sslstrip2 + dns2proxy vencen al HSTS con includeSubDomains?

Iniciado por LMNOPQR, 9 Octubre 2015, 05:20 AM

0 Miembros y 1 Visitante están viendo este tema.

LMNOPQR

Hola amigos, tengo un problema.
Tengo un router en la mano es decir soy el admin :).
Quiero interceptar las fotografias de facebook.com utilizando el  sslstrip2 + dns2proxy (SS2DNS).
Asi esto me permite decirle al cliente (de toda una lan): 'estas entrando por http al facebook sin ninguna alerta de seguridad'.
El problema es que usando el SS2DNS, despues del login, colocado correctamente, no llega a entrar a la web del social.facebook.com.

Estoy pensado que es por el 'includeSubDomains' (presente en el 'Strict-Transport-Security') .. asi falsear el www.facebook.com a social.facebook.com no va a dar resultado. Estoy pensando colocar faceb00k.com con ceros, asi pienso poder pasar por alto el includeSubDomains ya incrustado en el browser ..... que me pueden decir?. Estoy por el camino correcto?. O es que el SS2DNS ya paso a la historia?.

No se mucho de hacking ... sólo quiero hacer este pequeño experimento.


Saludos  ;D.


TrashAmbishion

A ver si tu eres el admin supongo que cualquier URL traten de resolver tu la puedes falsear (PHISHING)... asi que no tienes que crear un faceb00k.com...

Se que tu lo que quieres es interceptar las imagenes pero bueno que mejor que entrar con la llave sin pasar mucho lio..

Salu2

LMNOPQR

Hola, si soy el admin. El problema que las PC's no las tengo a la mano. Es decir estan en diversos lugares (es una red wifi). Y no quiero ir de maquina en maquina a instalar los certificados ssl (si te refieres a eso). Otra cosa amigo, puedo instalar cerficados root en cada maquina haciendoles creer a los usuarios que estan descargando un plugin o addon de flash no?. Esto haciendo un injection html/javascript en algunas paginas de internet. Esto lo digo por que yo administro el squid-proxy.

Este ultimo tambien no me gusta mucho ya que hacer que el usuario instale algun paquete (que mas parece un virus) no me huele bien. Que recomiendan?. Cual es la manera mas elegante posible?.

Hurdano

Si solo quieres imágenes, con un MITM, puedes conseguirlas.

LMNOPQR

#5
Sí, pero el problema es el https + hsts del facebook.  (o ya existe una herramienta que pueda hacer esto?, probe con el sslstrip2 de https://github.com/byt3bl33d3r/MITMf, pero lo mismo, no funciona).

TrashAmbishion

A ver no he echo las pruebas teniendo control del server pero prueba Intercepter-ng...

De todas formas no creo que tengas que ir a la Pc de nadie porque el PHISHING lo harías desde tu Pc montarle una pagina falsa similar al FaceBook y que redireccione al server original o que de un simple mensaje de congestion algo asi... es cosa de creatividad...

Salu2

Ash Nazg durbatulûk

#7
Hola, esto no tiene nada que ver con lo del tema pero quisiera preguntarles si alguno sabe por que me larga este error cuando intento correr dns2proxy (python: can't open file 'dns2proxy.py': [Errno 2] No such file or directory),alguno sabe?

kub0x

Cita de: TrashAmbishion en 16 Octubre 2015, 20:26 PM
A ver no he echo las pruebas teniendo control del server pero prueba Intercepter-ng...

De todas formas no creo que tengas que ir a la Pc de nadie porque el PHISHING lo harías desde tu Pc montarle una pagina falsa similar al FaceBook y que redireccione al server original o que de un simple mensaje de congestion algo asi... es cosa de creatividad...

Salu2

No daría resultado pues los navegadores (Firefox, IE, Chrome..) tienen embebida una lista HSTS por lo que si redireccionas Facebook a una página en HTTP no te dejará, y si lo haces a HTTPS necesitas que el certificado x509v3 esté firmado por una CA y pertenezca a facebook en el campo CN o en SAN.

La única forma posible que veo para bypassear HSTS es usar la tool Delorean, puesto que hace MITM al protocolo NTP para cambiar la hora del PC y asi violar la política de HSTS para que las listas HSTS de los navegadores caduquen.

Si tienes acceso a las máquinas, instálales una Root CA muy parecida a alguna del mercado (Verisign, DigiNotar, IdenTrust, GlobalSign, COMODO, Digicert) y luego fírmate un certificado para Facebook.com con la privada de la Root CA. Así los usuarios avanzados que checkeen el certificado verán que la Root CA existe y que el certificado de Facebook es parecido al original. Sino, hazlo en plan chapuza que también funcionara, pero podrían pillarte.

Saludos.
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate