SSL Strip su Fedora24

5

Voglio eseguire un attacco MITM sulla mia rete e ho seguito diversi tutorial su come utilizzare sslstrip, iptables e arpspoof.

Ma ogni volta che eseguo l'attacco, perdo la connessione sul dispositivo di destinazione per quasi tutti i siti Web, ad eccezione di Google, Facebook e altri. Potrebbe essere che io perda la connessione ai siti web, che sono protetti solo da HTTP e non da HTTPS come i siti web più grandi?

Il file sslstrip.log è sempre vuoto, anche se sslstrip è in esecuzione. Ecco l'ordine dei comandi che uso:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 8080
arpspoof -i wlp3s0 -t 192.168.178.125 -r 192.168.178.1
sslstrip -l 8080

Per vedere che cosa sta succedendo, io uso tail -f sslstrip.log

Spero che tu possa dirmi cosa sto sbagliando.

    
posta fullcowl 02.10.2016 - 22:25
fonte

1 risposta

1

Penso che tu stia facendo bene i comandi ... ma la tecnica sslstrip non dipende solo dalla tua parte. Dipende da molti fattori ... se la "vittima" sta usando segnalibri usando sempre https://whateverpage non c'è niente da fare. Chiederà direttamente sempre una pagina crittografata.

Se la "vittima" chiede le pagine usando whateverpage.com senza mettere prima di https, sta per chiedere la pagina http. Anche se il sito ha attivato HSTS (che riceverà la richiesta http e lo reindirizzerà alla versione della pagina https), puoi eseguire sslstrip perché c'è una richiesta per una pagina http ... solo una, ma sufficiente per sslstrip. Mostrerà la pagina in chiaro alla "vittima" e farà la connessione ssl al sito reale.

Così tante persone dicono "HSTS è la soluzione per sslstrip". E questo è NON VERO . Ho eseguito sslstrip un sacco di volte testando l'accesso alle pagine con HSTS e funziona ... hanno la chiave come ho detto è che la vittima deve fare la richiesta iniziale http (senza "s").

Un altro fattore decisivo è che notypage non può essere sslstripped se si utilizzano browser comuni ... Voglio dire, se usi Chrome, Firefox o Internet Explorer per esempio ... questi browser hanno un elenco interno di siti ssl conosciuti. I siti (come Twitter o Facebook ad esempio) non verranno mai sslstripped perché il browser sa che SEMPRE deve cercarli utilizzando https anche se l'utente ha fatto la "cattiva richiesta" mettendo facebook.com senza specificare https: // before. Immagino che questi siti paghino alle aziende del browser di essere in quella lista.

Ti suggerisco di provare contro pagine ssl poco conosciute perché in questo modo ci sono meno possibilità di crash nei tuoi test contro un sito che si trova negli elenchi interni del browser.

Ci sono tecniche più avanzate per fare sslstrip anche alle pagine di quelle liste ... come l'attacco deloreano, ecc ... ma sono più complicate.

    
risposta data 17.12.2016 - 20:13
fonte

Leggi altre domande sui tag