Сниффинг HTTPS трафика в Wi-Fi и локальных сетях.

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by user100, 4 Aug 2012.

  1. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,810
    Likes Received:
    18,415
    Reputations:
    377
    Пишет что добавлено 126 хостов.
    А в лог смотрели?Перехват трафа идет хоть с одного?
     
    _________________________
  2. chall-ger

    chall-ger New Member

    Joined:
    1 Dec 2013
    Messages:
    18
    Likes Received:
    0
    Reputations:
    0
    Да, 126 хостов с одним и тем же мак адресом :) Похоже, какая-то защита точки доступа?
    Лог вообще пустой, 0 kb.
    Запускал ваершарк, он трафик видит, но по фильтру http.request.metod... ничего не обнаруживается..
     
  3. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,810
    Likes Received:
    18,415
    Reputations:
    377
    Похоже на защиту от ARP спуфинга. На Cisco или Микротиках например есть такая фишка.
     
    _________________________
  4. cheshire999

    cheshire999 New Member

    Joined:
    19 Nov 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Достаточно долго я возился с SSLStrip и всё бы ничего если бы не несколько проблем, которые я так и не могу решить:
    1. - Не убивает кукисы жерты, перекидывая её на страницу авторизации, не смотря на запуск с ключом "k" -(Kill session). Как решить эту проблему? Именно с SSLStrip
    2. - Не может сбросить HTTPS с gmail да и вообще с многих сервисов гугл
    3. - Вообще очень мало даунгрейдит, если жертва сидит под Гугл хром. Я так понял, в самом хроме изначально прописана какая то политика безопасности на счёт http\s ? Помогите пожалуйта
     
  5. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    По иронии, я сейчас занимаюсь увлекательным велосипедостроением, в числе прочего с функционалом sslstrip.
    1. Насколько я помню, плюшкодавка в оригинальном sslstrip реализована довольно внятно, но не забывайте, что сервер может узнавать клиента далеко не только по классическим плюшкам, которые передаются в заголовках.
    2. Когда я последний раз проверял, с гмейлом сслстрип работал относительно. Запрос перехватывал, но прибивал функциональность веб-рожи - клиент видел постоянное "loading...". Я замечал подобное в ИБ некоторых банков, и, если не ошибаюсь, яхи.
    3. Да, там бибикалка на эту тему знатная. У меня тоже есть подозрение, что в хроме есть родной аналог HTTPS Everywhere. В таких случаях просто не надо циклится на одном методе "непущания" клиента в хттпс. Раз есть контроль на трафиком - можно сделать много интересного :)
     
  6. egorea1999

    egorea1999 New Member

    Joined:
    4 Dec 2011
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    А есть ли реализация сниффа https под Windows?
     
  7. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,810
    Likes Received:
    18,415
    Reputations:
    377
    http://intercepter.nerf.ru/
     
    _________________________
  8. tores92

    tores92 New Member

    Joined:
    10 Oct 2010
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    Ребят,что я делаю не так,врубаю сниф,сканирую хосты,выбираю таргеты,при включении arp poisoning перестают грузится сайты,в ettercap видно эти неудачные попытки перехода.Пробую перехватить траф с ipad,мб там защита какая?
     
  9. cheshire999

    cheshire999 New Member

    Joined:
    19 Nov 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0

    Столкнулся с такой же проблемой что и @Biship - никто не спуфится в местах типа Макодналдса - снифферы просто никого не видят в сети кроме шлюза :( Видимо созздаётся что-то вроде VPN под каждого... не знаю...Не подскажешь, как можно попробовать это обойти??
     
  10. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Это vlan называется. Если оно есть. Первым делом в сети надо оглядеться, пассивно или активно. На дистанции одного хопа arp-request по всей маске \ карту в монитор -> снифф.
     
  11. cheshire999

    cheshire999 New Member

    Joined:
    19 Nov 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    А можно подробнее? ARP scan делаю - никого кроме шлюза он не видит. Карта (альфа) в мониторе естественно стоит. Пробую мониторить и после прохождения страницы авторизации. Как из под венды так и из под backtrack результат один и тот же: никого кроме шлюза. :(
     
  12. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Монитор не нужен, arp request при скане - юникаст запрос, тем более что монитор wlan карты != "неразборчивый" режим интерфейса.

    Vlan, исторически, это такая полумаркетинговая фишка махрового энтерпрайза вроде цисок. В soho оно встречается редко. Собственно, вы вообще уверены, что в сети еще кто-то есть? Простой вариант проверить - подключить два устройста и посмотреть на выданные адреса, а после попробовать попинговать по арп друг друга. Не забудьте поотключать все фаерволы, ids\ips и проверить маршруты на подсеть.
     
