Non riesco ad accedere alla maggior parte dei siti web utilizzando un AP falso creato dalla suite aircrack-ng

4

La domanda Impostazione un AP falso - problema con iptables e server DNS , ho postato prima è stato risposto e corretto, per non confondere le persone che cercano lo stesso problema in futuro ho voluto postare una nuova domanda che segue il problema che avevo ma non lo fa ho davvero qualcosa a che fare con questo, dato che la prima domanda riguardava il mio iptables e l'utilizzo di un server DNS, questa domanda riguarda solo il DNS e la configurazione dei miei host o sospetto, e l'argomento di questa domanda è in realtà abbastanza diverso.

Ho qualche difficoltà ad accedere ai siti web usando un AP con ponte che ho creato con la suite aircrack-ng.

Non posso accedere a siti web come: yahoo, hotmail, google, CNN ecc. Ma posso accedere a diversi siti web come Facebook, YouTube e la barra degli indirizzi di ricerca con il motore di google funziona bene.
Ho impostato il mio etc / dhcp / dhcpd.conf e il mio routing & Voce delle tabelle IP come segue;
esecuzione della configurazione di iptables e regole di instradamento at0 (file bash):

#!/bin/sh
ifconfig at0 up
ifconfig at0 10.0.0.1 netmask 255.255.255.0
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

server DHCP in esecuzione: /etc/init.d/isc-dhcp-server start

/etc/dhcp/dhcpd.conf file:

authoritative;
default-lease-time 600;
max-lease-time 7200;
subnet 10.0.0.0 netmask 255.255.255.0
{
    option subnet-mask 255.255.255.0;
    option domain-name "freewifi";
    option routers 10.0.0.1;
    option domain-name-servers 194.90.0.1;
    range 10.0.0.10 10.0.0.20;
}

Il server DNS che sto usando è il miglior server DNS offerto usando NameBench.py.

Sto ricevendo questo messaggio su google, ad esempio, ed è lo stesso per molti altri siti web:

Possoeseguireilping,manonpossoapt-getousarewget,ilchesignificachenonhodavveroaccessoaInternet(?)

UsandoKaliLinux,MTUè1500,lamiavelocitàèdi5Mb/sutilizzandolaconnessionewireless.Qualèilproblemaqui?

  • Aggiorna
    SonoingradodiconnettersidirettamenteasitiWebchenonpotreiprimasedigitonellabarradegliindirizzi: link ma se è senza https dice che non è in grado di connettersi.

Ho letto da qualche parte che mozila consente solo connessioni HTTPS o potrebbe essere il Kali che obbliga HTTPS a renderlo sicuro. Su WireShark vedo molti TCP DUP ACK'S e RST'S.

    
posta eyal360 30.01.2017 - 11:03
fonte

1 risposta

3

Dopo alcuni commenti, sei sulla strada ... ora devi individuare esattamente il tuo problema. Per avviare sslstrip posso consigliarti questa nomenclatura:

sslstrip -f -p -k -l 10000

-l to listen on port. so 10000 is default, you can avoid this or change port.
-k this kills possible previous sslstrip sessions in progress, recommended.
-f this change the favicon to a lock similar to used in https pages. It rocks if the victim uses old internet explorer versions, useless on chrome and firefox.
-p log only ssls POSTs

Naturalmente se lo lanci, devi attivare la regola: iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000 come abbiamo detto nei commenti precedenti.

Penso che tu stia facendo bene i comandi ... ma sslstrip è una tecnica da cui dipende non solo dalla tua parte. Se la "vittima" usa link ben costruiti come https://whatever.com non hai niente da fare. Chiederà direttamente sempre una pagina crittografata.

Così tante persone dicono "HSTS è la soluzione per sslstrip". E questo NON è VERO. Ho eseguito sslstrip un sacco di volte testando l'accesso alle pagine con HSTS e funziona ... hanno la chiave come ho detto è che la vittima deve fare la richiesta iniziale http (senza "s").

Un altro fattore decisivo è che notypage può essere sslstripped se usi browser comuni sulle ultime versioni da qualche anno ... Voglio dire, se usi i moderni Chrome, Firefox o Internet Explorer per esempio ... questi browser hanno un elenco interno di siti ssl noti. I siti (come Twitter o Facebook per esempio) non verranno mai sslstripped perché il browser sa che SEMPRE deve cercarli utilizzando https anche se l'utente ha fatto la "cattiva richiesta" mettendo facebook.com senza specificare https: // before. Immagino che questi siti paghino alle aziende del browser di essere in quella lista.

Esistono tecniche più avanzate per eseguire sslstrip anche nelle pagine di tali elenchi ... come l'attacco Delorean o l'uso di sslstrip + anche chiamato sslstrip2 che richiede DNS e proxy ecc ... ma sono più complicati.

Ti suggerisco di provare contro pagine ssl poco conosciute perché in questo modo ci sono meno possibilità di crash nei tuoi test contro un sito che si trova negli elenchi interni del browser.

Buona fortuna!

    
risposta data 31.01.2017 - 09:14
fonte

Leggi altre domande sui tag