Сниффинг HTTPS трафика в Wi-Fi и локальных сетях.

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by user100, 4 Aug 2012.

  1. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,255
    Likes Received:
    9,283
    Reputations:
    338
    В связи с тем, что периодически всплывают темы по сниффингу трафика Wi-Fi и локальных сетей, хочу поделиться опытом перехвата HTTPS трафика под Linux:

    Для начала нам понадобится программа SSLstrip
    Скачать её можно с официального сайта программы.

    Для установки SSLstrip вводим в консоли:
    После установки SSLstrip приступаем непосредственно к перехвату HTTPS – трафика.
    Для начала узнаем IP интернет шлюза, с помощью команды:
    В моем случае шлюзом будет: 192.168.0.1

    На своей машине включаем форвардинг пакетов. Делается это при помощи команды:
    Настраиваем IPtables для перенаправления интернет трафика (с 80 порта на любой другой, у меня это 6000 порт) :
    Запускаем SSLstrip на просушку заданного нами порта:
    С помощью входящей в состав BackTrack утилиты arpspoof , проспуфим ARP-таблицу, для перехвата трафика:
    где IP 192.168.0.103 – машина жертвы
    IP 192.168.0.1 – интернет шлюза.

    Собственно, теперь весь трафик жертвы идет через нашу машину и мы можем вылавливать логины и пароли даже при авторизации через «защищенный протокол» HTTPS. Сама программка SSLstrip при запуске создает в “Home folder” лог файл sslstrip.log, но для верности и удобства пользования можно дополнительно запустить Wireshark.
    Вот живой пример авторизации жертвы через HTTPS на сайте вКонтакте:
    Выводим sslstrip.log:
    [​IMG]

    Смотрим логин с паролем вКонтакта через Wireshark:
    [​IMG]

    Таим же способом может, быть успешно перехвачена авторизация на mail.ru, yandex.ru и т.п.
    --------------------------

    В этом топике находиться мануал по сниффингу HTTPS, при помощи Ettercap входящей в состав BackTrack 5 : ТЫК
    [​IMG]

    // добавлено в карту раздела.
     
    _________________________
    #1 user100, 4 Aug 2012
    Last edited by a moderator: 24 Aug 2012
    CyberTro1n, uzeerpc, VCL and 12 others like this.
  2. fgh_2007

    fgh_2007 Elder - Старейшина

    Joined:
    28 Oct 2011
    Messages:
    77
    Likes Received:
    15
    Reputations:
    12
    можно и так http://i051.radikal.ru/1208/32/356282638205.png

    с помощью скрипта http://comax.fr/yamas.php
     
  3. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,255
    Likes Received:
    9,283
    Reputations:
    338
    Полезный скриптик.
     
    _________________________
    1 person likes this.
  4. picat

    picat New Member

    Joined:
    5 Jun 2012
    Messages:
    60
    Likes Received:
    1
    Reputations:
    0
    если жертва сидит в Макдаке (и еще 500 человек), как мне конкретно его айпи узнать?
     
  5. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,255
    Likes Received:
    9,283
    Reputations:
    338
    Просканируй любым сетевым сканером диапазон IP на "NetBIOS имена ПК" (если знаешь как у твоей жертвы компьютер называется).
    Либо снифай всех скопом и потом парси логи.
     
    _________________________
  6. picat

    picat New Member

    Joined:
    5 Jun 2012
    Messages:
    60
    Likes Received:
    1
    Reputations:
    0
    Как?
     
  7. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,255
    Likes Received:
    9,283
    Reputations:
    338
    Да вот хотя бы с помощью того же скрипта про который fgh_2007 выше написал.
    Либо пингуешь IP-диапазон например Nmap-ом и ручками IP-шники любителей фастфуд-интернета в arpspoof вбиваешь.
    З.Ы.
    Никогда не видел чтоб в Макдаке 500 человек за раз в интернете сидело -максимум человек 5-6 одновременно, так что сложностей не вижу.
     
    _________________________
    #7 user100, 7 Aug 2012
    Last edited: 7 Aug 2012
    Turanchocks_ likes this.
  8. picat

    picat New Member

    Joined:
    5 Jun 2012
    Messages:
    60
    Likes Received:
    1
    Reputations:
    0
    ok, все рабоает, с меня бал в репу!
    Вопрос: почему я должен использовать arpspoof вместо того же банального ettercap? И в чем превосходство? и как с точки зрения моей безопасности (можно спасить также как и ettercap? Для пока геморно только то что нельзя дампить несколько клиентов одновременно.
     
  9. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,255
    Likes Received:
    9,283
    Reputations:
    338
    Использовать arpspoof или ettercap , без разницы. Оба они выполняют одну и ту же функцию спуфинга. Дампить несколько клиентов можно и тем и тем: запускай в разных консолях каждого клиента и все.
     
    _________________________
  10. Biship

    Biship Member

    Joined:
    30 Jan 2012
    Messages:
    37
    Likes Received:
    15
    Reputations:
    0
    У меня следующий вопрос, при использовании скрипта yamas на linux mint? доставил ручками необходимые приложения и библиотеки. В окне password ничего не отображается. Но при выходе из скрипта задается вопрос сохранить ли файл паролей, и если ответить Yes то создается файл паролей в домашней директории, но только если пароли вводились в IE если в Opere и FireFox то не записывает? Так же сохряняется файл yamas.txt большого объема, что с ним делать? wireshark его не знает.
    З.Ы. Проводил эксперименты на домашней сети. Куда копать?
     
