Сниффинг HTTPS трафика в Wi-Fi и локальных сетях.

В связи с тем, что периодически всплывают темы по сниффингу трафика Wi-Fi и локальных сетей, хочу поделиться опытом перехвата HTTPS трафика под Linux:

Для начала нам понадобится программа SSLstrip
Скачать её можно с официального сайта программы.

Для установки SSLstrip вводим в консоли:

После установки SSLstrip приступаем непосредственно к перехвату HTTPS – трафика.
Для начала узнаем IP интернет шлюза, с помощью команды:

В моем случае шлюзом будет: 192.168.0.1

На своей машине включаем форвардинг пакетов. Делается это при помощи команды:

Настраиваем IPtables для перенаправления интернет трафика (с 80 порта на любой другой, у меня это 6000 порт) :

Запускаем SSLstrip на просушку заданного нами порта:

С помощью входящей в состав BackTrack утилиты arpspoof , проспуфим ARP-таблицу, для перехвата трафика:

где IP 192.168.0.103 – машина жертвы
IP 192.168.0.1 – интернет шлюза.

Собственно, теперь весь трафик жертвы идет через нашу машину и мы можем вылавливать логины и пароли даже при авторизации через «защищенный протокол» HTTPS. Сама программка SSLstrip при запуске создает в “Home folder” лог файл sslstrip.log, но для верности и удобства пользования можно дополнительно запустить Wireshark.
Вот живой пример авторизации жертвы через HTTPS на сайте вКонтакте:
Выводим sslstrip.log:


Смотрим логин с паролем вКонтакта через Wireshark:


Таим же способом может, быть успешно перехвачена авторизация на mail.ru, yandex.ru и т.п.
--------------------------

В этом топике находиться мануал по сниффингу HTTPS, при помощи Ettercap входящей в состав BackTrack 5 : ТЫК


// добавлено в карту раздела.

 

Полезный скриптик.

 

если жертва сидит в Макдаке (и еще 500 человек), как мне конкретно его айпи узнать?

 

Просканируй любым сетевым сканером диапазон IP на "NetBIOS имена ПК" (если знаешь как у твоей жертвы компьютер называется).
Либо снифай всех скопом и потом парси логи.

 

Как?

 

Да вот хотя бы с помощью того же скрипта про который fgh_2007 выше написал.
Либо пингуешь IP-диапазон например Nmap-ом и ручками IP-шники любителей фастфуд-интернета в arpspoof вбиваешь.
З.Ы.
Никогда не видел чтоб в Макдаке 500 человек за раз в интернете сидело -максимум человек 5-6 одновременно, так что сложностей не вижу.

 

ok, все рабоает, с меня бал в репу!
Вопрос: почему я должен использовать arpspoof вместо того же банального ettercap? И в чем превосходство? и как с точки зрения моей безопасности (можно спасить также как и ettercap? Для пока геморно только то что нельзя дампить несколько клиентов одновременно.

 

Использовать arpspoof или ettercap , без разницы. Оба они выполняют одну и ту же функцию спуфинга. Дампить несколько клиентов можно и тем и тем: запускай в разных консолях каждого клиента и все.

 

У меня следующий вопрос, при использовании скрипта yamas на linux mint? доставил ручками необходимые приложения и библиотеки. В окне password ничего не отображается. Но при выходе из скрипта задается вопрос сохранить ли файл паролей, и если ответить Yes то создается файл паролей в домашней директории, но только если пароли вводились в IE если в Opere и FireFox то не записывает? Так же сохряняется файл yamas.txt большого объема, что с ним делать? wireshark его не знает.
З.Ы. Проводил эксперименты на домашней сети. Куда копать?

 

yamas.txt открывается любым текстовым редактором установленным в си-ме, значения не имеет IE огненный лис или opera, идет перехват трафика, форма авторизации одинакова каким браузером Вы это делаете значение не имеет.

 

ну в ettercap то не обязательно всех клиентов руками вбивать

Code:

(прим. ettercaup -Tql wlan0 -M apr:remote [COLOR=Red][B]// //[/B][/COLOR]

Вобщем пока экспериментирую

ЗЫ: пример в шапке не совсем удачный - VK же использует обычный http, а тема вроде про https

 

C маком и подобными заведениями использующими Beeline_WiFi_FREE и подобные сети, где вначале вы попадаете на страницу-приглашение. Со спуфингом облом. Не до конца разобрался из-за чего, но юзеры не спуфятся. Возможно связано с тем, что под каждого создается vlan? Хотя на домашней работает без проблем. Какие есть версии? Предлагаю мозговой штурм по этому вопросу.


Потом, прошу прощение за небольшой оффтоп, но что делать если используются куки, ручками сейчас редко кто пишет...

 

Прекрасно Вас понимаю, НО у меня перехватилась авторизация только через IE, на двух ноутах где опера и лиса не получилось, хотя давал там команду tracert под винду и видел маршрут через ноутбук "перехватчик@? выхожу из скрипта, снова даю tracert идет сразу на роутер. Вот и чеше репу

 

Там на АР включен механизм против arp-spoofing'а, CISCO вероятно, однако штатными средствами ВТ можно обойти.

С кукисами вобще проблем нет, у меня самого Макбукайр, и посмотрев это и особенно вот это видео хулиганю и без помощи BT. Тока вот для работы с хттпс не нашел нормального инструмента для macos

 

Похоже вы недалеки от истины, там стоят именно циски.


Спасибо за ссылки буду изучать. Не просветите какие утилиты в бактраке используются для преодоления цисковской антиспуфинговой защиты? Буду благодарен.

 

Слушай, спасибо за ссылки посмотрел вроде все просто. Но есть ряд вопросов: как парсить куки в BT и вообще как это на линуксе выглядить будет?

 

А собсно такой вопрос, это нужен опен спот, на впа2 прокатит?

 

авторизация "вКонтакте" происходит через https://login.vk.com
Попробуй без примочек, типа sslstrip, просто wireshark-ом авторизацию там посмотреть.

В любых Wi-Fi сетях будет работать.

 

Снифф HTTPS при помощи ettercap

Перед началом отредактируем в любом txt - редакторе конфиг Ettercap в файле etter.conf
В BackTrack файл лежит тут: /etc/etter.conf
Необходимо указать права root- пользователя в строке Privs.В результате строка должна выглядеть так :

Далее найти строку касающуюся использования Ettercap IP-таблиц для Linux "# if you use iptables:" и убрать # (решетку) в двух строках ниже этой надписи. В результате у Вас строка должна выглядеть так:

На этом редактирование конфига для Ettercap завершено , и можно сохранить изменения.
После чего в консоле прописываем форвардинг пакетов. Делается это при помощи команды:

В той же консоле настраиваем IP-таблицу переадресации портов с указанием интерфейса: 80 порта на 1000 (можно указать любой другой) :

Открываем еще одну консоль и запускаем Ettercap в режиме MitM:

При таких настройках ettercap снифит всех пользователей сети, но можно и указать конкретную цель для снифа например: ettercap -Tql wlan0 -M arp:remote /192.168.0.103/ /192.168.0.1/
Далее в отдельной консоле запускаем SSLstrip на прослушивание нашего 1000 порта:

Как результат, получаем логины и пароли наших жертв несмотря на HTTPS:

 

Да?

тогда это магия