Domanda MITM Attack

[Ricky23]

Salve, essendo agli inizi vorrei chiedervi in merito ad un problema che riscontro quando devo sniffare i dati sulle reti tramite Man in the Middle. Ovviamente tutto su macchine virtuale per testare appunto ( nulla di illegale).
Utilizzando bettercap e immettendo questi comandi in questo ordine:

• net.probe on
• set arp.spoof.fullduuplex true
• set arp.spoof.targets [ip address vittima]
• arp.spoof on
• set net.sniff.local true
• net.sniff on

e di conseguenza applicando successivamente il caplet hstshijack/hstshijack, non riesco piu' a navigare su internet con il pc vittima.
Vorrei sapere se questo è dovuto al firewall e quindi alle protezioni che il router attua per prevenire questi attacchi oppure ad altro?

Grazie in anticipo!

 

[IlMagoDeiTeoremi]

Salve, essendo agli inizi vorrei chiedervi in merito ad un problema che riscontro quando devo sniffare i dati sulle reti tramite Man in the Middle. Ovviamente tutto su macchine virtuale per testare appunto ( nulla di illegale).
Utilizzando bettercap e immettendo questi comandi in questo ordine:

• net.probe on
• set arp.spoof.fullduuplex true
• set arp.spoof.targets [ip address vittima]
• arp.spoof on
• set net.sniff.local true
• net.sniff on

e di conseguenza applicando successivamente il caplet hstshijack/hstshijack, non riesco piu' a navigare su internet con il pc vittima.
Vorrei sapere se questo è dovuto al firewall e quindi alle protezioni che il router attua per prevenire questi attacchi oppure ad altro?

Grazie in anticipo!

Purtroppo negli ultimi anni il man in the middle sta diventando inutile perchè ormai qualunque dispositivo moderno e aggiornato rileva lo sniff dei pacchetti e blocca un sacco di funzionalità come la navigazione, insomma se devi rubare una password o dei dati usa altri metodi al tempo d'oggi

 

[Ricky23]

Purtroppo negli ultimi anni il man in the middle sta diventando inutile perchè ormai qualunque dispositivo moderno e aggiornato rileva lo sniff dei pacchetti e blocca un sacco di funzionalità come la navigazione, insomma se devi rubare una password o dei dati usa altri metodi al tempo d'oggi

Grazie per la risposta! Ma per il blocco della connessione internet è dovuto da cosa nel dettaglio?

 

[dariobini21]

Purtroppo negli ultimi anni il man in the middle sta diventando inutile perchè ormai qualunque dispositivo moderno e aggiornato rileva lo sniff dei pacchetti e blocca un sacco di funzionalità come la navigazione, insomma se devi rubare una password o dei dati usa altri metodi al tempo d'oggi

Altri metodi? sarebbero?

 

[juvann]

Grazie per la risposta! Ma per il blocco della connessione internet è dovuto da cosa nel dettaglio?

gli attacchi MITM su reti IPV4 si basano sull'avvelenamento dell'arp cache sul gateway e sul pc vittima in modo che i pacchetti vengono inoltrati sulla tua scheda di rete così puoi intercettarli.
Il blocco dovrebbe essere dovuto dal fatto che l'avvelenamento non avviene corrattamente e viene cambiato un mac address sbagliato sul router che di conseguenza non ti inoltra i pacchetti correttamente. Questa è solo un ipotesi.
Quando intercetti i pacchetti dovrai essere tu(attaccante) ad inoltrare i pacchetti al router, non so su che sistema operativo stai operando, ma su linux bisogna impostare sys/net/ipv4/ip_forward a 1 non so se lo fa bettercap.
Per analizzare affondo bisogna capire su che ambiente stai operando, non basta dire pc e software ma sistemi operativi e configurazioni firewall

Per finire il MITM è quasi inutile perchè ormai molti usano SSL, su web e mail, difficilmente si riesce ad intercettare una comunicazione in chiaro.

Messaggio unito automaticamente: 20 Giugno 2021

qualunque dispositivo moderno e aggiornato rileva lo sniff dei pacchetti e blocca un sacco di funzionalità come la navigazione

lo sniff non può essere rilevato, quello che viene rilevato è l'avvelenamento dell'arp cache. Su windows non mi risulta che ci siano monitoraggi attivi.
Su linux c'è arpwatch ma non è configurato di default.

Messaggio unito automaticamente: 20 Giugno 2021

Altri metodi? sarebbero?

con malware

 

[Ricky23]

gli attacchi MITM su reti IPV4 si basano sull'avvelenamento dell'arp cache sul gateway e sul pc vittima in modo che i pacchetti vengono inoltrati sulla tua scheda di rete così puoi intercettarli.
Il blocco dovrebbe essere dovuto dal fatto che l'avvelenamento non avviene corrattamente e viene cambiato un mac address sbagliato sul router che di conseguenza non ti inoltra i pacchetti correttamente. Questa è solo un ipotesi.
Quando intercetti i pacchetti dovrai essere tu(attaccante) ad inoltrare i pacchetti al router, non so su che sistema operativo stai operando, ma su linux bisogna impostare sys/net/ipv4/ip_forward a 1 non so se lo fa bettercap.
Per analizzare affondo bisogna capire su che ambiente stai operando, non basta dire pc e software ma sistemi operativi e configurazioni firewall

Per finire il MITM è quasi inutile perchè ormai molti usano SSL, su web e mail, difficilmente si riesce ad intercettare una comunicazione in chiaro.

