Jugando a robar cookies con surfjack

Todo sobre seguridad, exploits, vulnerabilidades, bug's, etc.

Moderador: Moderadores

Jugando a robar cookies con surfjack

Notapor vlan7 » Mar Jun 23, 2009 12:40 am

Hola,

Hace tiempo, cuando escribi un post sobre Sidejacking con hamster y ferret, Sor_Zitroen me mando un documento para incluirlo como enlace. El documento se titulaba Surfjacking. https will not save you.

A mi se me paso incluirlo, hoy lo vi y a esto es a lo que he podido llegar. A estar logeado en Wadalbertia sin logearme, es decir, sin introducir user/pass.

El atacante envenena a la/s victima/s haciendole/s creer que el es el router, mediante un ataque arp-spoofing que todos aqui sabemos como funciona:

Imagen

Podria explicar un poco mas esto que hace el atacante, pero os dejo jugar un poco... :badgrin:

Imagen

Pista: Ejecutad primero surfjack y os generara un INI por defecto, que podreis editar.

El atacante ve que la victima esta logeada:

Imagen

Entonces, que no viene en el README esto tampoco: Apuntamos el navegador al proxy local donde escucha surfjack (fijaos en que puerto escucha, el propio surfjack lo dice ;)) y tras escribir en el navegador del atacante:

Código: Seleccionar todo
http://setcookies


el navegador nos respondera con un:

Imagen

Entonces yo segui con mi papel de atacante, me dirigi a wadalbertia y ya estaba logeado :roll:

Imagen

Espero que os haya gustado si no lo conociais.

Suerte,
Última edición por vlan7 el Mar Ago 16, 2011 9:46 am, editado 6 veces en total
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NewLog » Mar Jun 23, 2009 11:34 am

Así que más o menos el 'surfjacking' lo que hace es guardar todas las cookies que son 'generadas' para la víctima, no?

Volviendo a mi general ignorancia, como lo consigue? Quiero decir que el servidor sólo le envía una vez la información a la víctima para que la cookie sea generada, no? Entonces, supongo que necesitas estar esnifando justo en el momento en el que se transmite la información. Entonces no sería lo mismo (o mejor) esnifar el password a secas?

Supongo que me equivoco porqué quizá las cookies no se generan como imagino.

En fin, nueva info de calidad! Realmente ninguna red va a estar a salvo con nosotros conectados a ellas! Jajaja :badgrin:
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Notapor Sor_Zitroën » Mar Jun 23, 2009 11:55 am

Por lo que me miré en su momento, el documento hace referencia a que aunque utilices HTTPS si se fuerza una redirección al mismo dominio pero para HTTP pues... las cookies viajan en claro y se pueden capturar con un MITM. Y eso es lo que hace el script de Python, forzar la redirección; y una vez ha capturado las cookies las 'almacena' en un proxy que está funcionando en la máquina del atacante. Éste sólo tiene que conectar al proxy, el cual envía las cookies al navegador y ya puede loguearse en el servicio (foro, webmail, ...) correspondiente a las cookies.

Dicho esto, en su momento escribí un documento sobre cookies para entender mejor todo el tema, y uno de los apartados del documento era sobre ataques: SideJacking, SurfJacking, MITM, ... El documento es corto (7 páginas) pero bastante conciso, y pienso que está decente. Si hay interés me lo comentais y miro de traducirlo, porque me lo redacté en valenciano.


PD: todo el funcionamiento del SurfJacking lo digo de teoría porque no lo he probado. vlan7 que me corrija si me he colado en algo.
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor NewLog » Mar Jun 23, 2009 12:06 pm

Si el SurfJacking hace lo que dices que hace, entonces, es muy parecido al otro hilo que abrío vlan7 sobre el SSLStrip, aunque el surfjack.py sólo captura las cookies y no todo el tráfico como el anterior.

