Man In The Middle using Evil FOCA For Fun And Profit

 Evil FOCA... For Fun And Profit



Desde que Chema Alonso anunció la liberación de EVIL FOCA en RootedCON el último día, la verdad, me alegré .. Por fin veríamos lo que solo el manejaba ;)

Por lo tanto ya tenemos al Padre FOCA, a su mujer 

FORENSIC FOCA y al diablo del niño recién nacido EVIL 

FOCA como trío de la muerte.

Esta versión es capaz de realizar distintos ataques como:



-MITM sobre redes IPv4 con DHCP ACK Injection.

-MITM sobre redes IPv6 con Neighbor Advertisement Spoofing.

-MITM sobreredes IPv6 con Ataque SLAAC.

-Ataques de  Rogue DHCPv6.

-DoS (Denegación de Servicio) sobre redes IPv4 con
ARP Spoofing.

-DoS (Denegación de Servicio) sobre redes IPv6 con SLAAC DoS.

-MITM sobre redes IPv4 con ARP Spoofing.

-DNS Hijacking.



La GUI es fresca como las anteriores, nada recargada, intuitiva y sencilla.. coño, es bonita !!



                                                 GUI muy Mona ella
            
En cuanto a la usabilidad, directamente, es "perfecta" .. es decir, adaptable en todo momento a las necesidades del pentester para este tipo de ataques ..

No me voy a parar en hacer demostraciones que ya están en red y no os voy a enseñar nada nuevo, pero hombre, algo habrá que mostrar digo yo ..

Atacando con Evil Foca.. Hagamos de Beta Testers


Se trata de enviar un paquete SLAAC para que el equipo se configure la dirección del atacante como puerta de enlace IPv6., pero para que esto funcione, es necesario que el protocolo IPv4 no consiga configuración vía DHCP, y se configure con una dirección de vínculo local...

Si, no es tan fácil a priori .. deberias controlar las redes de datos...

                           

                                                RA enviado a la víctima
                                           
Pero claro, y ahora que? .. tenemos que mirar en la víctima para ver que tiene configuración IPv4 de vínculo local, configuración de IPv6 de vínculo local, y la dirección IPv6 en la tarjeta generada con SLAAC con conectividad con la puerta de enlace, que es la dirección IPv6 del atacante.

                                             

      Victima Ipv6 con SLAAC y DNS Autodiscovery

Lo que aparece es una dirección IPv6 generada por Evil FOCA cuando la víctima le envía las peticiones de resolución DNS a los servidores de DNS Autodiscovery configurados por defecto en IPv6.

Y El resto del ataque lo hace solito Evil FOCA. Cada enlace HTTPs que viene en las páginas HTML de respuesta sufre un sslStrip, es decir, se le quita la "s", se hace con HTTP. Por lo tanto la negociación de las credenciales de Facebook en este caso irá en claro.. se puede ver como Evil FOCA ha dado HTTP en vez de HTTP´S by the face

      Navegando a Facebook.com desde la víctima por IPv6




La víctima navega normalmente bajo HTTP usando IPv6


EN MI HUMILDE OPINIÓN EN RÁPIDA, EFICAZ, USABLE, INTUITIVA Y DIABÓLICA .. ALGO MÁS? siendo gratis ? Improbable .. !!!


Pero para saber como va esto bien de  Evil FOCA o te pillas el libro de Ataques en redes de datos IPv4 & IPv6, como he hecho yo .. o lo tienes más difícil .. eso tenlo claro, no es apretar un botón, es saber " A que botón apretar"

EN MI HUMILDE OPINIÓN EN RÁPIDA, EFICAZ, USABLE, INTUITIVA Y DIABÓLICA .. ALGO MÁS?

Un saludo

Live Free or Die Hacking







Entradas populares de este blog

SHELLCODES por un tubo ....

Proteger ASP.NET de inyecciones SQL How T0? BEST PRACTICES

CERTIFICACIONES DE SEGURIDAD