Quindi, ultimamente sono stato molto interessato ai test di penetrazione e all'apprendimento del nocciolo della tecnologia. Corsi di dong su architettura informatica, crittografia, legge di sorveglianza e reti di computer. Non ho mai realizzato quanto amo questa roba.
Quindi, ho un computer inutilizzato a casa con cui ho impostato per giocare. In questo momento sto cercando di annusare le password sulla rete con SSLsplit e arp-spoofing. Ovviamente, con l'HSTS, questo diventa un po 'più difficile.
A quanto pare, se puoi manipolare il server NTP su un target, puoi quindi passare il set max-age di HSTS, in modo che il client si connetta nuovamente senza SSL prima che HSTS ne imposti uno nuovo.
La mia domanda è, come faccio a fare questo? Ho visto strumenti come delorean, ma per qualsiasi motivo, indipendentemente da cosa digiti, delorean mostra sempre solo la schermata di aiuto ...
Tl; Dr Come puoi eseguire un attacco sul server NTP di un computer durante un attacco uomo nel mezzo per spostare l'ora in avanti sulla macchina.