Сниффинг HTTPS трафика в Wi-Fi и локальных сетях.

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by user100, 4 Aug 2012.

  1. 50_Terabytes

    50_Terabytes Member

    Joined:
    16 May 2015
    Messages:
    179
    Likes Received:
    50
    Reputations:
    3
    Хосты как тогда указали?
     
  2. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,433
    Reputations:
    377
    не вырублен интерфейс eth0
    не отредактирован файл etter.conf
    обовсем этом написано ранее
     
    _________________________
    Black3r likes this.
  3. Black3r

    Black3r New Member

    Joined:
    27 Dec 2013
    Messages:
    50
    Likes Received:
    4
    Reputations:
    0
    etter.conf отредактирован, а вот как выключить интерфейс eth0?
     
  4. Black3r

    Black3r New Member

    Joined:
    27 Dec 2013
    Messages:
    50
    Likes Received:
    4
    Reputations:
    0
    Интерфейс выключил.
    Но что-то не хочет сниффить, после запуска ssltrip, в окне после строки Hit 'h' for inline help ничего не выдает, в роли жертвы у меня тут ифон, который подключен к этой же сети вай-фай
     
    #164 Black3r, 17 May 2015
    Last edited: 17 May 2015
  5. Black3r

    Black3r New Member

    Joined:
    27 Dec 2013
    Messages:
    50
    Likes Received:
    4
    Reputations:
    0
    Вроде все получилось и покапавшись в том, что перехватывается ,
    я наткнулся на следы жертвы в виде айфона :
    проблема в том, что он имеет странный вид
    Sun May 17 17:10:39 2015
    UDP 192.168.128.105:5353 --> 224.0.0.251:5353 |

    ............+a4:c3:61:54:31:2b@fe80::a6c3:61ff:fe54:312b._apple-mobdev2._tcp.local.............409704fe._sub.8.............4c6e0585.g.............587605ea.g.............4ba50571.g.............8...............!.....x.......~.N42AP-A6C36154312D.L.iPhone (........ )._device-info.G...........model=N42AP.6.7.1.5.7.F.9.F.7.F.4.8.0.E.4.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.E.F.ip6.arpa........x.....105.128.168.192.in-addr.p.......x.............x................Qv.........x.....i.../....... ........@.,./.....x...,......./.....x.........../.....x......@...
     
    #165 Black3r, 17 May 2015
    Last edited: 17 May 2015
  6. Bolzen

    Bolzen New Member

    Joined:
    13 May 2015
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Вероятнее всего с айфона в интернет заходят через приложения, шифрованный трафик которых не перехватывается.
     
  7. Black3r

    Black3r New Member

    Joined:
    27 Dec 2013
    Messages:
    50
    Likes Received:
    4
    Reputations:
    0
    Точно так же сниффит и компы, в основном все точки, хотя среди них иногда и попадаются доменные имена на которые заходит жертва
     
  8. tapka007

    tapka007 Member

    Joined:
    16 May 2015
    Messages:
    26
    Likes Received:
    30
    Reputations:
    1
    а чё вы мучаетесь с ettercap всё? ведь есть же interceptor
    или в ettercap есть чот чего нет в интерцепторе?
     
  9. Black3r

    Black3r New Member

    Joined:
    27 Dec 2013
    Messages:
    50
    Likes Received:
    4
    Reputations:
    0
    Кстати, а если я подключусь к роутеру с открытой веб мордой извне, можно как-нибудь сделать так, чтобы весь траффик юзеров использующих этот роутер, проходил через меня?Мб что-нибудь в маршрутизации намутить? или это невозможно?
     
  10. Zen1T21

    Zen1T21 Member

    Joined:
    13 Jan 2013
    Messages:
    158
    Likes Received:
    37
    Reputations:
    2
    Невозможно
     
  11. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,433
    Reputations:
    377
    Поднимаете свой проксирующий DNS сервер (с перенаправлением трафика через ваш ресурс) и прописываете его в настройках роутера в качестве DNS.
     
    _________________________
    AlexHawk and Black3r like this.
  12. Datsiev

    Datsiev New Member

    Joined:
    23 May 2015
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    можно ли это реализовать все на windows 7/8/8/1 ?
     
