Sólo texto | Texto con Imágenes

Test Foro de elhacker.net SMF 2.1

Seguridad Informática => Hacking => Mensaje iniciado por: cinteria en 1 Febrero 2011, 22:01 PM

Título: conuslta CAIN y ABEL contra HTTPS
Publicado por: cinteria en 1 Febrero 2011, 22:01 PM
alguien me ayuda, tengo instalado cain y a mi victima cuando ingresa a hotmail le pase la advertencia que no esta ingresando a un sitio seguro es decir no valida el certificado (https) como se puede solucionar para que no vea esto
gracias
Título: Re: conuslta CAIN y ABEL contra HTTPS
Publicado por: APOKLIPTICO en 4 Febrero 2011, 00:24 AM
Podés instalar el certificado, pero necesitas acceso a la pc. Es imposible de otras maneras, para eso existe la criptografía asimétrica y los certificados.
Título: Re: conuslta CAIN y ABEL contra HTTPS
Publicado por: y0g-s0th0th en 4 Febrero 2011, 03:44 AM
Cita de: cinteria en  1 Febrero 2011, 22:01 PM
cuando ingresa a hotmail le pase la advertencia que no esta ingresando a un sitio seguro es decir no valida el certificado (https) como se puede solucionar para que no vea esto

con sslstrip no le sale el aviso pero me imagino q estas usando win... vas a tener q hacerlo con linux.


saludos
Título: Re: conuslta CAIN y ABEL contra HTTPS
Publicado por: APOKLIPTICO en 4 Febrero 2011, 04:32 AM
Si que le sale el aviso, no se pueden crear certificados que no estén firmados por un trusted third party y pretender que te los tomen como válidos.
Título: Re: conuslta CAIN y ABEL contra HTTPS
Publicado por: y0g-s0th0th en 4 Febrero 2011, 17:30 PM
nops... no sale.

usaste alguna vez sslstrip? sabes como funciona? convierte las peticiones https en http y despues si hace el intercambio en https con el destino final.


(http://1.bp.blogspot.com/_rgCsrVyHiHw/TO8IugYBB-I/AAAAAAAAAOI/LU3Fq9bf8tM/s320/Screenshot-9.png)


saludos
Título: Re: conuslta CAIN y ABEL contra HTTPS
Publicado por: APOKLIPTICO en 4 Febrero 2011, 18:53 PM
No use SSLStrip, pero se como funcion el protocolo SSL (bah, TLS) y también se como funciona la criptografía asimétrica y los algoritmos de firma digital. Y te digo que es imposible.

A menos claro que anule completamente el protocolo, que ahora que lo pienso tiene sentido. Pero aún así, con solo fijarse en el candadito abajo a la derecha (en firefox jeje) te vas a dar cuenta que no estás más en https. Claro que el usuario normal no lo va a notar eso.
Título: Re: conuslta CAIN y ABEL contra HTTPS
Publicado por: y0g-s0th0th en 4 Febrero 2011, 19:18 PM
Cita de: APOKLIPTICO en  4 Febrero 2011, 18:53 PM
A menos claro que anule completamente el protocolo, que ahora que lo pienso tiene sentido.

exacto... no lo anula sino q hace el intercambio con el objetivo en http, de esa forma se salta el certificado q despues se genera desde el atacante hacia el destino.

el candadito te lo pone el mismo software para q no se note tanto. probalo y vas a ver q es bastante transparente todo... hasta para un usuario no tan "normal"... ;)


saludos
Título: Re: conuslta CAIN y ABEL contra HTTPS
Publicado por: APOKLIPTICO en 4 Febrero 2011, 19:38 PM
Lo probare, parece prometedor.
Sólo texto | Texto con Imágenes