Сниффинг HTTPS трафика в Wi-Fi и локальных сетях.

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by user100, 4 Aug 2012.

  1. Marlinseaway

    Marlinseaway New Member

    Joined:
    27 Oct 2011
    Messages:
    87
    Likes Received:
    0
    Reputations:
    0
    Спасибо, как я понял у меня жертва под 192.168.0.77
    Значит в команде вместо 192.168.0.103 мне надо написать свой адрес жертвы, а все остальное оставить как есть? Кстати порт можно не менять, оставить можно 6000 ?
    Вконтакте и Одноклассники перехватывает сей сниффер?
     
  2. Cooming_So0n

    Cooming_So0n New Member

    Joined:
    16 Feb 2011
    Messages:
    57
    Likes Received:
    4
    Reputations:
    0
    Да, IP жертвы меняй на 192.168.0.77 , если IP роутера такой же как у меня - то оставляй как есть. Порт тоже оставляй 6000. Все перехватывает. Если только не стоит принудительное использование Https в настройках
     
  3. Marlinseaway

    Marlinseaway New Member

    Joined:
    27 Oct 2011
    Messages:
    87
    Likes Received:
    0
    Reputations:
    0


    Вот такая вот фигня все время!
    У меня 2 компа, один сниффет а другой в качестве жертвы, куда я с жертвенного не заходил ни какой реакции. Мало того, еще на компе жертве плохо грузились страницы и вылазило каждую секунду с NOD32 предупреждение АТАКА МЕТОДОМ ПОДДЕЛКИ и т.д.
    Капец ни чего не пойму что ему надо, может потому что я сижу с двух адаптеров Alfa?
     
  4. Cooming_So0n

    Cooming_So0n New Member

    Joined:
    16 Feb 2011
    Messages:
    57
    Likes Received:
    4
    Reputations:
    0
    Все верно. Это нормальная работа arp-spoofing'a. А трафик не перехватывает из-за антивируса. Оно же пишет тебе
    Code:
    и вылазило каждую секунду с NOD32 предупреждение АТАКА МЕТОДОМ ПОДДЕЛКИ
    . Отключи антивирус и пробуй.
     
  5. Marlinseaway

    Marlinseaway New Member

    Joined:
    27 Oct 2011
    Messages:
    87
    Likes Received:
    0
    Reputations:
    0
    А смысл? Жертва же не будет отключать антивирь?
    А есть что то объективней а то антивирь мешает, то тупит так что жертва заподозрит и вообще отключится(((
     
  6. Cooming_So0n

    Cooming_So0n New Member

    Joined:
    16 Feb 2011
    Messages:
    57
    Likes Received:
    4
    Reputations:
    0
    Ты для начал отключи и попробуй. Если будет перехватывать успешно то хотя бы будешь знать что все настроено правильно. Не факт что у жертвы будет антивирус и так же не факт что ее антивирус определит и не даст совершить атаку.
     
  7. Marlinseaway

    Marlinseaway New Member

    Joined:
    27 Oct 2011
    Messages:
    87
    Likes Received:
    0
    Reputations:
    0
    Все поодключал и тот же результат 0! Значит в чем то другом трабл((
     
  8. Cooming_So0n

    Cooming_So0n New Member

    Joined:
    16 Feb 2011
    Messages:
    57
    Likes Received:
    4
    Reputations:
    0
    В окне где запущен sslstrip что-то происходит когда жертва серфит по инету?
    Появляются новые строки в терминале? Должны появляться.
    sslstrip.log смотрел? пусто?
     
  9. Marlinseaway

    Marlinseaway New Member

    Joined:
    27 Oct 2011
    Messages:
    87
    Likes Received:
    0
    Reputations:
    0
    Нет, только то что я тут выложил выше, и в папке ни чего нет(((
    Все вроде как вы расписали сделал и ни фига.
    Может лучше поставить ВТ5 R3? У меня стоит 5 R1?
    Или может как то пробовать через Cookie cadger?