  13. Black3r

    Black3r New Member

    Joined:
    27 Dec 2013
    Messages:
    50
    Likes Received:
    4
    Reputations:
    0
    Спасибо, разобрался
     
    #173 Black3r, 25 May 2015
    Last edited: 26 May 2015
  14. Black3r

    Black3r New Member

    Joined:
    27 Dec 2013
    Messages:
    50
    Likes Received:
    4
    Reputations:
    0
    Сделал все, как в первом посту, после включения sslstrip на прослушку заданного канала, включил wireshark. Wi-Fi раздает HTC, а в роли таргета у меня айфон, так вот, пакеты от НТС wireshark видит, а вот в обратном направлении - нет. В итоге получилось что-то вроде:
    х[​IMG]
    Как видно из скриншота, в соурсах исключительно НТС, и так на протяжении всего времени перехвата. Выходит, что MitM у меня не удалась.
    А вообще неплохо бы пояснить, что должно быть в логах. Как это понял я, исходя из принципа этой атаки:( в одном направлении)
    Source Destination
    BSSID точки BSSID мой
    BSSID мой BSSID цели
     
    #174 Black3r, 26 May 2015
    Last edited: 26 May 2015
  15. 50_Terabytes

    50_Terabytes Member

    Joined:
    16 May 2015
    Messages:
    179
    Likes Received:
    50
    Reputations:
    3
    А вы не включили случайно опцию "снифать в одном направлении?" проверьте, поставили ли вы там галочку или нет.
    Еще есть такая фигня, лично у меня так было, не знаю как у других: задал форвардинг пакетов, потом настроил и запустил эттеркап. но на подопытном девайсе пропал интернет. оказалось, что форвардинг в конфигурационном файле у меня почему-то выключался (сбрасывался в 0). поэтому его я делаю его уже не до, а после запуска арп-атаки. не знаю, насколько это правильно, ведь связь на секунду пропадает до того как я его быстренько включу. может это баг такой - я хз. я к тому, что у вас может быть тот же случай.
     
    Black3r likes this.
  16. Black3r

    Black3r New Member

    Joined:
    27 Dec 2013
    Messages:
    50
    Likes Received:
    4
    Reputations:
    0
    А где задается эта опция? С форвардингом все ок, я как-то через ваттеркап запускал, там мелькали адреса сайтов, на которые заходит пользователи, но вот только доменные имена корректно и отображались, а остальное символами, хотя признаться, я это в консоли мониторил, мб если через вайршарк пропустил , то что-нибудь бы и увидил.
    А есть какие-нибудь альтернативы sslstrip? А то как-то он вообще результата не дает
     
    #176 Black3r, 26 May 2015
    Last edited: 27 May 2015
  17. Black3r

    Black3r New Member

    Joined:
    27 Dec 2013
    Messages:
    50
    Likes Received:
    4
    Reputations:
    0
    Захожу с сафари - все ок. А вот с приложения да, хотя если бы знать по какому протоколу приложение обмениватеся с сервером и просто попробовать отфильтровать перехваченный траффик по этому протоколу, то может что-нибудь и удастстся найти, раньше натыкался на статью на хабре с похожим экспериментом, только там был инстаграмм
     
  18. Barlok

    Barlok New Member

    Joined:
    19 Nov 2012
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Спасибо, давно искал! Добавлю лишь, что в ettercap в конифиге https нужно выставить в 0 чтоб пытаться подменить адрес с sslstrip. Форвард прописывать не нужно, ettercap сам форвардит, поэтому и отрубает его при запуске. В остальном, практически бесполезная тема. Хром имеет список сайтов с https и ни в какую не дает подменить, майл вообще только по https работает, но все-равно было интересно.
     
    #178 Barlok, 11 Jun 2015
    Last edited: 12 Jun 2015
  19. gogapiter

    gogapiter Member

    Joined:
    12 Feb 2014
    Messages:
    20
    Likes Received:
    15
    Reputations:
    0
    Приветствую Вас!
    Програма интересная, я только постигаю азы, столкнулся вот с такой штукой
    [​IMG]

    Где то видел что писали про проблему кодировки, но увы так и не смог разобраться как ее победить.
    вопросы следующие:
    1) Нормально ли такой поворот на Андройде?
    2) Есть ли шансы что на компе эта проблемма уйдет? (на ПК не ставил пока, так как я начинающий Сниффер:) и с ОС кроме Win не очень дружен)
    3) Будет ли стабильна работа Интерсептера на W7? Пока у меня даже не хочет искать окружающие компы при запуске программы, грешу на стоковый WiFi приемник, свисток еще выбираю.

    Заранее благодарю за ответы!
     
  20. VladimirV

    VladimirV Well-Known Member

    Joined:
    1 Apr 2013
    Messages:
    1,130
    Likes Received:
    6,150
    Reputations:
    57
    2) В настройках поставьте галочку 'Save .pcap session'. Далее Вы сможете перенести .pcap файлы на комп, и на нем просмотреть в Intercepter или Wireshark пароли.
     
    gogapiter likes this.
Loading...