Personal Blog
This is a personal blog to register my academic journey
This project is maintained by villacisJimmy
Project 3 🚀
S (Situación)
ARP Spoofing and MiTM Attack
Este laboratorio tiene como objetivo demostar el uso de un conjunto de herramientas para generar un ataque ARP Spoofing y el robo de credenciales en sitios sin tecnología SSL y TLS. Como cualquier reto de seguridad informática tenemos que tener en consideración la primera fase [reconocimiento]. [Reconocimiento]: No se puede atacar lo que no se conoce, de ahí tan famosa frase “conoce a tu enemigo y conócete a ti mismo” de Sun Tzu. Pues bien debemos identificar que dispositivo va a ser nuestra victima. Para este laboratorio hemos preparado un entorno con 2 máquinas virtuales. La primera [kali linux] quién asume el rol de atacar, la segunda Windows11 quien sera la victima y un tercer dispositivo sera el Router.
[Descripción del ataque]:
- Un atacante [Kali] con direccion IP [192.168.64.8] y MAC [b6-99-69-c1-11-f7], tiene como objetivo interponerse en la comunicacion del sistema [Windows11] con IP [192.168.64.10] y MAC [52-d3-c3-5d-40-fd] y el router con IP [192.168.64.1] y MAC [a2-78-17-b6-59-64].
- La maquina Kali envia tramas [ARP Reply] a cada uno de ellos. Kali le indica a windows11 que la IP del router se corresponde con su MAC. Al equipo router le indica que la IP de windows11 se corresponde con su MAC
- Cuando ambos sistemas reciban la información y lo almacenen en sus tablas ARP se encontrarán ya engañados. El sistema Windows creerá que se esta comunicando con la IP del router pero estará enviandole la información a la máquina Kali.
Para qué el ataque sea exitoso, se deben cumplir ciertos criterios:
- Que el atacante este dentro del mismo segmento que la víctima.
- Que el engaño sea mantenido durante el tiempo que sea necesario para realizar el ataque.
- Para esto la máquina atacante debe enviar cada cierto tiempo tramas ARP reply falsas.
- De esta manera logramos que la victima no trate de obtener la información de la tabla por sus propios medios.
T (Tarea)
- Objetivo principal: Interponerse en la comunicación entre Windows11 y el router, logrando capturar tráfico web en texto claro.
- Subtareas:
- Identificar direcciones IP y MAC activas en la red (fase de reconocimiento).
- Enviar respuestas ARP falsas para engañar a la víctima y al router.
- Mantener la suplantación activa durante toda la sesión.
- Usar herramientas de auditoría de red para analizar el tráfico interceptado.
A (Acción)
- Verificar direccionamiento IP
- Suponiendo que no conocemos la dirección IP de windows, el primer paso es realizar un reconocimiento en la red para ver que equipos se encuentran vivos.
- Realizamos un mapeo con la herramienta nmap a la [red], parametro obtenido en el paso 1 apartado [netmask: 255.255.255.0]
- Realizamos un mapeo con la herramienta nmap a la [red], parametro obtenido en el paso 1 apartado [netmask: 255.255.255.0]
-
Primero debemos instalar bettercap en el sistema Kali ‘’’ sudo apt install bettercap ‘’’
-
Podemos ver el menu de ayuda con la palabra clave ‘help’
-
Utilizamos el framework Bettercap para realizar la misma tarea de reconocimiento en la red. ‘’’ net.recon on net.probe on net.show ‘’’
La interfaz es mucho mas fácil de interpretar y podemos ver claramente los dispositivos del laboratorio
- Realizamos el ataque con las siguientes instrucciones
‘’’
set arp.spoof.fullduplex true
set arp.spoof.targets [192.168.64.10] -> IP Windows
arp.spoof on
net.sniff on
‘’’
Con eso ya somos capaces de interceptar el trafico que genera la maquina Windows
Parte del laboratorio tiene como finalidad demostrar la captura de credenciales sobre el protocolo HTTP. Seguimos con las siguientes instrucciones:
- Realizar login dentro de [testfire.net/login.jsp] este es un sitio web vulnerable utilizado para practicar de pentesting.
Una vez el usurio ingresa sus credenciales y haya realizado el login, en nuetra máquina Kali somos capaces de ver las credenciales en texto plano. Esto como consecuencia del uso de HTTP.
Hasta acá ya hemos podido demostrar como es posible realizar un ataque que MiTM ayudandonos del protocolo ARP. Ahora vamos a poceder a realizar un poco de verificación y ver un poco como actuó este ataque detrás de escena.
- Procedemos en la maquina windows a verificar la tabla ARP. Dentro de la terminal o powershell
‘’’
arp -a
‘’’
Vemos la direccion IP del router [192.168.64.1] asocianda a su dirección MAC [a2-78-17-b6-59-64]
Ahora vamos a ver la comparacion entre la tabla antes y después del ataque con bettercap
Se logra apreciar como la direccion MAC del router a cambiado a la direccion MAC de la maquina Kali (MiTM).
Haciendo uso de wireshark analizamos el tráfico al momento que el ataque fue realizado.
Es posible ver mensajes que advierten que se ha detectado una tráfico duplicado. Que se corresponden con la maquina Kali y el router.
R (Resultado)
- El ataque fue exitoso: Kali logró posicionarse como intermediario en la comunicación entre Windows11 y el router.
- Se capturó tráfico sensible en texto claro, evidenciando usuario y contraseña en un sitio HTTP sin cifrado.
- El laboratorio demostró:
- La vulnerabilidad de protocolos sin cifrado.
- La importancia de implementar TLS/HTTPS y medidas de detección (IDS/IPS).