HAKIM.WS :» Robo de cookies por envenenamiento NBNS
Robo de Cookies por Envenenamiento NBNS

Descargar NBNSCRIPT.SH v2.0 para BackTrack 5 * (17/08/2011)

root@root:~# wget www.hakim.ws/nbnscript.bt5.sh; sh nbnscript.bt5.sh


Descargar NBNSCRIPT.SH v1.2 para BackTrack 3 - Ver video

bt ~ # wget www.hakim.ws/nbnscript.sh; sh nbnscript.sh
[Antecedentes-1]

Las redes IP funcionan a base de direcciones numericas llamadas IP, todos los dominios y nombres de red tienen que resolverse en estas direcciones.

Para conseguir estas direcciones -en internet- se utiliza el protocolo DNS, esto nos indica que el dominio www.google.com esta en la IP 72.14.207.99. -En redes locales- tambien se utiliza el protocolo NBNS, que se encarga de resolver “nombres de equipo” por ejemplo IMPRESORAHP esta en la IP 192.168.2.3.

Las cookies son la informacion con la cual una pagina nos autentica, el navegador entrega estas cookies unicamente a su dominio (y sus subdominios) correspondientes. docs.google.com puede obtener las cookies de google.com


[Descripcion del ataque usando nbnscript.sh]

Cuando resolvemos un dominio en una red Windows, primero se intenta resolver usando DNS, si no obtiene respuesta, se intenta resolver usando NBNS/WINS.

Si podemos contestar todas las peticiones NBNS, podriamos apuntar todos los dominios inexistentes o que no se puedan resolver, como: www.google.cmo www.google.co etc. A un servidor en la red local (nuestra computadora).

La pagina principal de este servidor es la que almacena las cookies, pero como no nos interesan las cookies de los dominios inexistentes, la pagina tambien contiene iframes que apuntan a SUBdominios inexistentes, pero de dominios reales como: http://0.google.com

Estos iframes inexistentes seran resueltos de nuevo por el NBNS apuntandolos a la misma pagina donde obtenemos las cookies, pero como los subdominios tienen acceso a las cookies de los dominios, ahora si obtendremos las cookies de los dominios reales.

Existen servidores DNS como OpenDNS y paginas como hi5.com que redirigen los dominios/subdominios que no se pueden resolver a una pagina, asi que siempre contestan las peticiones DNS. Ej. http://sdcsdcs.hi5.com En este caso lo que se debe hacer es apuntar el iframe a .hi5.com. Ej. http://.hi5.com


[Envenenando peticiones NBNS]

Desde el 2005 se publico FakeNetbiosNS por Patrick Chambet una herramienta que realiza el ataque de spoofing a netbios.

Robert Wesley McGrew creo en el 2007 un mejor spoofer llamado nbnspoof.py y explica cada paso para crearlo.


[Presentando: NBNSCRIPT.SH] Descargar NBNSCRIPT.SH v1.2 - Ver video

Era una reunion el 6 de octubre del 2008, sdc, nitrous, crypkey y yo (hkm) buscando vulnerabilidades en Chrome pensamos que habiamos descubierto algo nuevo, podiamos resolver todas las paginas que queriamos a redtube.com, despues nos encontramos con que ya existia la investigacion y con la herramienta nbnspoof.py y la diversion se termino, bueno, se termino como a las 6:35AM.

NBNScript.sh es un script que facilita este ataque y tiene una interfaz amigable. Esta programado para correr desde un backtrack3 recien reiniciado.

Lo que hace es:

1) Levanta el servidor web Apache con soporte para PHP, crea un index.html que obtiene y manda cookies a getc.php para ser almacenadas en cookies.txt

2) La pagina index.html contiene iframes con subdominios inexistentes que seran redirigidos al mismo index.html

3) Envenena los dominios que no se pueden resolver usando NBNS. Los nombres de equipo son de 16 bytes asi que los dominios inexistentes a envenenar deben ser de 15 caracteres maximo, incluyendo .com


[Ejemplo de un ataque]

Estando en la misma red local, si corres el nbnscript.sh en Backtrak3, usando las opciones por default, cuando alguien que no use Internet Explorer ponga mal algun dominio, o ingrese un dominio que no se pueda resolver, veras sus cookies de google.com, live.com, hi5.com Y facebook.com.


Limitantes:
No-script lo bloquea.
En IE no accesa cookies de subdominios en iframes por lo que no puedes obtener todos los cookies de un jalon.


+++++++++++++++++++++++++ C a s t +++++++++++++++++++++++++++++++++
-por los volcanes! 6sep2008 (6:34am)

@ [sdc] - [nitrous] - [hkm] - [crypkey] @
...so you know its g00d

Robert Wesley McGrew de http://www.mcgrewsecurity.com creo nbnspoof.py
hkm creo el nbnscript.sh para usarlo en su, recien reiniciado backtrack
nitr0us modifico el nbnspoof.py para contestar solo a una IP (dirigido)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Greetzors: altekx, darko, psymera, hit0, napa, nahual, gwolf, nediam

 

Ver video

bt ~ # wget www.hakim.ws/nbnscript.sh; sh nbnscript.sh

hkm {@} hakim.ws 11/08