Сниффинг HTTPS трафика в Wi-Fi и локальных сетях.

Хосты как тогда указали?

 

не вырублен интерфейс eth0
не отредактирован файл etter.conf
обовсем этом написано ранее

 

etter.conf отредактирован, а вот как выключить интерфейс eth0?

 

Интерфейс выключил.
Но что-то не хочет сниффить, после запуска ssltrip, в окне после строки Hit 'h' for inline help ничего не выдает, в роли жертвы у меня тут ифон, который подключен к этой же сети вай-фай

 

Вроде все получилось и покапавшись в том, что перехватывается ,
я наткнулся на следы жертвы в виде айфона :
проблема в том, что он имеет странный вид

Spoiler

Sun May 17 17:10:39 2015
UDP 192.168.128.105:5353 --> 224.0.0.251:5353 |

............+a4:c3:61:54:31:2b@fe80::a6c3:61ff:fe54:312b._apple-mobdev2._tcp.local.............409704fe._sub.8.............4c6e0585.g.............587605ea.g.............4ba50571.g.............8...............!.....x.......~.N42AP-A6C36154312D.L.iPhone (........ )._device-info.G...........model=N42AP.6.7.1.5.7.F.9.F.7.F.4.8.0.E.4.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.E.F.ip6.arpa........x.....105.128.168.192.in-addr.p.......x.............x................Qv.........x.....i.../....... ........@.,./.....x...,......./.....x.........../.....x......@...

 

Вероятнее всего с айфона в интернет заходят через приложения, шифрованный трафик которых не перехватывается.

 

Точно так же сниффит и компы, в основном все точки, хотя среди них иногда и попадаются доменные имена на которые заходит жертва

 

а чё вы мучаетесь с ettercap всё? ведь есть же interceptor
или в ettercap есть чот чего нет в интерцепторе?

 

Кстати, а если я подключусь к роутеру с открытой веб мордой извне, можно как-нибудь сделать так, чтобы весь траффик юзеров использующих этот роутер, проходил через меня?Мб что-нибудь в маршрутизации намутить? или это невозможно?

 

Невозможно

 

Поднимаете свой проксирующий DNS сервер (с перенаправлением трафика через ваш ресурс) и прописываете его в настройках роутера в качестве DNS.

 

можно ли это реализовать все на windows 7/8/8/1 ?

 

Спасибо, разобрался

 

Сделал все, как в первом посту, после включения sslstrip на прослушку заданного канала, включил wireshark. Wi-Fi раздает HTC, а в роли таргета у меня айфон, так вот, пакеты от НТС wireshark видит, а вот в обратном направлении - нет. В итоге получилось что-то вроде:

Spoiler

х

Как видно из скриншота, в соурсах исключительно НТС, и так на протяжении всего времени перехвата. Выходит, что MitM у меня не удалась.
А вообще неплохо бы пояснить, что должно быть в логах. Как это понял я, исходя из принципа этой атаки в одном направлении)
Source Destination
BSSID точки BSSID мой
BSSID мой BSSID цели

 

А вы не включили случайно опцию "снифать в одном направлении?" проверьте, поставили ли вы там галочку или нет.
Еще есть такая фигня, лично у меня так было, не знаю как у других: задал форвардинг пакетов, потом настроил и запустил эттеркап. но на подопытном девайсе пропал интернет. оказалось, что форвардинг в конфигурационном файле у меня почему-то выключался (сбрасывался в 0). поэтому его я делаю его уже не до, а после запуска арп-атаки. не знаю, насколько это правильно, ведь связь на секунду пропадает до того как я его быстренько включу. может это баг такой - я хз. я к тому, что у вас может быть тот же случай.

 

А где задается эта опция? С форвардингом все ок, я как-то через ваттеркап запускал, там мелькали адреса сайтов, на которые заходит пользователи, но вот только доменные имена корректно и отображались, а остальное символами, хотя признаться, я это в консоли мониторил, мб если через вайршарк пропустил , то что-нибудь бы и увидил.
А есть какие-нибудь альтернативы sslstrip? А то как-то он вообще результата не дает

 

Захожу с сафари - все ок. А вот с приложения да, хотя если бы знать по какому протоколу приложение обмениватеся с сервером и просто попробовать отфильтровать перехваченный траффик по этому протоколу, то может что-нибудь и удастстся найти, раньше натыкался на статью на хабре с похожим экспериментом, только там был инстаграмм

 

Спасибо, давно искал! Добавлю лишь, что в ettercap в конифиге https нужно выставить в 0 чтоб пытаться подменить адрес с sslstrip. Форвард прописывать не нужно, ettercap сам форвардит, поэтому и отрубает его при запуске. В остальном, практически бесполезная тема. Хром имеет список сайтов с https и ни в какую не дает подменить, майл вообще только по https работает, но все-равно было интересно.

 

Приветствую Вас!
Програма интересная, я только постигаю азы, столкнулся вот с такой штукой


Где то видел что писали про проблему кодировки, но увы так и не смог разобраться как ее победить.
вопросы следующие:
1) Нормально ли такой поворот на Андройде?
2) Есть ли шансы что на компе эта проблемма уйдет? (на ПК не ставил пока, так как я начинающий Сниффер и с ОС кроме Win не очень дружен)
3) Будет ли стабильна работа Интерсептера на W7? Пока у меня даже не хочет искать окружающие компы при запуске программы, грешу на стоковый WiFi приемник, свисток еще выбираю.

Заранее благодарю за ответы!

 

2) В настройках поставьте галочку 'Save .pcap session'. Далее Вы сможете перенести .pcap файлы на комп, и на нем просмотреть в Intercepter или Wireshark пароли.