Professional Documents
Culture Documents
CAIN
Introduccin
Cain (http://www.oxid.it/cain.html) es una herramienta de recuperacin de contraseas y
sniffing para Windows.
Es muy interesante para realizar ataques de Man in the Middle (MitM) utilizando la tcnica de
ARP-Poisoning, con lo que consigue capturar el trfico que circula por la red aunque no est
destinado a su direccin fsica.
Al llevar integrado un sistema de crackeo de contraseas es capaz de recuperar usuarios y
passwords que sniffa, incluyendo algunos cifrados como SSHv1, hashes de Windows,
Adems incorpora un sistema de generacin de certificados SSL falsos con los que es capaz de
captura trfico web cifrado (pginas https) si se aceptan dichos certificados como vlidos en el
equipo atacado.
CAIN
Funcionamiento
A la hora de utilizar Cain es
importante asegurarnos de que
nuestro adaptador de red funciona en
modo promiscuo. De esta manera no
se descartaran las tramas que lleguen
a nuestro adaptador y que no
coincidan con su direccin MAC. En
Virtualbox podemos comprobar como
al definir las propiedades de los
adaptadores de red tenemos una que
indica si queremos utilizar el modo
promiscuo o modo monitor.
Como ya hemos comentado Cain se puede utilizar como Sniffer y como Cracker.
CAIN
Cuando finalice veremos una lista de las IP encontradas, las MACs indicndonos los mtodos
que han servido para localizarlas.
CAIN
Ahora vamos a la pestaa inferior con el nombre APR y pulsamos el botn con el simbolo
ms en azul.
Nos aparecer una pantalla de seleccin donde especificaremos que queremos sniffar las
comunicaciones entre el equipo seleccionado a la izquierda con los equipos seleccionados a la
derecha (no tienen porque ser todos).
Una vez configurado el ataque lo podemos lanzar pulsando el botn con el smbolo de peligro
de radiacin en amarillo.
Automticamente Cain se pone a envenenar las tablas ARP de la red para conseguir redirigir el
trfico.
CAIN
Veremos que empezarn a aparecer relaciones entre IPs en el panel inferior. Inicialmente
aparecern todas con el status Hal-routing. Con este status se est redirigiendo ya el trfico
hacia nosotros pero nicamente en uno de los sentidos (ida o vuelta).
Estando en status Half-routing ya es posible sniffar trfico pero no podremos descubrir
autentificaciones que impliquen un proceso de desafio, ya que perderemos parte de las
comunicaciones.
CAIN
Puede que no podamos conseguir poner todas las comunicaciones en Full-routing ya que hay
casos en que no se puede sustituir correctamente la cache MAC de los equipos.
A partir de este momento podemos ir a la pestaa inferior Passwords y esperar a ver los
passwords detectados en la red.
Existen formas muy simples de evitar ataques de Man in the Middle con ARP-Poisoning,
consistentes bsicamente en limitar el nmero de MACs que admite cada puerto en los
switches de nuestra red.
Esta opcin se llama Port Security y permite bloquear los puertos que reciban direcciones
MAC no autorizadas.
Otra posibilidad es guardar una cache ARP (relacin IP-MAC) fija en los dispositivos y equipos
de la red, de forma que no hay posibilidad alguna de alterar sus caches.
CAIN
Prctica 1 Man in the Middle con un router
Como prctica vamos a realizar un ataque Man in the Middle poniendo como objetivo un
router de salida a internet de manera que conseguiremos capturar todas las comunicaciones
con el exterior.
Antes de nada podemos abrir Wireshark y ponerlo a sniffar paquetes icmp.
Si nos vamos a algn otro equipo de la red veremos que los paquetes ICMP no se capturan
cuando hacemos un ping.
CAIN
Procedemos a hacer tal como se ha indicado en el apartado de funcionamiento.
En las capturas el equipo que ataca tiene la IP 172.18.2.137 y el router tiene la IP 172.18.2.1. El
resto de equipos estn en el rango 172.18.2.0/24.
CAIN
Podemos hacer pruebas de captura de password, por ejemplo entrando desde un equipo de la
red en un ftp. Fijaos que el cliente es la IP 172.18.2.135 y por tanto no es la IP del equipo que
ataca.
CAIN
Nos aparecer tambin el Password (ms algn carcter adicional en este caso).
10
CAIN
11
CAIN
12
CAIN
Referencias
Wiki
http://es.wikipedia.org/wiki/Ca%C3%ADn_y_Abel_(software)
Ejemplos de uso
http://www.thehackerslibrary.com/?p=414
http://www.thehackerslibrary.com/?p=419
http://www.thehackerslibrary.com/?p=440
http://www.thehackerslibrary.com/?p=446
Arp Cache
http://www.tech-faq.com/clear-arp-cache.html
13