Bettercap 2.x SSLStrip non interrompe TLS (senza HSTS)

1

Ho l'ultima versione di bettercap. Ho l'ultima versione di Kali linux che utilizza l'ultima versione di VirtualBox sull'ultima versione di Windows 10. Il mio computer di destinazione è la versione più bassa possibile di WindowsXP con l'IE predefinito e Chrome installato. Inizierò innanzitutto esaminando ciò che penso di conoscere e la risoluzione dei problemi che ho fatto. Bettercap sembra funzionare nel senso che può afferrare password da normali siti Web HTTP ma non da siti Web HTTPS.

Ciò che PENSO di sapere.

-SSLStrip converte HTTPS in HTTP

-SSLStrip non funziona su tutto ciò che ha precaricato HSTS

-SSLStrip funziona solo su siti Web HSTS non precaricati se e solo se l'utente lo visita per la "prima" volta.

-SSLStrip funzionerà contro TLS e SSL se HSTS non viene utilizzato

-Se HSTS non è implementato, una vittima non ha bisogno di fare qualcosa di specifico o essere ingannato nell'installare alcun certs.

-SSLStrip tenterà di reindirizzare TUTTI i siti Web HTTPS visitati dalla vittima alla loro controparte HTTP.

Cosa voglio fare -Monitorare il traffico del computer della vittima

- Chiedere all'utente della vittima di andare al mio server LAMP personale, fare clic sulla pagina di accesso che ho scritto e ricevere una versione HTTP del mio dominio. (più precisamente link )

: consente all'utente della vittima di visitare un sito Web non HSTS reale come shopify.com, fare clic sulla pagina di accesso e ricevere una versione HTTP del collegamento (più precisamente link )

Cosa ho fatto

Ho usato un metodo di installazione tipico

apt-get install bettercap

Ho seguito questo sito web

link

Ho usato questi comandi dopo aver attivato bettercap

» set http.proxy.sslstrip true
» set net.sniff.verbose false
» set arp.spoof.targets 192.168.1.6
» arp.spoof on
» http.proxy on
» net.sniff on

Che cosa funziona

-Può reindirizzare correttamente il traffico delle vittime al dispositivo attaccante

-Può afferrare con successo le intestazioni

-Può visualizzare correttamente la password quando la inserisco in siti Web non HTTP

Cosa NON è

: la parte in cui HTTPS deve essere automaticamente convertita in HTTP

Quindi ragazzi, mi sento come se mi mancasse qualcosa di essenziale. Sembra troppo semplice che un processo fallisca. Quindi, cos'è? Cosa mi manca?

    
posta user21303 10.12.2018 - 02:04
fonte

1 risposta

1
  • SSLStrip converts HTTPS to HTTP

Non esattamente; non è possibile "convertire HTTPS in HTTP" una volta stabilita una connessione SSL / TLS (a meno che il server non invii il client a tale reindirizzamento, ma non si possa impersonare il server senza la sua chiave privata). Lo fa solo nel senso che gli URL vengono riscritti da https:// a http:// .

  • SSLStrip will work against TLS and SSL if HSTS is not used

  • SSLStrip will not work on anything that does not have HSTS preloaded

  • SSLStrip will only work on non-preloaded HSTS websites if and only if the user is visiting it for the "first" time.

Allo stesso modo, l'attacco qui non è contro SSL / TLS stesso. SSLStrip funziona intercettando richieste HTTP non sicure, in chiaro, e riscrivendo il contenuto in modo tale che il client non tenti mai di utilizzare HTTPS. Vedi questa domanda / risposta correlata . L'HSTS è efficacemente progettato per sconfiggere attacchi come SSLStrip forzando il client ad avviare le connessioni HTTPS dall'inizio (nel caso del precarico) o una volta che è stata inviata l'intestazione corretta.

  • SSLStrip will attempt to redirect ALL HTTPS websites the victim visits to their HTTP counterpart.

Bene, non possiamo reindirizzare HTTPS a HTTP se il client sta già tentando di connettersi tramite HTTPS, per le ragioni sopra menzionate.

Get the victim user to go to a real non HSTS website like shopify.com, click the login page and receive an HTTP version of http://shopify.com (more accurately http://accounts.shopify.com)

Secondo hstspreload.org , shopify.com è precaricato, quindi qualsiasi test contro questo dominio fallirà poiché il browser proverà automaticamente a connettersi con HTTPS.

Quindi, per testare correttamente SSLStrip, è necessario che la "vittima" inserisca un URL HTTP (non HTTPS) con un dominio che non è precaricato.

    
risposta data 10.12.2018 - 04:00
fonte

Leggi altre domande sui tag