramein...Gracias Chema, lo que me falta es alguna herrameinta para ello (el concepto lo tengo claro, si soy la puerta de enlace, tengo que actuar como tal): he probado con un proxy http transparente, pero no quiero tener que limitarme al tráfico web, y no he encontrado ningún gateway SW para windows que pueda configurar (y he buscado, lo prometo con la mano en el pecho...). ¿Alguna pista o sugerencia de algo que hayáis probado?<br />Gracias una vez más y un saludoSamhttps://www.blogger.com/profile/12113504092373600497noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-89564251070120054412012-02-25T08:28:55.161+01:002012-02-25T08:28:55.161+01:00@Sam, si te convertes en su gateway, todo pasa por...@Sam, si te convertes en su gateway, todo pasa por allí. Tú solo tienes que darle conexión a Inet y listo.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-49536780019062247682012-02-24T16:25:41.642+01:002012-02-24T16:25:41.642+01:00Perdonad mi ignorancia: una vez dada la puerta de ...Perdonad mi ignorancia: una vez dada la puerta de enlace spoofeada a la víctima (con la de por ejemplo una máquina windows), ¿cómo hacemos para redireccionar el tráfico entrante a la puerta de enlace real? ¿Con un proxy o gateway software? ¿Existe alguna apliación que directamente se le pueda indica que los datos recibidos por equipo con una MAC o IP determinada salgan a Internet a través del router real y luego puedan viajar de vuelta al equipo de la víctima?<br />Gracias, un saludo.Samhttps://www.blogger.com/profile/12113504092373600497noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-36971341371327833752011-12-26T11:25:26.850+01:002011-12-26T11:25:26.850+01:00@Imaginawireless seguro que alguna se puede hacer ...@Imaginawireless seguro que alguna se puede hacer con eso... }:))Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-68453119980189322522011-12-19T01:33:26.263+01:002011-12-19T01:33:26.263+01:00Para evitar que el nuestro servidor DHCP faje sea ...Para evitar que el nuestro servidor DHCP faje sea el primero en llegar con su respuesta,<br /><br />¿sería posible secuestrar todas las Ips de la red? Os explico la idea...<br /><br />Supongamos que hacemos un software que fuera cambiando automáticamente la MAC de nuestro dispositivo y solicitando una IP al DCHP principal. Una vez que se ha alcanzado el número máximo de IPs que puede entregar, el DHCP no entreverá más IPs durante el tiempo de vida útil de estas cesiones, y con nuestro DCHP fake podriamos llegar sin problemas a todos los equipos de la red, sin ningún conflicto.<br /><br />Lo que no tengo tan claro en como se engañaría al DHCP principal para que las IPs que ya ha asignado, se liberen para ser secuestradas, y no esperar a que se acabe el tiempo de vida de la misma.<br /><br />Otra ventaja de esto es que tendríamos un control absoluto del rango de IPs de el DHCP principal.imaginawirelessnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-9471294417022402262011-10-28T11:12:57.462+02:002011-10-28T11:12:57.462+02:00Estos son las publicaciones que me gustan! Muy bie...Estos son las publicaciones que me gustan! Muy bien explicado, se ha entendido a la perfección y me han dado ganas de enchufar mi wireshark y trastear con mi intranet :PAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-21640638269296661012011-10-27T17:24:41.766+02:002011-10-27T17:24:41.766+02:00@Rubén Crespo
Antes era posible también usando raw...@Rubén Crespo<br />Antes era posible también usando raw sockets, pero en las últimas versiones de Windows esto no es posible.<br />Fijate en el apartado "Limitations on Raw Sockets" de este artículo:<br />http://msdn.microsoft.com/en-us/library/windows/desktop/ms740548(v=vs.85).aspxFrancisco Ocahttps://www.blogger.com/profile/04619209094503908585noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-73803736855916675302011-10-27T12:14:27.563+02:002011-10-27T12:14:27.563+02:00¿La herramienta creada en C# con Visual Studio tam...¿La herramienta creada en C# con Visual Studio también hace uso de la librería WinPcap?<br /><br />¿Sería esta la única forma de poder analizar el tráfico? ¿O existe alguna otra librería que te permita escuchar tráfico y utilizarlo en el desarrollo de tu propia herramienta?<br /><br />Gracias!Rubén Crespohttps://twitter.com/rcrespocanonoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-33301473462901166422011-10-25T23:16:30.843+02:002011-10-25T23:16:30.843+02:00Entre otras cosas, ademas de una direccion IP dife...Entre otras cosas, ademas de una direccion IP diferente tambien le has podido dar, que se yo, un gateway diferente, y que todo el trafico pase por tu equipo para hacer un poco el mal y despues darle tu salida a la wan (internet/intranet) para que la cosa no se note...<br />...Por poner un ejemplo...Eduardonoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-80789831576075567712011-10-25T19:47:19.996+02:002011-10-25T19:47:19.996+02:00Desde la ignorancia,
Con esto lo que hemos conse...Desde la ignorancia, <br /><br />Con esto lo que hemos conseguido es darle una IP diferente a la máquina víctima? Qué podemos hacer con eso?<br /><br />GraciasAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-73924193111025529982011-10-25T13:14:57.982+02:002011-10-25T13:14:57.982+02:00Esto huele y sabe a lo que es. MIERDA.Esto huele y sabe a lo que es. MIERDA.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-27707720251193002692011-10-25T12:52:50.652+02:002011-10-25T12:52:50.652+02:00Gracias @Icko
@kabracity nosotros hemos probado a...Gracias @Icko<br /><br />@kabracity nosotros hemos probado a modificar el campo Gateway(bp_giaddr) y la dirección IP asignada(bp_yiaddr) seguramente sea posible modificar también la mascara de red.<br /><br />@Anonimo DHCP snooping tiene mucho que decir, en breves publicaremos como defenderse de este ataque.Francisco Ocahttps://www.blogger.com/profile/04619209094503908585noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-83650259285165768082011-10-25T11:36:57.804+02:002011-10-25T11:36:57.804+02:00¿El DHCP snooping no tiene nada que decir aqui?¿El DHCP snooping no tiene nada que decir aqui?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-84301616838130464142011-10-25T11:13:40.989+02:002011-10-25T11:13:40.989+02:00Esto siempre ha sido un quebradero de cabeza, incl...Esto siempre ha sido un quebradero de cabeza, incluso involuntariamente. Recuerdo haber tenido problemas, y descubrir que alguien había enganchado un router a la red, que estaba configurado como servidor de DHCP por defecto.<br /><br />En el directorio activo, hay que autorizar el servidor DNS de cualquier equipo del dominio para que Windows Server lo permita, pero montando cualquier máquina fuera del dominio, un router, o una máquina Linux se salta rápidamente :(. <br /><br />La RFC3118 salió para autenticar mensajes DHCP y evitar este tipo de ataques, pero no se ha usado casi por problemas de escalabilidad.<br /><br />Sobre el ataque de inyección de ACK, ¿qué parámetros de pueden modificar que el cliente se "trague"? Lo digo porque según la RFC2141:<br /><br />"Any configuration parameters in the DHCPACK message SHOULD NOT conflict with those in the earlier DHCPOFFER message to which the client is responding. The server SHOULD NOT check the offered network address at this point.<br /><br />The 'yiaddr' field in the DHCPACK messages is filled in with the selected network address."Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-71639849515203749512011-10-25T09:37:47.163+02:002011-10-25T09:37:47.163+02:00Herramiente fucking increible. Un pasito más a dar...Herramiente fucking increible. Un pasito más a dar en una auditoría.<br />Muchisimas gracias, chicos :)Ickonoreply@blogger.com