SSL Strip en Fedora24

5

Quiero realizar un ataque MITM en mi propia red, y seguí varios tutoriales sobre cómo usar sslstrip, iptables y arpspoof.

Pero cada vez que realizo el ataque, pierdo la conexión en el dispositivo de destino para casi todos los sitios web, excepto Google, Facebook y algunos otros. ¿Podría ser que pierda la conexión a sitios web, que solo están protegidos por HTTP y no a HTTPS como los sitios web más grandes?

El archivo sslstrip.log siempre está vacío, aunque sslstrip se esté ejecutando. Aquí está el orden de comando que uso:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 8080
arpspoof -i wlp3s0 -t 192.168.178.125 -r 192.168.178.1
sslstrip -l 8080

Para ver qué está pasando, uso tail -f sslstrip.log

Espero que me puedas decir qué estoy haciendo mal.

    
pregunta fullcowl 02.10.2016 - 22:25
fuente

1 respuesta

1

Creo que estás haciendo bien los comandos ... pero la técnica sslstrip no depende solo de tu lado. Depende de muchos factores ... si la "víctima" usa marcadores usando siempre https://whateverpage no hay nada que hacer. Él / ella va a pedir directamente siempre una página encriptada.

Si la "víctima" solicita las páginas que usan whateverpage.com sin colocar antes de https, solicitará la página http. Incluso si el sitio tiene HSTS activado (que recibirá la solicitud http y lo redireccionará a la versión de la página https), puede hacer sslstrip porque hay una solicitud para una página http ... solo una, pero suficiente para sslstrip. Va a mostrar la página en claro a la "víctima" y hará la conexión ssl al sitio real.

Mucha gente dice que "HSTS es la solución para sslstrip". Y esto es NO VERDADERO . Hice sslstrip muchas veces probando el acceso a las páginas con HSTS y funciona ... la clave como dije es que la víctima debe hacer la solicitud inicial de http (sin "s").

Otro factor decisivo es que no se puede sslstripped si usas navegadores comunes ... quiero decir, si usas Chrome, Firefox o Internet Explorer, por ejemplo ... estos navegadores tienen una lista interna de sitios conocidos de ssl. Esos sitios (como Twitter o Facebook, por ejemplo) nunca se descargarán porque el navegador sabe que SIEMPRE debe buscarlos utilizando https, incluso si el usuario hizo la "solicitud incorrecta" al poner facebook.com sin especificar el https: // antes. Supongo que estos sitios pagan a las empresas del navegador para estar en esa lista.

Le sugiero que pruebe contra páginas ssl poco conocidas porque de esa manera hay menos posibilidades de bloquear sus pruebas con un sitio que se encuentra en las listas internas de ese navegador.

Existen técnicas más avanzadas para realizar sslstrip incluso en las páginas que figuran en la lista ... como el ataque de Delorean, etc ... pero son más complicadas.

    
respondido por el OscarAkaElvis 17.12.2016 - 20:13
fuente

Lea otras preguntas en las etiquetas