CAIN

CAIN
Introduccin
Cain (http://www.oxid.it/cain.html) es una herramienta de recuperacin de contraseas y
sniffing para Windows.
Es muy interesante para realizar ataques de Man in the Middle (MitM) utilizando la tcnica de
ARP-Poisoning, con lo que consigue capturar el trfico que circula por la red aunque no est
destinado a su direccin fsica.
Al llevar integrado un sistema de crackeo de contraseas es capaz de recuperar usuarios y
passwords que sniffa, incluyendo algunos cifrados como SSHv1, hashes de Windows,
Adems incorpora un sistema de generacin de certificados SSL falsos con los que es capaz de
captura trfico web cifrado (pginas https) si se aceptan dichos certificados como vlidos en el
equipo atacado.

CAIN
Funcionamiento
A la hora de utilizar Cain es
importante asegurarnos de que
nuestro adaptador de red funciona en
modo promiscuo. De esta manera no
se descartaran las tramas que lleguen
a nuestro adaptador y que no
coincidan con su direccin MAC. En
Virtualbox podemos comprobar como
al definir las propiedades de los
adaptadores de red tenemos una que
indica si queremos utilizar el modo
promiscuo o modo monitor.
Como ya hemos comentado Cain se puede utilizar como Sniffer y como Cracker.

CAIN

Para hacer un ataque Man in the Middle

deberemos acceder a la pestaa Sniffer e
iniciar un escaneado de contraseas, ya sea
desde el men contextual con la opcin Scan
MAC Address o pulsando el botn con el
smbolo ms en azul de la barra de botones.
Este botn equivale a hacer la opcin por
defecto y provoca una accin diferente en
funcin de la pestaa donde nos
encontremos.

Antes de escanear deberemos indicarles el rango de IP, pudiendo

dejar la opcin por defecto para que escanee todos los equipos.
Tambin tenemos la posibilidad de indicarle cuales son los tipos
de test que debe hacer para encontrar los equipos.

Cuando finalice veremos una lista de las IP encontradas, las MACs indicndonos los mtodos
que han servido para localizarlas.

CAIN

Ahora vamos a la pestaa inferior con el nombre APR y pulsamos el botn con el simbolo
ms en azul.

Nos aparecer una pantalla de seleccin donde especificaremos que queremos sniffar las
comunicaciones entre el equipo seleccionado a la izquierda con los equipos seleccionados a la
derecha (no tienen porque ser todos).

Una vez configurado el ataque lo podemos lanzar pulsando el botn con el smbolo de peligro
de radiacin en amarillo.

Automticamente Cain se pone a envenenar las tablas ARP de la red para conseguir redirigir el
trfico.

CAIN
Veremos que empezarn a aparecer relaciones entre IPs en el panel inferior. Inicialmente
aparecern todas con el status Hal-routing. Con este status se est redirigiendo ya el trfico
hacia nosotros pero nicamente en uno de los sentidos (ida o vuelta).
Estando en status Half-routing ya es posible sniffar trfico pero no podremos descubrir
autentificaciones que impliquen un proceso de desafio, ya que perderemos parte de las
comunicaciones.

Con el tiempo empezarn a aparecer status de Full-routing indicndonos que sniffamos la

comunicacin en ambos sentidos.

CAIN
Puede que no podamos conseguir poner todas las comunicaciones en Full-routing ya que hay
casos en que no se puede sustituir correctamente la cache MAC de los equipos.
A partir de este momento podemos ir a la pestaa inferior Passwords y esperar a ver los
passwords detectados en la red.

Existen formas muy simples de evitar ataques de Man in the Middle con ARP-Poisoning,
consistentes bsicamente en limitar el nmero de MACs que admite cada puerto en los
switches de nuestra red.
Esta opcin se llama Port Security y permite bloquear los puertos que reciban direcciones
MAC no autorizadas.
Otra posibilidad es guardar una cache ARP (relacin IP-MAC) fija en los dispositivos y equipos
de la red, de forma que no hay posibilidad alguna de alterar sus caches.

CAIN
Prctica 1 Man in the Middle con un router
Como prctica vamos a realizar un ataque Man in the Middle poniendo como objetivo un
router de salida a internet de manera que conseguiremos capturar todas las comunicaciones
con el exterior.
Antes de nada podemos abrir Wireshark y ponerlo a sniffar paquetes icmp.

Si nos vamos a algn otro equipo de la red veremos que los paquetes ICMP no se capturan
cuando hacemos un ping.

CAIN
Procedemos a hacer tal como se ha indicado en el apartado de funcionamiento.
En las capturas el equipo que ataca tiene la IP 172.18.2.137 y el router tiene la IP 172.18.2.1. El
resto de equipos estn en el rango 172.18.2.0/24.

Vemos que ya estamos consiguiendo trfico.

Si volvemos a probar a capturar paquetes ICMP con Wireshark vemos que ahora s que captura
los pings de otros equipos de la red.

CAIN
Podemos hacer pruebas de captura de password, por ejemplo entrando desde un equipo de la
red en un ftp. Fijaos que el cliente es la IP 172.18.2.135 y por tanto no es la IP del equipo que
ataca.

Si entramos en alguna web con

autentificacin tambin podemos
capturar passwords.
Por ejemplo si entramos en la demo
de Moodle, capturaremos usuario y
contrasea por http.

Igualmente en otros webs, como cpanel.net/demo/

CAIN

Nos aparecer tambin el Password (ms algn carcter adicional en este caso).

Tambin es posible captura contraseas de correo.

Es posible incluso capturar trfico cifrado

gracias a los certificados falsos que se
generan, siempre que consigamos que el
usuario nos valide dicho certificado, aunque
en ocasiones debido a malas
configuraciones es posible hacerlo de forma
transparente al usuario.
En caso de acceder a una web con
certificado falso nos aparecer un mensaje
en el navegador, como en este caso al
acceder a youtube con https.

10

CAIN

El navegador nos permitir aceptar el

certificado si lo confirmamos como una
excepcin de seguridad, ya que no est
certificado por ninguna autoridad en la
que confiemos.
Hecho esto, a partir de ahora todo el
trfico cifrado hacia youtube podr ser
interceptado.

11

CAIN

Prctica 2 Man in the Middle con un servidor

Podis hacer una prctica similar a la prctica 1 pero esta vez interceptando las
comunicaciones con un servidor.
Es interesante por ejemplo probar las opciones de crackeo que proporciona para descifrar
contraseas de Windows, o de sistemas gestores de bases de datos, tipo Oracle, MySQL,

12

CAIN

Referencias
Wiki
http://es.wikipedia.org/wiki/Ca%C3%ADn_y_Abel_(software)

Wiki Man in the Middle

http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

Ejemplos de uso
http://www.thehackerslibrary.com/?p=414
http://www.thehackerslibrary.com/?p=419
http://www.thehackerslibrary.com/?p=440
http://www.thehackerslibrary.com/?p=446

Arp Cache
http://www.tech-faq.com/clear-arp-cache.html

13