Сниффинг HTTPS трафика в Wi-Fi и локальных сетях.

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by user100, 4 Aug 2012.

  1. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,847
    Likes Received:
    13,715
    Reputations:
    352
    Программа бесплатная, инструкция тут: https://forum.antichat.ru/showthread.php?p=3423087#post3423087
     
    _________________________
  2. Arsenno

    Arsenno New Member

    Joined:
    12 Feb 2013
    Messages:
    20
    Likes Received:
    0
    Reputations:
    0
    Доброго времени суток уважаемые форумчане.
    Делаю все как описано, но
    на шаге где пишу ettercap -Tql wlan0 -M arp:remote // //
    вываливается с ошибкой, что не сконфигурированы интерфейсы, и выше смотрю что он сканить пытается eth0, а не wlan2 как нужно мне. В чем может быть дело?
    Я погуглил и запустил ettercap с ключами -i -G запустился он с графическим интерфейсом, указал что нужно слушать через wlan2 интерфейс, обновил список хостов , он все нашел, добавил кнопками add yo target1 клиента кнопкой add to target2 свой роутер. выбрал плагин ch_poison и начал слушать.
    Слушал свой планшет, после того как запустил сниффер мой планшет отказался какие либо сайты грузить вообще напрочь, хотя в снифеере в логах айпишники куда обращался планшет есть.
    А когда запускал эту команду sslstrip -l 1000 он вообще мне писал что не знает такую, если я правильно понимаю, нужно скачать и установить в backtrack?
    У меня backtrack 5 r2 на флешке загрузочный.
    Сейчас снова буду с нее грузится и пробовать.
    Заранее всем откликнувшимся благодарен.
    С уважением!
     
  3. javier2012

    javier2012 New Member

    Joined:
    25 Jan 2013
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    не идет пока BT5 R1(sniffing)

    сразу хочу сказать огромное спасибо user100, спасибо старина за сильные советы!
    теперь прошу помощи.
    не могу найти мануал по kismac, нужна инфо по sniffingu, проблема с перехватом и обработкой cookie, не знаю что писать в терминале, после команды cat ~/DumpLog ... получаю кучу текста...не хочу засарять форум ненужным текстом,вобщем нужна инструкция,помогите плз.
    есть еще задача, BT 5R1, ettercap не идет, т.е идет только не перехватывает ничего просто во время атаки на клиента , машина клиента не может открыть ни один сайт.
    все делал по рекомендациям user100, исправлял etter.comf и т.д., еще раз огромное спасибо человеку!
     
  4. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,847
    Likes Received:
    13,715
    Reputations:
    352
    Kismac'ом не пользовался, так что за него ни чего толком сказать не могу. Ну а мануальчик по нему можете посмотреть здесь: http://habrahabr.ru/post/90307/

    Там как раз раздел по снифингу трафика есть.
    А вообще проще печеньки перехватывать через Cookie Cager: https://forum.antichat.ru/thread372902.html

    И работает он и под BackTrack и MAC OS и под Win .
     
    _________________________
  5. javier2012

    javier2012 New Member

    Joined:
    25 Jan 2013
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    доброе время суток!
    спасибо за скорую и своевременную помощь!про кисмак почитал, но пока еще не разобрался. слабое место это " печинюхи" метя скоро жена из дома выгонит из за них)) палагаю что из за этого пока ничего толком не выходит. в БТ 5 не могу исправить ошибку при запуске ettercap (dissector "dns" not supported (etter.conf line 70)).
    в wireshark не получается увидеть пароль и логин,после сбора файлов уже прямо прописывал в поиске пароль который использовал и ничего...дело в том что я уже почитал и посмотрел, но непонял нужно ли еще что то вроде (add n edit cookies проги) или еще какойто софт, просто скачал wiresharc и т.к у меня мак, пришлось что бы работал скачать "X11".
    сечас по твоему совету загручил cookie cadger, буду рыть))
    надеючь что все получится).
    помоги плз...
    спасибо.
     
  6. blackbone

    blackbone New Member

    Joined:
    13 Feb 2013
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Доброго дня,
    Пожалуйста поясните новичку 2 вещи:
    1. В строке sslstrip -l 6000 - поясните пожалуйста функцию этой команды простым языком и главное откуда нужно брать значение? Где то пишут 1000 где то 6000...
    2.в строчке arpspoof как мне узнать айпи жертвы и айпи шлюза и свой айпи?
    Я понимаю что вопросы очень примитивные и буду сильно благодарен тому, кто поможет понять эти вещи.
    Спасибо за внимание.
     
