Downgrade SSHv2

Todo sobre seguridad, exploits, vulnerabilidades, bug's, etc.

Moderador: Moderadores

Downgrade SSHv2

Notapor jochy » Mar Ago 10, 2010 3:28 am

Saludos.
La siguiente imagen muestra la filosifia de realizar un downgrade a SSHv2:

Imagen

lo que se busca es obligar a la victima a que establezca una sesion SSHv1 con el servidor, en vez de una
sesion SSHv2, para esto la condicion es que el servidor maneje ambas versiones de SSH (1 y 2) de lo contrario no es posible el ataque,
por que el servidor no establecera una sesion SSHv1 por mas que la victima lo solicite.

Ahora, supongamos que tanto la victima como el servidor solo soporten SSHv2. En teoria es posible que el atacante al verse imposibilitado
a obligar a la victima a usar la version 1(SSHv1), haga lo siguiente:
1. Cuando la victima envie el primer mensaje (I want to stablish a secure shell), el atacante le responda como si fuese el servidor
y establezca una sesion SSHv2 con la victima.
2 Por otro lado, el atacante iniciara una sesion SSHv2 con el servidor legitimo
3. Cuando la victima envie datos al servidor (atacante en realidad), el atacante los revelara y los enviara por la otra sesion SSHv2 que tiene establecida con
el servidor real. con el trafico de vuelta realizará la misma accion.

Es factible un ataque como el que describo?
Existe alguna herramienta que automatice lo anterio?

gracias de antemano.
jochy
:-D
:-D
 
Mensajes: 120
Registrado: Vie Mar 27, 2009 4:04 am

Re: Downgrade SSHv2

Notapor vlan7 » Mar Ago 10, 2010 6:30 am

Buenas,

Son inteligentes tus preguntas. Busca en google por jmitm2. Te adelanto que esta herramienta no hace spoofing (o no hacia en su momento), tendras que recurrir a otras herramientas para hacer un ARP-spoof, dns-spoof, o similar.

De todas formas, ten en cuenta que a la victima le saldra un WARNING bien grande diciendole que las claves RSA han cambiado (evidente). El ataque no es complicado, pero depende totalmente de que la victima ignore el WARNING, acepte y continue.

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Downgrade SSHv2

Notapor vlan7 » Vie Ago 13, 2010 8:10 am

Buenas,

He escrito una entrada con 3 videos explicando el proceso del ataque.

http://www.vlan7.org/2010/08/mitm-contra-sshv2-con-jmitm2-sin.html

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Downgrade SSHv2

Notapor jochy » Vie Ago 13, 2010 11:04 pm

Saludos.
Gracias vlan7 he seguido tus videos, simplemente genial.
Lo acabo de probar y funciona perfectamente.
Por otra parte el tio David Gümbel, si que se ha hecho un buen trabajo, aqui http://www.david-guembel.de/index.php?id=20 presenta
los fundamentos teoricos de la herramienta.

De nuevo gracias.
jochy
:-D
:-D
 
Mensajes: 120
Registrado: Vie Mar 27, 2009 4:04 am

Re: Downgrade SSHv2

Notapor jochy » Vie Ago 13, 2010 11:09 pm

Saludos.
Se me olvidaba, la herramienta permite capturar la clave sshv2 pero al poner el wireshark la sesion sshv2 se ve tan encriptada como siempre,
Debido a que se estan estableciendo 2 sesiones sshv2 y el atacante encripta y desencripta de una para enviar a otra. No deberia verse todo el trafico
plano?
o
El paso de una sesion a otra se da dentro de la maquina del atacante y por eso no se ve en el sniffer?

Gracias otra vez.
jochy
:-D
:-D
 
Mensajes: 120
Registrado: Vie Mar 27, 2009 4:04 am

Re: Downgrade SSHv2

Notapor vlan7 » Dom Ago 15, 2010 1:23 pm

Buenas,

De la pagina oficial:

for authentication, a new MitmFakeAuthenticationProvider is created, that passes username and password to the MitmGlue object, which can log them and use them for authentication at the target host


De ahi entiendo que se presenta una pantalla de login falsa a la victima, de ahi que sea capaz de capturar las credenciales. Pero el trafico sale ya cifrado de la victima, es por eso que si pones un sniffer a correr ves pasar el trafico... cifrado, valga la redundancia.

Un saludo.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP


Volver a Seguridad

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 3 invitados

cron