moubik Posted October 9, 2007 Report Posted October 9, 2007 Bun. ce inseamna acest lucru prima oara.Inseamna ca eu o sa pacalesc routerul sa-mi trimita mie toate pachetele din retea. Asta inseamna convorbiri messenger, trafic http (cu delicioasele cookies), parole, orice...Cum se intampla chestia asta?Pai in primul rand trebuie sa stii putin cum se face trafic in reteaua locala.Routerul identifica pc-urile dupa adresa MAC (identificator unic al placii de retea)Pai hai sa vedem cam cum se face o identificare de genul acesta.Am pornit wireshark, am pus filtru numai pt traficul arp si am dat repair la network.Ce vedem ?Calculatorul meu intreaba cine este 192.168.0.1 si spune ca mesajul sa fie transmis catre 192.168.0.4Eu sunt 192.168.0.4 (MSI)Routerul 192.168.0.1Vedem si raspunsulce scrie acolo?Adresa ip si MAC a celui care a trimis,Adresa ip si MAC catre destinatar.In acest moment s-a salvat in cache-ul arp aceasta legatura ip+mac.Exploatand acest feature putem sa facem arp poisoning. The fun part:Avem nevoie de Cain, si de Wireshark pt putina distractieCain: www.oxid.itWireshark: www.wireshark.orgCain o sa faca pt noi arp poisoningWireshark o sa prinda tot traficul din retea Pornim Cain, la Configure alegem adaptorul cu ip local.In cazul meu este adaptorul cu 192.168.0.4Dupa aceea activam snifferul lui Cain si cautam calculatoarele locale:o sa-mi gaseasca 192.168.0.1 (routerul), 192.168.0.3 (un calculator), pe mine ma sare. si atat deocamdata.Daca ai fi avut pornit wireshark inainte de a da scan, ti-ar fi aratat ceva de genul:A trimis catre toate ipurile (existente sau nu) requesturi arp. De ce ?Pai dupa cum se vede, cele care au raspuns au raspuns cu adresa MAC.Deci in acest moment avem "identificatorul unic" al fiecarui calculator din retea Asta inseamna ca putem sa pacalim routerul sa ne trimita noua pachete in loc sa fie trimise unde se trimiteau pana acum asta e exact ce vrem.Pasul 2:Hai sa pacalim routerul sa ne trimita noua.Cum se face asta?asa:Ma interpun intre 192.168.0.3 si 192.168.0.1Ce inseamna asta exact ?Pachetele din Wireshark arata asa:Ce se intampla acolo?Cain trimite pachete si spune asa:Salut 192.168.0.1, eu sunt 192.168.0.3Salut 192.168.0.3, eu sunt 192.168.0.1Ambele hosturi spun: Hmm, multumesc, acum nu mai este nevoie sa te caut eu pe retea Si acum daca 192.168.0.1 vrea sa trimita mesaje catre 192.168.0.3, o sa-mi trimita mie de fapt. Si invers.Deci in acest moment ambele imi trimit mie pachetele.Cain ia pachetul de la 192.168.0.1 si il trece prin filtrele proprii si pe urma il trimite lui 192.168.0.3La fel face cu pachetul de la 192.168.0.3, il trimite catre 192.168.0.1Daca acum am wireshark pornit vad tot traficul intre aceste 2 calculatoare.Ce este mai frumos de atat?Vad tot traficul lui 192.168.0.3 cu exteriorul. Deci in wireshark vad trafic http, ftp, yahoo...Full routing inseamna ca poate sa faca relay in ambele directii.Ce fac acum?In wireshark pun o regula ca sa monitorizez ip-ul ip.addr == 192.168.0.3In acest moment vad tot traficul pe care il face.Traficul asta arata asa urat pt ca sunt numai torente poti sa te mai joci putin in wireshark sa pui ca filtruhttp - arata tot traficul httpsau chiar mai suculenthttp.cookie - arata tot traficul http care contine cookiesca sa-mi scot ip-ul din pachete si sa vad traficul http care contine cookies:http.cookie && !(ip.addr == 192.168.0.4) Quote
Guest Nemessis Posted October 10, 2007 Report Posted October 10, 2007 Foarte frumos. Explicat pe intelesul tuturor si desigur usor de priceput. Imi place cum iti aduci contributia pe forumul RST. Cred ca e timpul sa te propun ca VIP Quote
Zeus Posted October 10, 2007 Report Posted October 10, 2007 ...foarte bine......asta ii un Man in the Middle Attack...categoric cu Arp Poison......eu folosesc si Whireshark + Cain si altele...dar mi se pare un pic mai simplu si util ettercap......am atasat ettercap (Windows) + un mic tutorial video care explica si el "treaba"...normal creditele se acorda celor care au facut tutorialul(vezi tutorial) si celor care au creat frumosul ettercap(vezi ettercap)(o adevarata bijuterie)...Bafta...http://rapidshare.com/files/61578570/Man_in_the_Middle.rar Quote
kaka Posted October 10, 2007 Report Posted October 10, 2007 nu pot sa deschid nici avi ala si nici nu pot instala prg...de ce? merge la cineva? Quote
shamat Posted October 10, 2007 Report Posted October 10, 2007 La mine imi merge avi-ul fara nici o problema, incearca sa-ti instalezi un pachet de codecuri si incearca dupaia.Programu trebuie compilat. Daca nu reusesti uite-te pe situl ettercap.sourceforge.net ca arata cum se instaleaza Quote
