Bettercap 2.x SSLStrip no está rompiendo TLS (sin HSTS)

1

Tengo la última versión de bettercap. Tengo la última versión de Kali linux utilizando la última versión de VirtualBox en la última versión de Windows 10. Mi máquina de destino es la versión más baja posible de Windows XP con el IE y Chrome predeterminados instalados. Primero comenzaré repasando lo que creo que sé y solución de problemas que he hecho. Parece que Bettercap funciona en el sentido de que puede capturar contraseñas de sitios web HTTP normales pero no sitios web HTTPS.

Lo que PIENSO que conozco.

-SSLStrip convierte HTTPS a HTTP

-SSLStrip no funcionará en nada que tenga HSTS precargado

-SSLStrip solo funcionará en sitios web HSTS sin precarga si y solo si el usuario lo visita por "primera" vez.

-SSLStrip funcionará contra TLS y SSL si no se usa HSTS

-Si no se implementa HSTS, una víctima no necesita hacer nada específico ni ser engañado para instalar ningún certificado.

-SSLStrip intentará redirigir los sitios web de TODOS los HTTPS que la víctima visita a su contraparte HTTP.

Lo que quiero hacer -Monitorizar el tráfico de la computadora de la víctima

: haga que el usuario víctima vaya a mi servidor personal LAMP, haga clic en la página de inicio de sesión que escribí y reciba una versión HTTP de mi dominio. (con más precisión enlace )

- Haga que el usuario víctima acceda a un sitio web real no HSTS como shopify.com, haga clic en la página de inicio de sesión y reciba una versión HTTP de enlace (con más precisión enlace )

Lo que he hecho

Usé un método de instalación típico

apt-get install bettercap

He estado siguiendo este sitio web

enlace

He usado estos comandos una vez que activo bettercap

» set http.proxy.sslstrip true
» set net.sniff.verbose false
» set arp.spoof.targets 192.168.1.6
» arp.spoof on
» http.proxy on
» net.sniff on

Lo que funciona

-Puede redireccionar con éxito el tráfico de la víctima al dispositivo atacante

-Puede capturar encabezados

-Puede mostrar la contraseña correctamente cuando la ingreso en sitios web que no son HTTP

Lo que NO es

-La parte donde se supone que HTTPS se convertirá automáticamente en HTTP

Entonces, chicos, siento que me falta algo esencial. Esto suena demasiado sencillo de un proceso para fallar. ¿Así que qué es lo? ¿Qué me estoy perdiendo?

    
pregunta user21303 10.12.2018 - 02:04
fuente

1 respuesta

1
  
  • SSLStrip convierte HTTPS a HTTP
  •   

No exactamente; no puede "convertir HTTPS a HTTP" una vez que se haya establecido una conexión SSL / TLS (a menos que el servidor envíe al cliente una redirección de este tipo, pero no puede hacerse pasar por el servidor sin su clave privada). Solo hace esto en el sentido de que las URL se reescriben desde https:// a http:// .

  
  • SSLStrip funcionará contra TLS y SSL si no se usa HSTS

  •   
  • SSLStrip not funcionará en cualquier cosa que no tenga HSTS precargado

  •   
  • SSLStrip solo funcionará en sitios web HSTS sin precarga si y solo si el usuario lo visita por "primera" vez.

  •   

Del mismo modo, el ataque aquí no es contra SSL / TLS en sí. SSLStrip funciona interceptando solicitudes HTTP de texto simple inseguras y reescribiendo el contenido de manera que el cliente nunca intente utilizar HTTPS. Consulte esta pregunta / respuesta relacionada . HSTS está efectivamente diseñado para derrotar ataques como SSLStrip forzando al cliente a iniciar conexiones HTTPS desde el principio (en el caso de la precarga) o una vez que se le ha enviado el encabezado correcto.

  
  • SSLStrip intentará redirigir todos los sitios web de HTTPS que la víctima visita a su contraparte HTTP.
  •   

Bueno, no podemos redirigir HTTPS a HTTP si el cliente ya está intentando conectarse a través de HTTPS, por las razones mencionadas anteriormente.

  

Haga que el usuario víctima acceda a un sitio web real no HSTS como shopify.com, haga clic en la página de inicio de sesión y reciba una versión HTTP de enlace ( con más precisión enlace )

Según hstspreload.org , shopify.com está precargado, por lo que cualquier prueba de este dominio fallará ya que el navegador intentará conectarse automáticamente con HTTPS.

Entonces, para probar SSLStrip correctamente, necesita que la "víctima" ingrese una URL HTTP (no HTTPS) con un dominio que no esté precargado.

    
respondido por el multithr3at3d 10.12.2018 - 04:00
fuente

Lea otras preguntas en las etiquetas