Test Foro de elhacker.net SMF 2.1

Seguridad Informática => Hacking => Mensaje iniciado por: UsuarioEquis en 16 Abril 2011, 15:49 PM

Título: SNIFFEO DE CONEXIONES SSL
Publicado por: UsuarioEquis en 16 Abril 2011, 15:49 PM
Necesito saber si alguien tiene alguna otra idea de como solucionar este tema de modo local, Baje de Internet una aplicación  que estaba infectada con un keylogger (Ardamax) me puse sniffear, y encontré que establecía una conexión al smtp de gmail, por el puerto 465 (SSL).
Como la conexion estaba cifrada el sniffer no me servia.
Lo que se me ocurrio fue infectar una maquina virtual con windows xp, y desde otra maquina virtual con Backtrack, utilizando el Ettercap junto a su función "Man the Middle", lo pude lograr.

Acá dejo el video del modo en que lo realice.

http://vimeo.com/22362014

Tambien pense si hay alguna tool que simule ser un servidor de smtp con ssl, y modificar el archivo hosts y ponerle el dominio de gmail apuntando al localhost, pero no logre encontrar esa aplicacion (si alguien sabe si existe) tipo un honeypot

Título: Re: SNIFFEO DE CONEXIONES SSL
Publicado por: moikano→@ en 24 Abril 2011, 17:22 PM
Hola. no se si te servirá, pero yo uso dsniff (sniffer) junto con sslstrip (destripador de ssl) , el conjunto me funciona perfectamente.

Pero si establece la conexión automática no se si servirá, porque creo que tiene que haber alguien que acepte el certificado copiado por sslstrip.
Título: Re: SNIFFEO DE CONEXIONES SSL
Publicado por: UsuarioEquis en 25 Abril 2011, 05:53 AM
Se me ocurrió esta otra manera de modo local

[youtube=425,350]http://www.youtube.com/watch?v=y38Ts_k-vGU[/youtube]

Me parece mejor ya que veo todo el trafico de esa conexion

::)
Título: Re: SNIFFEO DE CONEXIONES SSL
Publicado por: moikano→@ en 25 Abril 2011, 16:40 PM
Con dsniff también ves todo el tráfico, incluso lo ves tal cual viaja con tcpdump, y luego le puedes aplicar filtros. Eso si, olvídate de usar Windows.