Сниффинг HTTPS трафика в Wi-Fi и локальных сетях.

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by user100, 4 Aug 2012.

  1. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,815
    Likes Received:
    18,473
    Reputations:
    377
    И правда магия. В каком году этот скриншот сделан?
    Адрес сайта вКонтактика, давно уже не vkontakte.ru (IP: 93.186.229.129).
    Сейчас судя по WHIOS :
    Да и исходный код сайта "Вконтактика" можешь глянуть, там явно видно,что вход юзера прописан через https://login.vk.com :
    [​IMG]
     
    _________________________
    #21 user100, 12 Aug 2012
    Last edited: 12 Aug 2012
  2. picat

    picat New Member

    Joined:
    5 Jun 2012
    Messages:
    61
    Likes Received:
    1
    Reputations:
    0
    user100,
    беру свои слова обратно, ща действительно попробовал без sslstrip - и ничего! :eek: да и код действиетльно поменяли, беда :(

    Скрин 11 года, собственно тогда и интерисовался vk, ща как-то больше по FB, но а там изначально https было. Вобщем извиняй за дезу. С куками у VK как я понял ниче не изменилось, так же выдернуть можно без проблем.

    Вопрос следующий, оффтопный; как заставить клиента авторизоваться? ато привыкли все по кукам ходить, а мне от этого пользы никакой.
     
  3. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,815
    Likes Received:
    18,473
    Reputations:
    377
    Сейчас проблема авторизации решается подменой сookies vk.com. Заменяем значение remixsid на отснифаное и получаем авторизацию. Делать это надо находясь в одной сети с "жертвой", т.к. при генерации remixsid идет привязка к внешнему ip.
    Заставить заставить клиента авторизоваться через логин -пасс ,кроме без взлома компа или переадресации на фэйк,никак не получиться.
     
    _________________________
    #23 user100, 13 Aug 2012
    Last edited: 13 Aug 2012
    1 person likes this.
  4. picat

    picat New Member

    Joined:
    5 Jun 2012
    Messages:
    61
    Likes Received:
    1
    Reputations:
    0
    Да с куками то все понятно, меня интерисовало возможно ли инициировать клиента нажать "выход", (или же прервать его сессию), дабы заставить его ввесли логин и пас по новой.

    Тут патыюсь разобраться с easy creds (с интергированым sslstrip, ettercap и др), используя подобные настройки (из шапки). Фишка в том чтбы создать фейк точку с тем же наименованием, как например в макдаке, зафлудить "оригинальную" точку и вынудить клиентов подключится к тебе. И вродке как все работает, но однозначное палево пока только в том, что скорость подключения клиента к интернету как по dial-up'у, уж сильно бросается в глаза... ковыряю настройки дальше :)
     
  5. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,815
    Likes Received:
    18,473
    Reputations:
    377
    Есть еще вот такой вот проект Subterfuge:
    [​IMG]
    Тоже все в одном написан на питоне и все настройки в вэб -интерфейсе.
    Он еще сыроват конечно, но HTTPS делает на раз.
    СКАЧАТЬ
    Маленькое описалово функционала:
    - даунгрейд HTTPS-сессии.
    – просмотр сети;
    – отказ в обслуживании;
    – сбор аутентификационных данных;
    – инъекция кода в HTTP;
    – кража сессии;
    – эксплуатация Race Condition;
    – DNS-спуфинг;
    – эксплуатация обновлений через Evilgrade;
    – атаки на беспроводные сети.
     
    _________________________
  6. Eddi

    Eddi Member

    Joined:
    2 Aug 2012
    Messages:
    218
    Likes Received:
    13
    Reputations:
    0
    Заметил интересную вещь.

    На днях проводил опыты с подменой куки vk.com на публичной точке доступа в одном из кафе, там Beeline_WiFi_FREE так почему то перебрасывает на начальную страницу, если заходить через m.vk.com, если же через vk.com, то firefox пишет :

    The page isn't redirecting properly
    Firefox has detected that the server is redirecting the request for this address in a way that will never complete.
    This problem can sometimes be caused by disabling or refusing to accept
    cookies.

    Дома все работает. Подскажите, гуру, в чем проблема?

    Забыл добавить : в facebook и в одноклассники подмена работает.
     