Zeus Posted October 10, 2007 Report Posted October 10, 2007 ...scuze...am scris acolo ca pun ettercap varainta ptr. Windows si am pus-o pe cealalta......am urcat aici ( http://rapidshare.com/files/61594471/Ettercap.rar )varianta Windows...se instaleaza frumos...dupa care doar nagivati pana unde ii instalat cu un command prompt... Quote
moubik Posted October 10, 2007 Author Report Posted October 10, 2007 laura chappel are niste tutoriale dragutze despre retelistica, dar in principiu sunt foarte de baza.vreo 2-3 mi-au placut din cursurile ei. Quote
alien Posted October 11, 2007 Report Posted October 11, 2007 am o intrebare: cat de rpd te prinde ISP-ul daca faci treaba asta nu pe retea locala. Quote
alien Posted October 11, 2007 Report Posted October 11, 2007 oricum ms moubik. exact tutorialul care il cautam. Si merge super bine wiresharku + cain. Am luat toate mail-urile de la astia de la mine de la servici. Maine ma duc la scoala. :twisted: Quote
hackedss Posted October 11, 2007 Report Posted October 11, 2007 ce fel de cain sa luam de aici ? ce versiune sau care e buna ? www.oxid.it Quote
Black Pitbull- Posted October 11, 2007 Report Posted October 11, 2007 Super tare moubik :wink: Deci aici chiar trebuie sa intelegi ... e pe intelesul tutror :wink:bv inca o data Quote
Ras Posted October 11, 2007 Report Posted October 11, 2007 frumos tutorial!!!tine-o tot asa! good work! Quote
alien Posted October 13, 2007 Report Posted October 13, 2007 stie cineva de unde pot sa iau si eu Cain & Abel pt linux. daca exista.si daca am o retea locala intre 2 calculatoare legate printr-un switch. Si fiecare are adresele 192.168.5.15 si 192.168.5.16. Cum pot sa fac arp poison? Eu sunt pe 192.168.5.15. Quote
moubik Posted October 13, 2007 Author Report Posted October 13, 2007 nu exista cain pt linuxincearca sa folosesti ettercap Quote
alien Posted October 13, 2007 Report Posted October 13, 2007 pai cu ethercap ma chinui acum. da fi atent ce retea am: deci am un modem legat la un switch si apoi 2 calculatoare cu 2 ip-uri separate de net.Adica eu pe calculatorul meu am ip de net 81.*.*.228 si victima are 81.*.*.229.Si avem si retea locala prin acelasi switch si avem ip-urile: 192.168.5.15 (eu) si 192.168.5.16(victima). Si eu vreau sa snifez traficu intre el si switch sau in tre el si modem. Nu vreau sa ies afara din reteaua locala sa ma prinda rds-ul. Quote
tupac_o Posted October 13, 2007 Report Posted October 13, 2007 hackedss dai search pe google si sigur il gasesti acolo chiar pe ala din armata.... Quote
tupac_o Posted October 14, 2007 Report Posted October 14, 2007 nu-mi mai merge whireshark imi zice ca nu mai pot folosi wincap-ul initial ma lasat sa fac scan si a 2 zi nu ma mai lasat.....nu inteleg de ce... Quote
michee Posted October 24, 2007 Report Posted October 24, 2007 da,frumos tutorial intr-adevar. cum poate sa te gaseasca ISP-ul? Quote
OrIaX Posted October 26, 2007 Report Posted October 26, 2007 este si o metoda de aparare impotriva arp poisoning... ? pt ca de unde mergea sa scanez toata reteaua locala acum nu mai merge.. :Cain - Snifer - Arp - Add - setez Ip din liste - cand apas OK nimik ramane asa are cineva o idee ceva?MS anticipat Quote
catalyn1178 Posted November 9, 2007 Report Posted November 9, 2007 Sunt pe un wireless conectat cu Cain. Cateva calculatoare conectate doar, deja le-am infectat. In afara de traficul care il fac eu, nu prind mai nimic. Am de asteptat pana indivizii fac ceva pe net ca sa pot prinde ceva? Quote
catalyn1178 Posted November 9, 2007 Report Posted November 9, 2007 Lucrurile bune vin la cei care asteapta ! Plec in oras sa poisonez pe la Starbucks si Coffe Bean. :twisted: Quote
alien Posted November 9, 2007 Report Posted November 9, 2007 este si o metoda de aparare impotriva arp poisoning... ? pt ca de unde mergea sa scanez toata reteaua locala acum nu mai merge.. :Cain - Snifer - Arp - Add - setez Ip din liste - cand apas OK nimik ramane asa are cineva o idee ceva?MS anticipatce-a mai simpla metodat de aparare impotriva ARP-ului atack e cu tunneling. De fapt cu cain folosesti medota "man in the middle". Prin tunneling nu te mai poti interpune intre cele 2 IP-uri. Quote
catalyn1178 Posted November 9, 2007 Report Posted November 9, 2007 Mai am o intrebare. Intercepteaza si traficu cu SSL ? ?Ca spre exemplu, nici macar traficu care il fac cand ma loghez pe contul meu de boa nu il prinde. Quote
moubik Posted November 9, 2007 Author Report Posted November 9, 2007 daca te-ai pus ca man in the middle pentru acea conexiune prinzi si ssl.acum ca sa decriptezi ssl-ul nu stiu. Quote