    Еще интересно-а возможно как то прервать сесию жертвы, заставив его заново вбивать пароли на вход.
    Наблюдал в
    Intercepter-NG
    что жертва лазит в Вконтакте по ходу в авто режиме входа(когда сохранен пароль в браузере) и не светит пассы(((?
    Так же и на других сайтах.
    Так можно вечность сидеть и ждать когда же она светанет свои пассом..
     
    #149 Marlinseaway, 13 Feb 2014
    Last edited: 13 Feb 2014
  10. javier2012

    javier2012 New Member

    Joined:
    25 Jan 2013
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    доброе время суток.
    продскажите по какому сценарию лучше снифить логин и пароль открытой точки доступа с запароленной страницей на входе. как например starbucks или тенет. хотелось бы зделать свой фейк тд, вопрос как перебросить клиента на стараницу ( клон) с регистрации, т е с логином и паролем (т к основная цель это лог и пароль этой сети). все советы приветствуются, т к сам еще пока до канца не осмыслил как это все провернуть.
    зарание спасибо.
     
    #150 javier2012, 5 Mar 2014
    Last edited: 5 Mar 2014
  11. javier2012

    javier2012 New Member

    Joined:
    25 Jan 2013
    Messages:
    22
    Likes Received:
    0
    Reputations:
    0
    доброе время суток.
    ребята может кто знает чем можно снифить https трафик в bridged mode? sslstrip не подходит, в бридж моде не работает. бридж мод, т е я просто раздаю инет со своего компа, wireshark не видит https трафика. идеи с фейковой т д тоже не работают, у меня фейк очень не стабилет, не говотя что скорость падает катострафически... очень шумно все выходит))
     
  12. [R]eD

    [R]eD Elder - Старейшина

    Joined:
    1 Aug 2006
    Messages:
    72
    Likes Received:
    1
    Reputations:
    0
    Пытаюсь перехватить данные с телефона, вроде бы сделал все правильно, http ловит, но https не хочет ни в какую, в wireshark виден https траффик но sslstrip ничего не показывает, хотя всякие системные андроидные запросы он показывает:

    [​IMG]

    Что я мог сделать не так?
     
    #152 [R]eD, 1 Apr 2014
    Last edited: 1 Apr 2014
  13. ice99

    ice99 Banned

    Joined:
    4 Dec 2009
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Есть локалка.
    В ней около 20-ти компов подключенных по кабелю.
    Интернет и wi-fi раздаёт один и тот же роутер.
    Иногда появляются Wi-Fi клиенты. Так вот как отснифать ТОЛЬКО Wi-Fi клиентов.
    (ловить мак, и потом забивать его отдельно в сниффер не вариант.)
    В эттеркапе есть функция Autoadd, но она разумеется добавляет все новые IP не зависимо от проводного\беспроводного подключения.

    Как бы есть вариант - списать все проводные айпишники в сети и исключить их логически из снифа.
    Не слишком ли это всё заморочено, может есть вариант попроще?
     
  14. aq1

    aq1 New Member

    Joined:
    26 Aug 2010
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Если через VPN залезть в локалку, то получится снифать?
     
