DNS Spoofing - Otro Método...

Uno muchas veces tiene acceso a una red y su router (por que el 90% de los casos el
usuario y contraseña es admin) pero uno no sabe cómo aprovecharse de esto.
El DNS Spoofing es una técnica muy poderosa, pero por el método típico de ARP
Spoofing es un poco lento y notorio. Para resolver esto vamos a hacer lo siguiente,
en la configuración de los routers es posible especificar un servidor DNS primario y
secundario para resolver las páginas de Internet (el servidor DNS es el encargado de
decirte que google.com es en realidad 190.96.87.19), muchas veces para no depender
de el servidor DNS utilizado por tu ISP. Entonces lo que haremos será especificar un
servidor DNS nuestro como primario y como secundario utilizaremos un servidor DNS
común y muy usado que es el de google (8.8.8.8 y 8.8.4.4), así cuando algún usuario
dentro de la red quiera meterse a gmail.com, primero se resuelva la dirección a
través de nuestro servidor DNS (y lo dirigiríamos a una IP nuestra jijiji) y sino
google se encargara de resolver a la verdadera IP y así no será notorio el ataque.
Manos a la obra ¿Que necesitamos?:
● Verificar que podemos entrar a la configuración del router (Mediante web
o telnet, lo haremos por la primera) o la configuración de internet de la
victima (por acceso físico a la computador o un batch).
● Un servidor DNS (En este caso usaremos BIND, que ya viene configurado en el
paquete de abajo para el fake de gmail.com).
● Alguna web objetivo y su correspondiente fake (en este caso usare gmail.com,
y en el paquete más abajo viene listo).

Para explotar esto hice un paquete, al cual le introduje un poco de batch y PHP para
hacer más sencillo todo esto y este se puede descargar aquí.
El paquete incluye 3 cosas:
● BIND: con el software del mismo nombre, BIND es el servidor DNS más utilizado
en el mundo, viene configurado y listo para explotar www.gmail.com.
● htdocs: que tiene un sistema para facilitar la gestión de fakes y la
recopilación de contraseñas, como ahora intento solo mostrar esto, solo viene
el fake de www.gmail.com, pero hice cosas para facilitar la creación de otros.
● Start.bat: un sencillo script batch para iniciar el servidor BIND.

Poner Fake online

Lo primero es poner la carpeta htdocs de manera que este online, esto tiene que ser
en el mismo servidor que el servidor DNS (así está configurado este último, para
apuntar a sí mismo, pero esto se puede cambiar), para esto lo que yo recomiendo es
usar XAMPP (www.apachefriends.org/es/xampp.html) y dentro de la carpeta instalada
meten los archivos de htdocs en la carpeta htdocs del servidor XAMPP.

Iniciando Servidor DNS

Lo primera es iniciar BIND, para esto solo tenemos que apretar Start.bat que está
en la carpeta principal del paquete. Se nos abrirán dos consolas, una que inicia el
servidor BIND, en la cual si al final sale “running”, estamos al otro lado...

Configurar Router o Computadora

Tenemos dos posibles formas de suplantar en la víctima al servidor DNS.
La primera seria cambiar la configuración de su conexión, pero para eso necesitamos
acceso al PC de la víctima o que esta inicie un batch nuestro o algo. Para hacer
esto nos dirigimos a “Panel de control” →”Conexiones de red” luego ponemos las
propiedades de la conexión buscada, seleccionamos “Protocolo Internet (TCP/IP)” y
sus propiedades, luego “Usar las siguientes direcciones de servidor DNS” y como
primaria escribimos la IP del servidor DNS (en este caso 192.168.1.104, nuestra
computadora, no necesita necesariamente ser interno de la red) y luego como servidor
secundario pondremos al servidor DNS de google (8.8.8.8 o 8.8.4.4)

Para la opción de configurar el router, debemos tener acceso a este, como

normalmente la IP es 192.168.1.1, el usuario “admin” y contraseña “admin” casi
siempre es sencillo entrar. Debemos buscar alguna parte donde se configure el
servidor DNS (Normalmente en la sección WAN), si hay alguna opción disable ponerla
enabled, y tenemos que poner lo mismo que antes (servidor primario: la IP del
servidor DNS nuestro y el servidor secundario usaremos google 8.8.8.8 o 8.8.4.4)

Esperando Victimas
Luego solo nos toca esperar, puede ser que el ataque demore por varias razones, en
primer lugar la víctima puede no visitar la web... o el cache del DNS se demora
mucho en refrescar y el ataque no tiene efecto hasta un par de horas (se puede
solucionar si reiniciamos el router), el ataque se vería así.
Al acceder a gmail, nuestro servidor DNS resuelve www.gmail.com en nuestra IP
especificada (por ejemplo 192.168.1.104), al ingresar a esta index.php verifica cual
es el la dirección por la que llego la victima (en este caso gmail.com), y luego
pone el fake correspondiente a el dominio suplantado, el usuario escribe su email y
contraseña y cuando pone enviar, se envía a login.php que guarda esto en log.txt (en
la carpeta htdocs) y luego redirecciona a la victima a mail.google.com (donde puede
logearse con facilidad)

Nos vamos a la carpeta htdocs de XAMPP, y luego abrimos el archivo log.txt, y WALA!
el usuario y contraseña buscados