descifrar ssl (https..)

valen7valverde · 6 Julio 2015, 18:40 PM

el mitm lo intente de 2 formas, las explico y si ves algun error me lo dices

1º-->hice el mitm con ettercap, detecte los host (host->scan for host->host list..), despues envenene las tablas arp, tambien en ettercap (mitm->arp poisoning->marqe casilla sniff remote conections->aceptar). despues redirigi el trafico del puerto 80 al puerto 1000 e inicie sslstrip escuchando en el puerto 10000. [terminal: echo 1 > /proc/sys/net/ipv4/ip_forward(enter). (cree una regla de iptables para redirigir el trafico del puerto 80 al 1000) terminal: iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000. despues abri sslstrip escuchando en el puerto 10000 terminal: python sslstrip.py -l 10000. Con esta opcion creo que haria mitm a todos las ip conectadas a mi red, corregidme si me equivoco jeje.

2º--> bueno hice este proceso que ya lo explique arriba: [terminal: echo 1 > /proc/sys/net/ipv4/ip_forward (para el enrutamiento)] (terminal: iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000) ahora hice el mitm solo para la ip de la victima [terminal: arpspoof -i wlan0 (ip victima) (ip router)] despues inicie sslstrip escuchando en el puerto 10000 terminal: python sslstrip.py -l 10000.

estos fueron los procedimientos. lo dicho, si veis fallos decidlo que de los errores se aprende jeje.Por cierto, la red que estoy intentando sacar la wpa2 es vodafoneXXXX.

Saludos y gracias de nuevo por sus comentarios.

ElP4nd4N3gro · 7 Julio 2015, 01:38 AM

No hace falta romper el cifrado SSL para obtener las credenciales, bastaria con forzar a la victima a navegar sin ese protocolo y sin que se diera cuenta.. El login en fb x ejemplo estaria haciendose sobre texto plano

En cuanto al ultimo comentario, la segunda parte no me aclaro muy bien, has hecho todo eso xa sacar la clave woa2 de un routre??

mmm bueno.. no tiene sentido porque ya estas dentro del router xa hacer un man in the middle.. aa no ser claro esta q le hayas montado un ap falso al que el ya se haya conectado en tal caso no hay q complicarse tanto.. mm no se si me e enterado pero voy un pelin borracho

engel lex · 7 Julio 2015, 03:42 AM

Cita de: ElP4nd4N3gro en 7 Julio 2015, 01:38 AM
No hace falta romper el cifrado SSL para obtener las credenciales, bastaria con forzar a la victima a navegar sin ese protocolo y sin que se diera cuenta.. El login en fb x ejemplo estaria haciendose sobre texto plano

claro, si el usuario pasa la ventana roja de "estàs siendo atacado" XD

fb no tiene servicio http, solo https XD si lo envìas a http, o sale el aviso rojo o dice pagina no encontrada XD

beholdthe · 7 Julio 2015, 05:32 AM

Cita de: engel lex en 7 Julio 2015, 03:42 AM
claro, si el usuario pasa la ventana roja de "estàs siendo atacado" XD

fb no tiene servicio http, solo https XD si lo envìas a http, o sale el aviso rojo o dice pagina no encontrada XD

Y si no me equivoco, tanto Gmail, Twitter, Youtube, etc, también funcionan desde hace tiempo así ¿no?

valen7valverde · 7 Julio 2015, 12:12 PM

no panda negro, el descifrado ssl no tiene nada que ver con sacar la clave del router, es otra operacion que estoy intentando aprender jeje.

respecto al mitm, como veis los procedimientos? hay algun error en ellos? seria posible ponerme en medio y que desde la maquina entre a paginas https y que no detecte el mitm ni se caiga la red? saludos y de nuevo gracias, sigo aprendiendo en este foro. Sin duda mucha sabiduria por aqui jeje

ElP4nd4N3gro · 7 Julio 2015, 14:28 PM

Cita de: engel lex en 7 Julio 2015, 03:42 AM
claro, si el usuario pasa la ventana roja de "estàs siendo atacado" XD

fb no tiene servicio http, solo https XD si lo envìas a http, o sale el aviso rojo o dice pagina no encontrada XD

mmm sería posible generar certificados falsos.. pero bueno a día de hoy también e sposible redirigir el tráfico xa saltartelo.

Esta prueba es de hoy, y si bien es verdad que no tengo ambos navegadores cn las ultimas actualizaciones de seguridad puedo casi asegurarte q eso es norma general en el usuario standard.

(Sin ningún aviso de seguridad por parte deambos navegadores)

(perdon si no consigo ajustar el tamaño de las img a la primera

)
Desde Safari entrando desde google.

Desde Chrome, tbn desde google.

Valen. Cuando estes con el mitm, prueba hacer un aprspoof doble. Hacía la víctima y hacía el router.. en dos terminales diferentes. y a ver qué tal. Nos cuentas

valen7valverde · 7 Julio 2015, 15:03 PM

Mmm, lo probare eso del doble arpspoof y pongo el resultado

Una cosita, el la opcion 2 (solo para la ip de la victima) en la maquina se cayó la conexión. Puedes mirar si se debe a algun motivo o en principio no deberia haber pasado. También es windows 8, qe he oido qe es bastante "seguro", es esto verdad? Saludos amigos!!!

ElP4nd4N3gro · 7 Julio 2015, 15:06 PM

Cita de: valen7valverde en 7 Julio 2015, 15:03 PM
Mmm, lo probare eso del doble arpspoof y pongo el resultado

Una cosita, el la opcion 2 (solo para la ip de la victima) en la maquina se cayó la conexión. Puedes mirar si se debe a algun motivo o en principio no deberia haber pasado. También es windows 8, qe he oido qe es bastante "seguro", es esto verdad? Saludos amigos!!!

Se fue la conexión en la máquina "victima", no? Es por no hacer doble el ataque arpspoof

valen7valverde · 7 Julio 2015, 15:54 PM

aaah, pues probare el arspoof en terminales diferentes a ver que tal...

seria:

terminal 1-->arspoof -i wlan0 (ip victima)

terminal 2-->arpspoof -i wlan0 (ip router)
??

otra cosa, es mejor que ponga la red en modo monitor? saludos

ElP4nd4N3gro · 7 Julio 2015, 16:21 PM

Cita de: valen7valverde en 7 Julio 2015, 15:54 PM
aaah, pues probare el arspoof en terminales diferentes a ver que tal...

seria:

terminal 1-->arspoof -i wlan0 (ip victima)

terminal 2-->arpspoof -i wlan0 (ip router)
??

otra cosa, es mejor que ponga la red en modo monitor? saludos

Bueno te estas acercando bastante.. haz pruebas, estudia..

Averigua qué es el modo monitor y valora tú mismo cuando usarlo y cuando no.

Un saludo.