sslstrip y certificados

Iniciado por winkpoo, 15 Noviembre 2011, 01:42 AM

0 Miembros y 1 Visitante están viendo este tema.

winkpoo

Buenas,

Llevo haciendo pruebas y más pruebas y por mucho que lea (aún me debe quedar mucho) no encuentro la manera de que no me muestre el aviso de certificado no seguro.

Estoy usando bt5 con el ssltrip 0.9 reinstalado, ettercap, MiTM y no hay forma. Siempre me avisa del certificado.


adastra

Hola,
Si te esta saltando "lo de el certificado" indica que esta entrando por HTTPS, con lo cual SSLStrip no te esta haciendo lo que deberia hacer, es decir, cambiar HTTPS por HTTP.
Ya has establecido la regla con iptables para redireccionar el trafico al puerto en el que escucha SSLStrip? ya has "envenenado" a la víctima para que sus paquetes viajen por tus interfaces de red?
Por lo que comentas, te falta una de las anteriores.

winkpoo

Buenas, bueno almenos sabemos que el sslstrip no está funcionando correctamente, aunque a vista del terminal no muestra ningún error.

En principio he seguido distintos manuales de la red. Expondré el que he seguido en este caso.

1-descomentar, quitar # de  las dos lineas de código dentro el etter.conf y ponder user a 0 para dar permisos a root (por si acaso)

2-activar ip foward

3- iptables redirect...8080

4-escanear la red para determinar objetivo
nmap -sP 192.168.3.1/24

5-una conozco la ip de GW y objetivo mando el ataque MiTM con el comando
ettercap -i wlan0 -TqM arp:remote /GW/  /objetivo/

6-activo filtro remote_browser

7-sslstrip -a -l 8080


Todo esto lo uso en un usb con BT5 en que he descargado el sslstrip 0.9

Muchos disparates?

adastra

Si, esta bien... a lo mejor el problema lo tienes con ettercap bajo backtrack v5, creo que ha habido gente que ha tenido problemas usando ettercap en backtrack5, has intentado con arpspoof? recuerda que debes envenenar las comuniciaciones en ambas direcciones, es decir entre gateway -> cliente y cliente -> gateway. Por otro lado, podrias poner a escribir un fichero de log con sslstrip, para ver si te dice algo más.
En el caso de que no sepas como funciona arpspoof:
http://thehackerway.com/2011/03/29/tecnicas-basicas-de-sniffing-y-mitm/

Pero vamos, que sigues la metodologia correcta, lo ultimo que se me ocurre es que el comando iptables que estas ejecutando no esta haciendo lo que tu crees que deberia hacer, a lo mejor la regla no esta bien definida y no esta haciendo la redirección.
Un Saludo.

Pablo Videla

Y debería salir que el certificado esta bien? estan seguros? porque me acuerdo que si el certificado no estaba comprobado por verysign u otra institucion encargada de comprobar las validaciones de los certificados siempre saldra ese mensaje   :huh:


adastra

Cita de: BadDevil en 15 Noviembre 2011, 15:16 PM
Y debería salir que el certificado esta bien? estan seguros? porque me acuerdo que si el certificado no estaba comprobado por verysign u otra institucion encargada de comprobar las validaciones de los certificados siempre saldra ese mensaje   :huh:

Si, eso es lo normal si se navega por HTTPS y el certificado del servidor no esta firmado por una entidad certificadora, como por ejemplo verysign, el problema esta en que SSLStrip deberia capturar la petición y cambiar HTTPS por HTTP para que no se establezca una conexión SSL/TLS contra el servidor, esa es "la magia" de SSLStrip, si le esta saltando el certificado es porque la petición se esta haciendo por HTTPS y SSLStrip no esta capturando la petición y transformandola a una petición "no cifrada" en texto plano con HTTP.

Por otro lado, "winkpoo" que estas escribiendo en el navegador para hacer la petición la ruta completa o solamente el dominio? por ejemplo, escribes:

www.gmail.com, gmail.com o https://gmail.com?

Recuerda que SSLStrip nada puede hacer si el usuario de forma explicita escribe en el navegador "https".

Un Saludo.

Pablo Videla

Cita de: adastra en 15 Noviembre 2011, 15:38 PM
Si, eso es lo normal si se navega por HTTPS y el certificado del servidor no esta firmado por una entidad certificadora, como por ejemplo verysign, el problema esta en que SSLStrip deberia capturar la petición y cambiar HTTPS por HTTP para que no se establezca una conexión SSL/TLS contra el servidor, esa es "la magia" de SSLStrip, si le esta saltando el certificado es porque la petición se esta haciendo por HTTPS y SSLStrip no esta capturando la petición y transformandola a una petición "no cifrada" en texto plano con HTTP.

Por otro lado, "winkpoo" que estas escribiendo en el navegador para hacer la petición la ruta completa o solamente el dominio? por ejemplo, escribes:

www.gmail.com, gmail.com o https://gmail.com?

Recuerda que SSLStrip nada puede hacer si el usuario de forma explicita escribe en el navegador "https".

Un Saludo.

Interesante, buscare sobre ssltrip porque realmente no se nada respecto a eso, solo que me salto esa duda  =P , gracias!

iancrowley

Alguien ha solucionado este tema?

Porfavor alguien me podria dar un tutorial paso a paso sin ocupar el ettercap.
tengo entendido que ese es el problema con BT5,  aun que acabo de intentar acceder a gmail y faceebook sin https   usando solo el arpspoof y me dice que no es posible conectarse.

Gracias