  13. cheshire999

    cheshire999 New Member

    Joined:
    19 Nov 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Да, сидели с другом - он к сети подключается, но я его не вижу. В обычной сетке он естественно виден. И аэродампом и интерцептером. Фаервол отключён, как и всё остальное, что может мешать. Обычные сети просматриваются на ура, а вот сети в подобных кафешках... Прискорбно для меня, что таких сетей в моём городе становится всё больше и больше... а я не могу найти способ как преодолеть этот барьер. Может в BackTrack есть какая то утилита? В каком направлении смотреть? И что такое Soho?) У меня туго с определениями :rolleyes:
     
  14. cheshire999

    cheshire999 New Member

    Joined:
    19 Nov 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Пытался тут снифать ещё одну сетку - после сканирования intercepter печально констатировал : "сеть возможно защищена от arp-атак", попутно выдав мне около сотни компов с IP от 89.85... до 89.88... - это конечно не нулевой результат, но от этого не легче - естественно единственная активность в сети, которую выдал снифер - была активность моего собственного компа... к тому же с точки я довольно быстро слетел. При беглом просмотре списка хостов, выданного снифером попалось название "CISCO systems". Тем не менее пока никаких внятных мануалов по обходу защиты от arp не нащёл.. Кто нибудь сталкивался\преодолел сию проблему??
     
  15. madhatter

    madhatter Member

    Joined:
    7 Aug 2013
    Messages:
    562
    Likes Received:
    50
    Reputations:
    54
    Soho - к слову, small office\home office.
    Было бы очень неплохо взглянуть на маки этой полусотни. Тем более что 89.xx.xx.xx - ни разу не частная сеть.

    Не цепляйтесь вы к одному только arp. Есть такие замечательные вещи, как dhcp и dns, например. Они не менее доверчивые. Воткните в сеть две машины, поработайте с них, потыкайте ими друг-друга, попингуйте и снимите дамп трафика всего этого, чтобы посмотреть, что доходит, а что - нет. В конце концов ничего особо не мешает подянть свою точку доступа.
     
  16. VladimirV

    VladimirV Well-Known Member

    Joined:
    1 Apr 2013
    Messages:
    1,130
    Likes Received:
    6,150
    Reputations:
    57
    Не включено ли там "AP Isolation"
    "AP Isolation" - Этот параметр изолирует всех беспроводных клиентов и беспроводных устройств в вашей сети друг от друга. Беспроводные устройства смогут связываться с маршрутизатором, но не друг с другом.
    По идее в таких местах эта функция должна быть включена для безопасности клиентов.
     
    #96 VladimirV, 14 Jan 2014
    Last edited: 14 Jan 2014
  17. #Smith

    #Smith New Member

    Joined:
    20 Jun 2010
    Messages:
    96
    Likes Received:
    2
    Reputations:
    0
    Вроде бы делаю всё по схеме, а получается такая ерунда:
    Code:
    root@bt:~# ifconfig
    lo        Link encap:Local Loopback  
              inet addr:127.0.0.1  Mask:255.0.0.0
              inet6 addr: ::1/128 Scope:Host
              UP LOOPBACK RUNNING  MTU:16436  Metric:1
              RX packets:450 errors:0 dropped:0 overruns:0 frame:0
              TX packets:450 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:0 
              RX bytes:62953 (62.9 KB)  TX bytes:62953 (62.9 KB)
    
    wlan0     Link encap:Ethernet  HWaddr ec:55:f9:af:2e:0a  
              inet addr:10.0.0.10  Bcast:10.0.0.127  Mask:255.255.255.128
              inet6 addr: fe80::ee55:f9ff:feaf:2e0a/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:137 errors:0 dropped:0 overruns:0 frame:0
              TX packets:146 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000 
              RX bytes:8452 (8.4 KB)  TX bytes:11278 (11.2 KB)
    
    root@bt:~# ettercap -Tql wlan0 -M arp:remote
    
    ettercap 0.7.4.1 copyright 2001-2011 ALoR & NaGA
    
    Listening on wlan0... (Ethernet)
    
     wlan0 ->	EC:55:F9:AF:2E:0A         10.0.0.10   255.255.255.128
    
    SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
    Privileges dropped to UID 65534 GID 65534...
    
      28 plugins
      40 protocol dissectors
      55 ports monitored
    7587 mac vendor fingerprint
    1766 tcp OS fingerprint
    2183 known services
    
    
    FATAL: ARP poisoning needs a non empty hosts list.
    
    
    root@bt:~# 
     
    #97 #Smith, 18 Jan 2014
    Last edited: 18 Jan 2014
  18. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,810
    Likes Received:
    18,415
    Reputations:
    377
    etter.conf не отредактирован.
    в этом файле должны быть прописаны привилегии:
    [privs]
    ec_uid = 0
    ec_gid = 0
    A у Вас он пишет что:
    Privileges dropped to UID 65534 GID 65534
     
    _________________________
  19. #Smith

    #Smith New Member

    Joined:
    20 Jun 2010
    Messages:
    96
    Likes Received:
    2
    Reputations:
    0
    Так прописывал.
    Единственное, что я с компакт-диска загружаю BT.
    А так всё чётко по инструкции.
     
  20. aka_maestro

    aka_maestro Фрикер

    Joined:
    11 Jan 2010
    Messages:
    388
    Likes Received:
    74
    Reputations:
    104
    2user100, у меня тож самое, что у #Smith. BT5R3 на флешке. все отредактировано + остановлен eth0
     
Loading...