jueves, abril 19, 2012

Captura de ficheros transmitidos por SMB con ataques man in the middle en IPv6 usando Evil FOCA... toma título

Los equipos con Windows Server 2008 R2 y Windows 7 utilizan por defecto, siguiendo el algoritmo que elige entre IPv6 e IPv4 basado en la tabla de precedencias, el protocolo IPv6 para las comunicaciones SMB entre ellos. Debido a esto, algunas veces los ataques ARP-Spoofing para hacer ataques man in the middle en redes IPv4 parecen fallar, pero la explicación es tan simple como que el sistema no está haciendo uso de IPv4 para acceder al servidor SMB.

En la demostración que estoy haciendo en el Talentum Tour con la Evil FOCA, enseño cómo funciona esto por defecto en un entorno mixto con IPv4/IPv6 y se puede ver cómo el cliente y el servidor SMB se comunican por defecto con IPv6.

En esta primera captura se puede ver que Evil FOCA ha descubierto dos equipos que tienen tanto direcciones IPv4 como IPv6 configurado, pero que se ha elegido hacer un ataque man in the middle sólo en IPv6 utilizado un esquema de Neighbor Spoofing con ICMPv6.

Figura 1: Evil FOCA haciendo mitm con Neightbor spoofing

Activamos Wireshark en la máquina del atacante y después, desde el cliente nos conectamos a un recurso SMB en el servidor en el que se accede a un fichero llamado Password.txt en el que, como se puede ver en la previsulación está la contraseña buscada.

Figura 2: Accediendo a un recurso compartido por SMB

Analizando el tráfico capturado en la máquina atacante, podemos ver que todo el tráfico SMB ha sido transmitido sobre IPv6, por lo que se han podido grabar todos los paquetes que forman parte de los ficheros.

Figura 3: Trafico SMB sobre IPv6

Haciendo un seguimiento del flujo TCP es posible, como se ve en la siguiente captura, acceder a los ficheros que se han transmitido.

Figura 4: Ficheros transmitidos por SMB capturados

Para sacar los ficheros lo más molón hubiera sido poder utilizar el componente que desarrollaron para Wireshark nuestros amigos de Taddong, pero parece que no detecta bien los paquetes SMB que van sobre IPv6, por lo que utilizando el "canal de reporte de bugs oficial de Taddong"
 "José, que soy Chema, a ver si arreglamos esto leñe que luego me fallan las demos en las conferencias y esto no puede ser... ¿eh?, Vale, sí ... que sí que os invito a cenar... que sí, que a todos, que  a David y Raúl también...(me va a salir caro el parche). Que sí, que vuestro libro de hacking de comunicaciones móviles se vende muy bien...."
Si quieres aprender más sobre esto, tienes más información en el libro de Ataques en redes de datos IPv4 e IPv6.

Saludos Malignos!

***************************************************************************************************
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Te hackearán por IPv6 por pensar que no lo usas
- Hacking en redes de datos IPv6: Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes de datos
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv 4 e IPv6
***************************************************************************************************

1 comentario:

  1. Juer Chema te estás volviendo todo un programador de bien... No tiene que ser nada sencillo programar una aplicación como esa!

    Enhorabuena!

    ResponderEliminar