  11. fox.fox

    fox.fox New Member

    Joined:
    16 Mar 2012
    Messages:
    31
    Likes Received:
    0
    Reputations:
    0
    yamas.txt открывается любым текстовым редактором установленным в си-ме, значения не имеет IE огненный лис или opera, идет перехват трафика, форма авторизации одинакова каким браузером Вы это делаете значение не имеет.
     
  12. picat

    picat New Member

    Joined:
    5 Jun 2012
    Messages:
    60
    Likes Received:
    1
    Reputations:
    0
    ну в ettercap то не обязательно всех клиентов руками вбивать
    Code:
    (прим. ettercaup -Tql wlan0 -M apr:remote [COLOR=Red][B]// //[/B][/COLOR]
    Вобщем пока экспериментирую :)

    ЗЫ: пример в шапке не совсем удачный - VK же использует обычный http, а тема вроде про https
     
  13. Eddi

    Eddi Member

    Joined:
    2 Aug 2012
    Messages:
    150
    Likes Received:
    11
    Reputations:
    0
    C маком и подобными заведениями использующими Beeline_WiFi_FREE и подобные сети, где вначале вы попадаете на страницу-приглашение. Со спуфингом облом. Не до конца разобрался из-за чего, но юзеры не спуфятся. Возможно связано с тем, что под каждого создается vlan? Хотя на домашней работает без проблем. Какие есть версии? Предлагаю мозговой штурм по этому вопросу.


    Потом, прошу прощение за небольшой оффтоп, но что делать если используются куки, ручками сейчас редко кто пишет...
     
    #13 Eddi, 8 Aug 2012
    Last edited: 8 Aug 2012
  14. Biship

    Biship Member

    Joined:
    30 Jan 2012
    Messages:
    37
    Likes Received:
    15
    Reputations:
    0
    Прекрасно Вас понимаю, НО у меня перехватилась авторизация только через IE, на двух ноутах где опера и лиса не получилось, хотя давал там команду tracert под винду и видел маршрут через ноутбук "перехватчик@? выхожу из скрипта, снова даю tracert идет сразу на роутер. Вот и чеше репу :(
     
  15. picat

    picat New Member

    Joined:
    5 Jun 2012
    Messages:
    60
    Likes Received:
    1
    Reputations:
    0
    Там на АР включен механизм против arp-spoofing'а, CISCO вероятно, однако штатными средствами ВТ можно обойти.

    С кукисами вобще проблем нет, у меня самого Макбукайр, и посмотрев это и особенно вот это видео хулиганю и без помощи BT. Тока вот для работы с хттпс не нашел нормального инструмента для macos
     
  16. Eddi

    Eddi Member

    Joined:
    2 Aug 2012
    Messages:
    150
    Likes Received:
    11
    Reputations:
    0
    Похоже вы недалеки от истины, там стоят именно циски.


    Спасибо за ссылки буду изучать. Не просветите какие утилиты в бактраке используются для преодоления цисковской антиспуфинговой защиты? Буду благодарен.
     
  17. Eddi

    Eddi Member

    Joined:
    2 Aug 2012
    Messages:
    150
    Likes Received:
    11
    Reputations:
    0
    Слушай, спасибо за ссылки посмотрел вроде все просто. Но есть ряд вопросов: как парсить куки в BT и вообще как это на линуксе выглядить будет?
     
  18. FallkeN

    FallkeN New Member

    Joined:
    15 Jul 2012
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    А собсно такой вопрос, это нужен опен спот, на впа2 прокатит?
     
  19. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,255
    Likes Received:
    9,283
    Reputations:
    338
    авторизация "вКонтакте" происходит через https://login.vk.com
    Попробуй без примочек, типа sslstrip, просто wireshark-ом авторизацию там посмотреть.
    В любых Wi-Fi сетях будет работать.
     
    _________________________
  20. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,255
    Likes Received:
    9,283
    Reputations:
    338
    Снифф HTTPS при помощи ettercap

    Перед началом отредактируем в любом txt - редакторе конфиг Ettercap в файле etter.conf
    В BackTrack файл лежит тут: /etc/etter.conf
    Необходимо указать права root- пользователя в строке Privs.В результате строка должна выглядеть так :
    Далее найти строку касающуюся использования Ettercap IP-таблиц для Linux "# if you use iptables:" и убрать # (решетку) в двух строках ниже этой надписи. В результате у Вас строка должна выглядеть так:
    На этом редактирование конфига для Ettercap завершено , и можно сохранить изменения.
    После чего в консоле прописываем форвардинг пакетов. Делается это при помощи команды:
    В той же консоле настраиваем IP-таблицу переадресации портов с указанием интерфейса: 80 порта на 1000 (можно указать любой другой) :
    Открываем еще одну консоль и запускаем Ettercap в режиме MitM:
    При таких настройках ettercap снифит всех пользователей сети, но можно и указать конкретную цель для снифа например: ettercap -Tql wlan0 -M arp:remote /192.168.0.103/ /192.168.0.1/
    Далее в отдельной консоле запускаем SSLstrip на прослушивание нашего 1000 порта:
    Как результат, получаем логины и пароли наших жертв несмотря на HTTPS:
    [​IMG]
     
    _________________________
    PurpleSunset, K1fa and tester_new like this.
Loading...