  15. Verbal

    Verbal New Member

    Joined:
    8 Nov 2013
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    После ввода команды sslstrip -l 1000 выдаються следуюшие ошибки
    Code:
    Traceback (most recent call last):   File "/usr/bin/sslstrip", line 105, in main     reactor.run()   File "/usr/lib/python2.7/dist-packages/twisted/internet/base.py", line 1169, in run     self.mainLoop()   File "/usr/lib/python2.7/dist-packages/twisted/internet/base.py", line 1181, in mainLoop     self.doIteration(t)   File "/usr/lib/python2.7/dist-packages/twisted/internet/pollreactor.py", line 167, in doPoll     log.callWithLogger(selectable, _drdw, selectable, fd, event) --- <exception caught here> ---   File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 84, in callWithLogger     return callWithContext({"system": lp}, func, *args, **kw)   File "/usr/lib/python2.7/dist-packages/twisted/python/log.py", line 69, in callWithContext     return context.call({ILogContext: newCtx}, func, *args, **kw)   File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 118, in callWithContext     return self.currentContext().callWithContext(ctx, func, *args, **kw)   File "/usr/lib/python2.7/dist-packages/twisted/python/context.py", line 81, in callWithContext     return func(*args,**kw)   File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 599, in _doReadOrWrite     self._disconnectSelectable(selectable, why, inRead)   File "/usr/lib/python2.7/dist-packages/twisted/internet/posixbase.py", line 263, in _disconnectSelectable     selectable.connectionLost(f)   File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 433, in connectionLost     Connection.connectionLost(self, reason)   File "/usr/lib/python2.7/dist-packages/twisted/internet/tcp.py", line 277, in connectionLost     protocol.connectionLost(reason)   File "/usr/lib/python2.7/dist-packages/twisted/web/http.py", line 455, in connectionLost     self.handleResponseEnd()   File "/usr/share/sslstrip/sslstrip/ServerConnection.py", line 119, in handleResponseEnd     HTTPClient.handleResponseEnd(self)   File "/usr/lib/python2.7/dist-packages/twisted/web/http.py", line 466, in handleResponseEnd     self.handleResponse(b)   File "/usr/share/sslstrip/sslstrip/ServerConnection.py", line 133, in handleResponse     self.client.write(data)   File "/usr/lib/python2.7/dist-packages/twisted/web/http.py", line 898, in write     raise RuntimeError('Request.write called on a request after ' exceptions.RuntimeError: Request.write called on a request after Request.finish was called.
    Как это исправить?
     
  16. whiteriders

    whiteriders New Member

    Joined:
    8 Apr 2013
    Messages:
    45
    Likes Received:
    0
    Reputations:
    0
    решил проверить свою домсеть на устойчивость к arp-spoofing и sslstrip
    victim - комп с win7 + google chrome + esetnod №8
    ettercap прекрасно ловит все http соединения, НО
    как только браузер переходит в режим работы по httpS, сразу выкидывает на страницу с предупреждением о том, что "злоумышленники пытаются похитить пароли"...
    причём yandeх почта и mail.ru даже не дают возможности ввести пароль, а вот ВК пароль принимает (ettercap его ловит) а только потом выкидывает на страницу с сообщением о злоумышленниках (в настройках ВК стоит галочка работать только по SSL).
    а от arp-spoof защита наверное только статический адрес шлюза в арп-таблице...

    так что, толи браузеры поумнели, толи sslstrip устарела
     
  17. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,431
    Reputations:
    377
    SSL - стрип подустарел - это точно.
     
    _________________________
  18. Askei

    Askei New Member

    Joined:
    9 May 2015
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Ни способ из шапки, ни этот - не дают результата
    выпадает ошибка..
    на последнем этапе(
    Всё правильно делаю? У меня беспроводное устройство и перехватываю сессию с ПК, подкл по кабелю - ВСЁ ТОЧНО ПО ИНСТРУКЦИИ.
     
  19. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,431
    Reputations:
    377
    Тут экстрасенсов нет. Какая у вас ошибка и где выпадет гадать тоже желающих вряд ли найдете, без описания подробностей проблемы.
     
    _________________________
  20. Black3r

    Black3r New Member

    Joined:
    27 Dec 2013
    Messages:
    50
    Likes Received:
    4
    Reputations:
    0
    Подскажите пожалуйста, в чем проблема?
    root@kali:~# ettercap -Tql wlan0 -M arp:remote // //

    ettercap 0.8.0 copyright 2001-2013 Ettercap Development Team

    Listening on:
    eth0 -> B8:70:F4:A6:DF:44


    SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
    Privileges dropped to UID 65534 GID 65534...

    33 plugins
    42 protocol dissectors
    57 ports monitored
    16074 mac vendor fingerprint
    1766 tcp OS fingerprint
    2182 known services

    Randomizing -1 hosts for scanning...
    Scanning the whole netmask for -1 hosts...
    0 hosts added to the hosts list...

    FATAL: ARP poisoning needs a non empty hosts list.
     
Loading...