  7. javier2012

    javier2012 New Member

    Joined:
    25 Jan 2013
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    доброе время суток!
    я такойже профан в этой теме но уже кое что понял, я знаю как ждешь помощи когда уже все перерыл и не знаешь в каком направлении идти...
    так вот, не объясню грамотно но в общих чертах да. команда sslstrip является частью процесса переадрессации потока информации(т.е. пакетов которые вы пытаетесь извлеч из тарфика) нужно читать об этом, я просто в кратце попытаюсь объяснить что делать с 6000 и что это за цифра. после конфигурации твоего wifi устройства в терменале, следующим шагом является так называемый форвардин твоего каналa, через который будет идти весь поток(трафик).выглядит это так,
    echo "1" > /proc/sys/net/ipv4/ip_forward
    потомо следует продцедура переадрессации канала
    iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000 (внимание!!!) это и есть искомый номер, твой вопрос... сюда ты можешь вписать номер любого канала... 6000... 10000... 1000, главное что бы ты его же вписал в команду sslstrip -l 10000 ( как сейчас я это сделал). обязательно проверь все команды на форуме, пишу из головы. четай статьи user100, все очень дохотчиво и понятно, на пример тут на первой странице.
    по поводу ip, твой можешь узнать в настройках сети, можно прогуглить, здесь нужно много искать просто спрашивать ... не пойдет) чужие ip..я например их вижу в wireshark или в ettercap, после команды ettercap -G, нажимаешь shift+u, cntr+s и потом H , еще раз хочу предуредить что все пишу из головы, если что не идет иди в карту этого раздела и читай знающих людей, рекомендую еще раз use100 и теща.все очень грамотно и по теме. удачи.
     
  8. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,847
    Likes Received:
    13,715
    Reputations:
    352
    1. 1000 или 6000 это всего навсего свободный порт на наш выбор, на который мы перенаправляем трафик с 80 порта. Суть данной команды (sslstrip -l 6000 ) - задаем программе слушать порт № 6000. В настройках IP -таблици ( см. предыдущий пункт мануальчика) мы прокинули траф именно на 6000 порт.

    2. отвечал на данный вопрос в посте # 7
     
    _________________________
  9. javier2012

    javier2012 New Member

    Joined:
    25 Jan 2013
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте!
    не могу найти пароли в трафике wireshark. у меня в сети 3 машини, запускаю прогу на одной а на остальных зохожу в facebook .и вконтакт, затем останавливаю сканирование и ищу... прописывая разные слова в поиске.. такие как post, pass, password, login, и совствено сами логины и пароли.не чего не находится. поиск и саму програму настраиваю как описано в форуме.
    зарание спасибо.
     
  10. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,847
    Likes Received:
    13,715
    Reputations:
    352
    Для ВК в шарке должно отображаться так:
    http://radikal.ru/F/s41.radikal.ru/i093/1208/ab/8f934d4ecb3b.jpg.html
     
    _________________________
  11. javier2012

    javier2012 New Member

    Joined:
    25 Jan 2013
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    здравствуйте!
    с wireshark уже все в порядке)
    но все равно спасибо, все было написано на форуме, это просто я тупил.
     
  12. javier2012

    javier2012 New Member

    Joined:
    25 Jan 2013
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    здравствуйте!
    сейчас пытаюсь установить на ВТ 4 cookie cadger(уж больно понравилась програмка,попробывал на маке, класс, только вот видитл тлько свою машину, полагаю что с ним в паре должен работать sslstrip что бы он видел трафики остальных хостов) , т.к пользусь линуксом совсем не давно возникают проблемы, не получается установить java 7( на сайте cookie cadger пишут что для нормальной работы необходима java7) гуглил, пробывас установки с сайта java, пока не очень выходит.если ктото может подсказать по поводу сookie cadger в мак ..и нужен ли ему sslstrip или по поводу установки cookie cadger и явы на ВТ, буду очень презнателен.
     
  13. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,847
    Likes Received:
    13,715
    Reputations:
    352
    На ВТ 5 проблем с Java не наблюдается. Для cookie cadger SSL - strip не главное , он только для перехвата https трафика, главное ARP - спуфинг запустить, тогда пойдет траф с машин прослушиваемой сети. Если в Маке запускать cookie cadger , то опять же надо ставить Java , Wireshark и до кучи любую прогу для ARP-спуфинга.
     
