Como indica en el nombre del post, hoy os voy a hablar de Ghost Phiser. Tomando como referencia la descripción de la web de los autores, nos queda claro que es una herramienta para "auditar" redes wi-fi/Ethernet con las siguientes perrerías:
Muchas funciones son similares a las que comentamos el otro dia en la entrada de Subterfuge.Vamos a ir viéndolas poco a poco para entenderlas mejor.
La instalación es tan sencilla como descargar el paquete .deb con la penúltima versión... y luego hacer un dpkg -i nombre.deb. Es curioso que no pueda bajar la última versión directamente, y deba hacerlo mediante el GUI de actualización de la propia tool.
La ubicación del script para iniciar Ghost Phiser está en /opt/Ghost-phiser/.
Lo primero que vamos a hacer es habilitar el ARP Poisoning lo que hará que inundaremos la red con solicitudes ARP suplantando la dirección IP de la puerta de enlace, la que nos da salida hacia internet, con la dirección de Ghost Phiser.
La siguiente opción que vamos a configurar es Fake DNS Server, indicándole que el servidor DNS somos nosotros ( Ghost Phiser) y que todas las resoluciones de URL-IP las ofrecemos nosotros.
***Una recomendación básica a la hora de conectarnos a nustras webs preferidas en entornos de baja confianza, como son la red Wi-fi de la cafeteria de turno, biblioteca, centro de trabajo etc es realizar está comprobación, mediante un ping a la url que queremos visitar. Direcciones ip de destino en red local no son sintoma de que estamos acciendo a donde realmente queremos acceder. Otra opción sería realizar un Tracert y ver las rutas que siguen los paquetes hacia una dirección.
Por supuesto que otra recomendación es entrar a web "seguras" mediante https y revisar el famoso candado a la busqueda de los datos del certificado digital. Esta opción no es infalible, ya que como hablamos hace unos días es posible falsear estos certificados mediante colisiones de hashes, pero con esta recomedación nos quitamos de un plumazo a muchos "oportunistas" xD. ***
Ya podemos redirigir el tráfico de nuestros compañeros hacia donde queramos. Ahora vamos a montar un servidor Fake Http que muestre la web que queramos. En este caso configuramos una copia de http://gmail.com que será atendida por nuestro Ghost Phiser para todas las solicitudes hechas ( El fake DNS se encargará de brindar acceso a nuestro "Gmail pirata" )
Simple y efectivo.
Otro vector de ataque podría ser redirigir las peticiones web hacia un servidor corriendo Metasploit, con el fin de enviar el payload que nos proporcionará acceso meterpreter. Para ello basta con configurar las opciones de Ghost Trap.
Vamos a ver las opciones de Hijacking. Como sabéis, es la obtención de cookies de sesión para su posterior uso. Es decir, que si alguien navega por una web autenticada o no, recibiremos sus credenciales a modo de cookie validada, con lo que podremos suplantar su personalidad sin saber el usuario y password.
Como podéis ver, esta herramienta hace muy cómodo el trabajo de captura de credenciales y todo lo relacionado con los clásicos ataques de Man In the Middle.
Ser prudentes con el uso que le dais.
Como siempre, gracias por leerme y espero que os guste.
Google +