Por mi, puedes subir el documento en valenciano también ;)
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Notapor vlan7 » Mar Jun 23, 2009 12:17 pm

Sobre surfjacking, esto era solo una introduccion, no tiene mucho sentido, o si, hacerlo con paginas sin https.

Newlog, desarrollare mas el tema sobre obtener cookies en paginas https, con lo cual "no podriamos" esnifar el password, no con surfjacking, pues el pass viaja cifrado en una conexion https entre el cliente y el servidor. Quise empezar explicandolo con nuestro foro como un guiño, algo asi como una muestra de cariño por toda la informacion que se puede encontrar aqui.

Sor, solo añadir que la clave es que surfjacking solo funciona si la cookie no esta establecida como Secure, tal y como explica el documento que me pasaste en su dia.

Sitios como gmail ya han solucionado el fallo, pero lamentablemente aun quedan sitios, bancos tambien, vulnerables a este ataque.

Comentare tambien un complemento muy majo a esta herramienta.

<EDIT>
Por mi tambien puedes subir el documento en valenciano
</EDIT>

Stay clean,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor Sor_Zitroën » Mar Jun 23, 2009 12:21 pm

Newlog, no creo que tenga mucho que ver una cosa con la otra. En los dos se hace MITM, pero poco más; creo que SSLStrip no fuerza redirección de ningún tipo. Pero digo lo mismo de antes, tampoco lo he probado y de ése sí que no me sé nada de su funcionamiento. ;)


vlan7, sobre lo de secure flag tienes toda la razón. Se me había pasado comentarlo, pero sí está activo ese flag SurfJacking se cae por su propio peso. Pero así y todo se podrían hacer putadas con MITM + SSL. Eso lo comento en el documento.
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor NewLog » Mar Jun 23, 2009 12:57 pm

Newlog escribió:Newlog, desarrollare mas el tema sobre obtener cookies en paginas https, con lo cual "no podriamos" esnifar el password, no con surfjacking, pues el pass viaja cifrado en una conexion https entre el cliente y el servidor.


Vale, a partir de este hilo he entendido un concepto que se me pasó en el del SSLStrip. El SSLStrip no esnifa una conexión segura, sinó que evita que dicha conexión se realice, y en vez de entrar por https, entra por http (diría que SSLStrip síq ue hace una redirección, no?). Si un servidor no estuviera configurado para servir páginas via http el ataque con SSLStrip no sería posible.

Sin embargo, con SurfJack, sí que podríamos 'esnifar' la cookie aunque se utilizara SSL. El único inconveniente es que el flag de seguridad de la cookie no puede estar activado.

En fin, espero que mi resumen sea correcto. Sino, una cagada más a la lista :roll:
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Notapor vlan7 » Mar Jun 23, 2009 4:55 pm

He editado el primer post.

Basicamente porque primero lanzamos el ataque y despues, cuando vemos a la victima logeada, dado que le hemos robado la/s cookie/s, el atacante las "setea" y se dirige al sitio donde esta logeada la victima sin introducir user/pass.

Podeis probarlo por ejemplo con amazon, yo lo acabo de probar ahora mismo, vereis como se pasa el SSL por el forro. No pongo screenshots porque el procedimiento es el mismo que el que segui para este nuestro foro.

Tengo alguna idea en mente para realizar el ataque si la victima _YA_ esta logeada. Lo probare cuando pueda y ya os comentare.

NewLog, si te parece bien te respondo en el otro hilo para no mezclar temas. ;)

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor vlan7 » Vie Jul 10, 2009 1:08 am

El complemento majo del que hablaba:

Surf Jacking Cookie Security Inspector 0.2. por Cliff

Checks for insecure cookies based on Sandro Gauci's Surf Jacking paper. When potentially-insecure sites are being viewed, a warning is displayed on the status bar. More information regarding the vulnerability this extension checks for can be obtained from Sandro's Paper published on Enable Security.

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP


Volver a Seguridad

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 4 invitados

cron