Messaggio unito automaticamente: 20 Giugno 2021

lo sniff non può essere rilevato, quello che viene rilevato è l'avvelenamento dell'arp cache. Su windows non mi risulta che ci siano monitoraggi attivi.
Su linux c'è arpwatch ma non è configurato di default.

Messaggio unito automaticamente: 20 Giugno 2021

con malware

Sicuramente da attaccante sto utilizzando Kali e la vittima con Windows 10

 

[Utente cancellato 277320]

Proprio per quanto elencato da juvann, mitm e' comunque tutt'altro che banale da realizzare. Non so quale sia l'orientamento di questo forum, se si insegnino attacchi a scopi difensivi o cosa. Comunque sia, a mio avviso, impiegare tempo a mettere in piedi un mitm e' tempo buttato.

 

[Ricky23]

Proprio per quanto elencato da juvann, mitm e' comunque tutt'altro che banale da realizzare. Non so quale sia l'orientamento di questo forum, se si insegnino attacchi a scopi difensivi o cosa. Comunque sia, a mio avviso, impiegare tempo a mettere in piedi un mitm e' tempo buttato.

Siccome sono agli inizi e man mano mi informo ... volevo capirne di piu'. Solo cose legali.

 

[Utente cancellato 277320]

Ok. io non sono esperto di queste cose, non ho mai avuto interesse particolare in questo senso, pero' credo che prima di arrivare a mitm convenga passare per tutta una serie di cose piu semplici, e forse oggi piu attuali/efficaci.

 

[juvann]

Sicuramente da attaccante sto utilizzando Kali e la vittima con Windows 10

da Kali prova a leggere il contenuto di questo file /proc/sys/net/ipv4/ip_forward
se non sai come farlo ti suggerisco questo comando

cat /proc/sys/net/ipv4/ip_forward

se il risultato è 0 bisogna impostarlo ad 1, se invece è 1 bisogna indagare perchè non ti sta funzionando, ad esempio ci sono regole firewall che bloccano il traffico in FORWARD.
Per impostarlo ad 1 puoi eseguire il comando

echo 1 > /proc/sys/net/ipv4/ip_forward

Tale modifica è temporanea perchè al successivo reboot verrà rimesso nuovamente a 0.
Per renderlo definitivo bisogna modificare il file /etc/sysctl.conf
Se kali è live comunque perderai la modifica.
In alternativa all'accesso diretto al filesystem /proc c'è il comando sysctl che ti permette di leggere e scrivere quel file.

# per leggere
sysctl -n net.ipv4.ip_forward
# per scrivere
sysctl -w net.ipv4.ip_forward=1

Per quanto riguarda

Siccome sono agli inizi e man mano mi informo ... volevo capirne di piu'. Solo cose legali.

Fai bene, bisogna studiare, crearsi problemi e cercare una soluzione. Anche se è inutile il MITM comunque ti insegna il funzionamento della rete a basso livello. Non l'ho mai usato in un contesto vero, ma ho sempre solo e fatto test ed ho imparato cose utili per risolvere altri problemi.

 

[IlMagoDeiTeoremi]

Grazie per la risposta! Ma per il blocco della connessione internet è dovuto da cosa nel dettaglio?

Nel mio caso quando provai a sniffare pacchetti (e ci ho provato in molti metodi diversi) il mio s9 plus riconosceva la rete non sicura e gia questo è un problema, una volta cliccato su continua anche se e una rete pubblica o non sicura ecc. capiva che le connessioni non erano sicure, ho provato ad accedere a facebook, navigare su instagram oppure cercare qualsiasi cosa su google ma niente, figuriamoci con i dispositivi nuovi come s21 e sopratutto iphone, per non parlare di windows, il man in the middle funzionerebbe forse su un windows 7 da internet explorer

​

Messaggio unito automaticamente: 2 Luglio 2021

Altri metodi? sarebbero?

creando una backdoor, un keylogger una pagina phishing, secondo me dipende molto dalla situazione in cui ti trovi

 

[juvann]

capiva che le connessioni non erano sicure, ho provato ad accedere a facebook, navigare su instagram oppure cercare qualsiasi cosa su google ma niente

questo ti succedeva perchè il tool che hai usato intercetta la comunicazione https e prova a fare da transparent proxy.
Per fare questo il tuo tool genera dei certificati ssl al volo self-signed con l'hostname che stai visitando e prova a darlo al tuo client, che naturalmente verifica l'autenticità del certificato, guardando la CA che lo ha rilasciato, se è una CA fidata va avanti e stabilisce la connessione https altrimenti ti dice connessione non sicura.
Per poter intercettare la comunicazione https si può mettere nella lista delle CA fidate la propria CA così il dispositivo parlerà con il tuo pc pensando di parlare con il server e potrai intercettare la comunicazione.
Ma anche per questo ci sono delle contromisure come il pinning dei certificati.
Nelle ultime versioni di android serve l'utente root per poter inserire una propria CA.