Sidejacking: Robando sesiones mediante Cookies

Sidejacking: Robando sesiones mediante Cookies

Bueno, para el robo de Cookies podríamos utilizar programas como Hamster y Ferret … sin embargo, leyendo un tutorial buenisimo (pongo la fuente al final) me doy cuenta de que como podemos hacer lo mismo simplemente utilizando nuestro navegador Firefox y alguna que otra extensión .

No se considera Hijacking como tal el robo de sesiones mediante Cookies, por que realmente no se secuestra totalmente la sesión, solo obtenemos el permiso para entrar en una sesión, pero el usuario víctima no pierde ningún derecho o acceso. Asi que se trata de Sidejacking.

Bueno, claro que eso es solo para insertar la cookie. Primero tenemos que obtenerla y si estamos en una red switcheada, basta con hacer un Arp Poisoning (ataque MitM explicado con anterioridad en Apuntux) para que el tráfico pase a través de nuestra máquina.

Bueno, definamos conceptos con wikipedia: cookie, sidejacking,  sniffing.

Cookie: Una cookie (pronunciado ['ku.ki]; literalmente galleta) es un fragmento de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página. Esta información puede ser luego recuperada por el servidor en posteriores visitas. En ocasiones también se le llama “huella”.

De esta forma, los usos más frecuentes de las cookies son:
* Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo una cookie no identifica a una persona, sino a una combinación de computador y navegador.
* Conseguir información sobre los hábitos de navegación del usuario, e intentos de spyware, por parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores.

Sidejacking: In computer science, session hijacking refers to the exploitation of a valid computer session—sometimes also called a session key—to gain unauthorized access to information or services in a computer system. In particular, it is used to refer to the theft of a magic cookie used to authenticate a user to a remote server. It has particular relevance to web developers, as the HTTP cookies used to maintain a session on many web sites can be easily stolen by an attacker using an intermediary computer or with access to the saved cookies on the victim’s computer (see HTTP cookie theft).

Sniffing: Un packet sniffer es un programa para monitorizar y analizar el tráfico en una red de computadoras, detectando los cuellos de botella y problemas que existan. También puede ser utilizado para “captar”, lícitamente o no, los datos que son transmitidos en la red.

¿Qué vamos a hacer?

Vamos a sniffear el tráfico esperando obtener (mediante un analizador de tráfico) la cookie de alguna víctima (puede ser de cuando el usuario se conecta a Gmail, Hotmail, etc). Luego ingresaremos esa cookie con el plugin “Add N Edit Cookies” de Firefox, lo podemos bajar de aqui: https://addons.mozilla.org/es-ES/firefox/addon/573

Momento… pero …

¿Que cookie en especial estamos buscando?

Bueno, para descubrir que Cookie es la encargada de nuestra sesión podemos utilizar el Add n Edit Cookies para ver cuales son las cookies que tenemos para un sitio donde hemos guardado nuestra sesión (Gmail, Hotmail, etc). Y de ahí solo queda borrar de una por una y verificar en cual ya no nos deja seguir accediendo a nuestra cuenta, ésa sería la cookie que buscamos. Otra forma de ver las Cookies para un sitio viene siendo en el mismo Firefox > Editar > Preferencias > Privacidad > Mostrar Cookies.

Otra forma es en el navegador, en la barra de direcciones poner: javascript:alert(“Cookies: “+document.cookie)

Ok … del documento que me estoy basando, hay un listado de las cookies específicas para algunos servicios… les dejo la tabla para su análisis:

Windows Live Hotmail (live.com) > RPSTAuth

Gmail (mail.google.com) > GX

Tuenti (tuenti.com) > sid

Myspace (myspace.com) > MYUSERINFO

Yahoo (yahoo.com) > T, Y (* se ocupan las 2)

Ebay (ebay.es) > nonsession, s, cid (se ocupan las 3)

Youtube (youtube.com) > LOGIN_INFO

Mercadolibre (mercadolibre.com.mx) > orghash, orgnickp, orguserid, orguseridp, orgpago (las 5 creo que se ocupan, o hagan pruebas jaja)

*Por confirmar

Como sniffear en Wireshark?

Recomendaciones:

- En Wireshark (corriendolo como root) ir a Capture > Interfaces > eth1 (o la que sea nuestra interfaz) y seleccionamos Options

- Para este caso, podemos dejar el capture filter como: tcp port http

- Corremos la captura de tráfico… y en el filter ponemos lo siguiente: http.cookie , con eso solamente visualizaremos los paquetes que incluyan Cookies

- Si ya sabemos que servicio buscar entonces podemos filtrar asi: http.cookie contains “gmail” u otra consulta podria ser http.cookie contains “mercadolibre”

- Seleccionamos el paquete que creamos nos pueda llevar a la información de la Cookie que necesitamos, haciendo Follow TCP Stream … (checa los POST, los GET /mail, cosas asi )

- Analizamos el Stream y vamos sacando la información de la Cookie que necesitemos, esa información la agregaremos con el Add n Edit Cookies

- En Firefox, vamos a Herramientas > Cookie Editor … damos click en Add y simplemente llenamos los datos con lo que hemos sniffeado, en el caso para Gmail sería algo como:

NAME: GX

CONTENT: Lo que sacamos en el Follow TCP Stream

HOST: mail.google.com (viene en las primeras líneas del Follow TCP Stream)

PATH: /

Si tienes duda de cual es la Cookie de la sesión… pues agrega todas! jajaja… y vas descartando posibilidades o hacemos la prueba de registrarnos en el sitio web del que queramos hacer el Sidejacking y vamos probando con eliminación cual es la Cookie de la sesión.

Salu2!

Fuente:

Capturando Cookies. http://usuarios.lycos.es/detodo1pokaso/descargas/CapturandoCookies_NiLHoP.pdf