SNIFFEO DE CONEXIONES SSL

Iniciado por UsuarioEquis, 16 Abril 2011, 15:49 PM

0 Miembros y 2 Visitantes están viendo este tema.

UsuarioEquis

Necesito saber si alguien tiene alguna otra idea de como solucionar este tema de modo local, Baje de Internet una aplicación  que estaba infectada con un keylogger (Ardamax) me puse sniffear, y encontré que establecía una conexión al smtp de gmail, por el puerto 465 (SSL).
Como la conexion estaba cifrada el sniffer no me servia.
Lo que se me ocurrio fue infectar una maquina virtual con windows xp, y desde otra maquina virtual con Backtrack, utilizando el Ettercap junto a su función "Man the Middle", lo pude lograr.

Acá dejo el video del modo en que lo realice.

http://vimeo.com/22362014

Tambien pense si hay alguna tool que simule ser un servidor de smtp con ssl, y modificar el archivo hosts y ponerle el dominio de gmail apuntando al localhost, pero no logre encontrar esa aplicacion (si alguien sabe si existe) tipo un honeypot


moikano→@

Hola. no se si te servirá, pero yo uso dsniff (sniffer) junto con sslstrip (destripador de ssl) , el conjunto me funciona perfectamente.

Pero si establece la conexión automática no se si servirá, porque creo que tiene que haber alguien que acepte el certificado copiado por sslstrip.

UsuarioEquis

Se me ocurrió esta otra manera de modo local

[youtube=425,350]http://www.youtube.com/watch?v=y38Ts_k-vGU[/youtube]

Me parece mejor ya que veo todo el trafico de esa conexion

::)

moikano→@

Con dsniff también ves todo el tráfico, incluso lo ves tal cual viaja con tcpdump, y luego le puedes aplicar filtros. Eso si, olvídate de usar Windows.