MITM

Cambiando peticiones al vuelo

Pablo Plaza Martínez
 ¿QUIÉN SOY?

BISITE
• Analista de ciberseguridad en BISITE.

• Miembro de la selección española de

ciberseguridad.

• Participante en CTFs a nivel nacional e

internacional

Contacto:
• Blog personal: https://ironhackers.es

• Email: pablosk1997@usal.es

• LinkedIn: @pabloplazamartinez
 Man In The Middle

Introducción
Un ataque Man In The Middle, como su nombre
indica, consiste en introducirse en medio de una
comunicación de dos activos.
Objetivos de un atacante:
• Robo de información
• Denegación de servicio
• Modificación de las comunicaciones
 Man In The Middle
Funcionamiento teórico
La manera en la que un atacante realiza este tipo de
ataques es mediante la suplantación de alguno de
los activos de la comunicación. Lo habitual es que se
suplante a la puerta de enlace (router) mediante
diferentes técnicas.
Técnicas de suplantación
• ARP Poisoning
• DNS Poisoning
• Port Stealing
• DHCP Spoofing
 ARP Poisoning
Funcionamiento teórico
Los equipos utilizan el protocolo ARP para asociar la
dirección MAC e IP del resto de equipos con los que se
comunica. El ataque funciona mediante el
envenenamiento de la cache ARP de los equipos
asociando la dirección IP del objetivo con la MAC del
control del atacante provocando el envió de paquetes
hacia el atacante.
Pasos
1. El atacante escanea las direcciones MAC e IP de los
hosts de la red en la que desea realizar el ataque
2. Una vez elegido su objetivo comienza a enviar
paquetes ARP. Estos paquetes contienen la dirección
MAC del atacante asociada a la dirección IP de la
víctima.
3. Si el atacante ha logrado envenenar la tabla de ARP
de los dispositivos comenzará a recibir los paquetes
dirigidos a la dirección IP de la victima
 ARP Poisoning
Aplicación práctica
El objetivo más común del envenenamiento de ARP es
suplantar a la puerta de enlace (router) de cara a uno de
los clientes de la red.
Escenario
• Máquina atacante:
• IP: 192.168.43.103
• MAC: 9c:b6:d0:69:00:fd

• Router:
• IP: 192.168.43.1
• MAC: 9c:2e:a1:f7:d0:b5

• Víctima:
• IP: 192.168.1.44
 MITMPROXY
Introducción
Mitmproxy es un proxy interactivo con soporte para
HTTPS. Tiene un cliente muy versátil que permite
visualizar e interactuar con las peticiones recibidas.
También cuenta con una API con la que podremos
automatizar ciertas tareas de forma sencilla.
Al ejecutar mitmproxy se despliega un servidor en el
puerto 8080 (por defecto) que espera la llegada de
peticiones.
Usos
• Depuración del tráfico web
• Automatizaciones en la navegación web y
herramientas
• Ataques MITM
 MITMPROXY
Aplicación práctica
Las peticiones que llegan desde la víctima a la máquina Para la redirección del tráfico de la víctima al servidor de
del atacante deben ser procesadas y enviadas a la mitmproxy se pueden utilizar herramientas como IPTABLES
puerta de enlace para que lleguen a su destino
(internet) y regresen a la víctima.
iptables -t nat -A PREROUTING -i wlan0 -p tcp -
Para ello se utiliza un proxy como mitmproxy -dport 80 -j REDIRECT --to-port 8080
Pasos
• Redirigir el tráfico de la maquina victima a mitmproxy
• Ejecutar mitmproxy
• Visualizar las peticiones de la víctima
 MITM
Interactuando con peticiones
En un ataque Man In The Middle uno de los objetivos de
los atacantes puede ser modificar las respuestas de las
peticiones para lograr cierta interacción del usuario.
Posibles vectores:
• Phishing
• Distribución de malware
• Robo de información
• Ataques combinados
 MITM
Automatización y ejemplo final
Una de las ventajas de mitmproxy es su potente API de Python
que permite interactuar con las peticiones mediante scripts.
En 15 líneas un atacante podría ser capaz de interceptar las
peticiones de descarga de archivos ejecutables y reemplazarlos
con un malware desarrollado por el atacante.
GRACIAS