SNIFFEO DE CONEXIONES SSL

UsuarioEquis · 16 Abril 2011, 15:49 PM

Necesito saber si alguien tiene alguna otra idea de como solucionar este tema de modo local, Baje de Internet una aplicación que estaba infectada con un keylogger (Ardamax) me puse sniffear, y encontré que establecía una conexión al smtp de gmail, por el puerto 465 (SSL).
Como la conexion estaba cifrada el sniffer no me servia.
Lo que se me ocurrio fue infectar una maquina virtual con windows xp, y desde otra maquina virtual con Backtrack, utilizando el Ettercap junto a su función "Man the Middle", lo pude lograr.

Acá dejo el video del modo en que lo realice.

http://vimeo.com/22362014

Tambien pense si hay alguna tool que simule ser un servidor de smtp con ssl, y modificar el archivo hosts y ponerle el dominio de gmail apuntando al localhost, pero no logre encontrar esa aplicacion (si alguien sabe si existe) tipo un honeypot

moikano→@ · 24 Abril 2011, 17:22 PM

Hola. no se si te servirá, pero yo uso dsniff (sniffer) junto con sslstrip (destripador de ssl) , el conjunto me funciona perfectamente.

Pero si establece la conexión automática no se si servirá, porque creo que tiene que haber alguien que acepte el certificado copiado por sslstrip.

UsuarioEquis · 25 Abril 2011, 05:53 AM

Se me ocurrió esta otra manera de modo local

[youtube=425,350]http://www.youtube.com/watch?v=y38Ts_k-vGU[/youtube]

Me parece mejor ya que veo todo el trafico de esa conexion

moikano→@ · 25 Abril 2011, 16:40 PM

Con dsniff también ves todo el tráfico, incluso lo ves tal cual viaja con tcpdump, y luego le puedes aplicar filtros. Eso si, olvídate de usar Windows.

Test Foro de elhacker.net SMF 2.1

SNIFFEO DE CONEXIONES SSL

UsuarioEquis

moikano→@

UsuarioEquis

moikano→@