    _________________________
    #53 user100, 28 Feb 2013
    Last edited: 28 Feb 2013
  14. javier2012

    javier2012 New Member

    Joined:
    25 Jan 2013
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    здравствуйте!
    как всегда огромное спасибо за поддержку, уже установил cookie cadger на bt4, пробую и разбераюсь пока, поночалу когда запускаю арпспуф действительно видит хостов на котарыз прописан арпспуф, но что пока не понятно что не хочет открывать старници, т.е. открывает все кроме того чего надо, тех где уже прошла регистарация, т.е моя вконтакте на пример.. но все равно все пока нормально, ищу.. пока без тупиков)))
    П.С. за мак спасибо обязательно попробую.только еще не заню что установит для арпспуфа, но это я разберусь)
     
  15. javier2012

    javier2012 New Member

    Joined:
    25 Jan 2013
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    да и еще кроме спасибо user100, хотелось бы еще чем то быть полезным, рейтинг добавлять не выходит т.к. нужно еще комуто раньше добавить,а помогали только вы не знаю как могу отблагодарить, но не стистисняйтесь если что, я на пример могбы помоч с какимто переводом, французский испанский или если надо английкий... может что то поискать по иностранным сайтам(хотя и есть переводы, но мне часто помогает), я не специалист в поиске, но с удовольствием постарался бы.
    для админа , извени что не по теме, не знал где это писать, больше не буду.
     
  16. gidropopka

    gidropopka New Member

    Joined:
    12 Jan 2013
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте, имеется локальная сеть, с несколькими точками WiFi (киско сюстемс) висят на 10.7.97.242-257 на них открыт один порт 23 телнетовский, остальные почему то закрыты, 10.7.97.1 роутер тоже киска на нем только 21 порт открыт, как можно в этом случае сниффить трафик у тех кто подключился к WiFi? Имеется доступ к компу в этой сети. И оффтоп : возможно ли узнать пароль от киски имея физический доступ к ней, то есть могу подойти и снять ее
     
    #56 gidropopka, 6 Mar 2013
    Last edited: 6 Mar 2013
  17. Swifite

    Swifite New Member

    Joined:
    15 Dec 2012
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Имеется проблема со спуфингом. После arpspoof на пк жертвы "пропадает" интернет.
    Форвардинг включен. Wireshark видит пакеты "жертвы".
    В чем может быть проблема?
     
  18. Eddi

    Eddi Member

    Joined:
    2 Aug 2012
    Messages:
    181
    Likes Received:
    11
    Reputations:
    0
    Всем привет.

    В последнее время все чаще замечаю, все больший объем данных идет по защищенным протоколам, приложениями все чаще используется 443 порт, pop3s порт вместо pop3, imap4s вместо imap4 и т.д.
    Как всем, наверное, понятно - сие не есть гуд.

    Посему возник стратегический вопрос: если с ресурсами используящими https наравне с http проблем нет - sslstrip наше все, то что делать с остальными, где работа по незащищенному протоколу просто невозможна?

    Почитал немного про возможные виды атак типа "мужик по центру" (MiTM) на SSL. Нашел кое-что: можно, используя openssl выдавать собственный сертификат, это конечно повлечет "ругань"браузеров (типа "сертификат получен из ненадежного центра"), но вроде как использовать можно.

    Для данной атаки можно использовать утилиту sslsniff, кстати автор тот же, кто и написал sslstrip.

    Ребят, кто что может сказать по предложенной теме, может у кого уже был подобный опыт или есть что добавить/прокомментировать?
     
  19. Tip.the.besT

    Tip.the.besT Member

    Joined:
    24 Jun 2009
    Messages:
    270
    Likes Received:
    10
    Reputations:
    4
    Решил заюзать ettercap, но получил вот такую проблему:
    Code:
    root@bt:~# ettercap -Tql wlan0 -M arp:remote // //
    
    ettercap 0.7.4.1 copyright 2001-2011 ALoR & NaGA
    
    Listening on eth0... (Ethernet)
    
      eth0 ->	F0:DE:F1:E7:F4:1F           invalid           invalid
    
    SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
    Privileges dropped to UID 65534 GID 65534...
    
      28 plugins
      40 protocol dissectors
      55 ports monitored
    7587 mac vendor fingerprint
    1766 tcp OS fingerprint
    2183 known services
    
    Randomizing -1 hosts for scanning...
    Scanning the whole netmask for -1 hosts...
    0 hosts added to the hosts list...
    
    FATAL: MITM attacks can't be used on unconfigured interfaces
    
    
    Мне не ясно почему он пытается через eth0, если я пишу wlan0.Как поправить данное недоразумение? Ось BT5R3.
     
  20. tester_new

    tester_new Elder - Старейшина

    Joined:
    12 Feb 2012
    Messages:
    292
    Likes Received:
    41
    Reputations:
    24

    Попробуй добавь -i перед названием интерфейса.
     
Loading...