    #26 Eddi, 19 Aug 2012
    Last edited: 19 Aug 2012
  7. picat

    picat New Member

    Joined:
    5 Jun 2012
    Messages:
    61
    Likes Received:
    1
    Reputations:
    0
    кто-нить юзал сей девайс ? аппаратный аналог easy-creds, с GUI интерфесом и строенным sslstip...
    Коллега думает себе приеобрести, дабы на досуге было чем занятся, меня вот тож заинтересовало :confused:
     
  8. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,815
    Likes Received:
    18,473
    Reputations:
    377
    Описалово про этот WiFi Pineapple Mark IV на русском можно прочитать здесь.
    Сделан, если не ошибаюсь, на базе WiFi роутера Alfa R36.
    А вопрос по нему лучше было бы задать в этой теме.
    Быстрее ответят.
     
    _________________________
    #28 user100, 23 Aug 2012
    Last edited: 23 Aug 2012
    quite gray likes this.
  9. Andrei_

    Andrei_ Member

    Joined:
    17 Jul 2012
    Messages:
    36
    Likes Received:
    7
    Reputations:
    0
    Вопрос. Как защится от подобных вещей? Публичные точки доступа все равно приходится использовать.
     
  10. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,815
    Likes Received:
    18,473
    Reputations:
    377
    VPN или тот же Tor Вам в помощь.А лучше вообще "не светить" пароли и логины в открытых Wi-Fi сетях. В домашних же сетях лучше жестко прописать ARP-таблицу, чтоб нельзя её было проспуфить.
     
    _________________________
    #30 user100, 24 Aug 2012
    Last edited: 24 Aug 2012
  11. Andrei_

    Andrei_ Member

    Joined:
    17 Jul 2012
    Messages:
    36
    Likes Received:
    7
    Reputations:
    0
    такое же для windows есть что-нибудь?
     
  12. -bI-

    -bI- Member

    Joined:
    25 Aug 2012
    Messages:
    103
    Likes Received:
    11
    Reputations:
    0
    Пасаны прочитал статью на первой странице и все сразу понял, только один трабл, вы приведите в соответствие название статьи и содержание, вы же ловите http, а разговор о https :D
    [​IMG]

    логи свои смотри, может стоит на 443 порте поискать https :confused: :D
     
  13. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,815
    Likes Received:
    18,473
    Reputations:
    377
    Суть метода снифинга HTTPS, описанного в статье , заключается в принудительный даунгрейде HTTPS-сессии пользователя до HTTP, для получения его трафика. Вы не внимательно читали, либо не уловили сути метода .
     
    _________________________
    #33 user100, 15 Nov 2012
    Last edited: 16 Nov 2012
  14. -bI-

    -bI- Member

    Joined:
    25 Aug 2012
    Messages:
    103
    Likes Received:
    11
    Reputations:
    0
    Очень внимательно прочитал, нет там ни слова о даунгрейде, везде только:
    Нет там ни строчки секретного протокола https, так вы людей не вводите в заблуждение, а прямо скажите перехватывается http, обычный гипертекстовый протокл.
     
  15. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,815
    Likes Received:
    18,473
    Reputations:
    377
    Еще один не верующий. Вы хоть в курсе, как авторизация в Контакте сделана?
    Читаем тут:
    1. https://forum.antichat.ru/showpost.php?p=3239482&postcount=19
    2.https://forum.antichat.ru/showpost.php?p=3240539&postcount=22

    Сами не вводите в заблуждение остальных пользователей, пожалуйста.
     
    _________________________
  16. moaddip

    moaddip Banned

    Joined:
    23 Feb 2012
    Messages:
    276
    Likes Received:
    74
    Reputations:
    1
    и локальных сетях .. эт работает и в локалке ?
     
  17. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,815
    Likes Received:
    18,473
    Reputations:
    377
    Конечно работает.Почему нет?
     
    _________________________
  18. Mengele

    Mengele New Member

    Joined:
    10 Feb 2013
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Как провести подмену куки на vk.com? Можно подробно описать процесс?
     
  19. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,815
    Likes Received:
    18,473
    Reputations:
    377
    Самый элементарный ARP- спуфинг, (даже без SSLstrip) + программка CookieCadge, вот и весь процесс перехвата.
     
    _________________________
  20. Mengele

    Mengele New Member

    Joined:
    10 Feb 2013
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    На сайте https://www.cookiecadger.com/?page_id=19 полнофункциональная версия или надо платить 10$ чтобы ее скачать? инструкции на нее нет?
     
Loading...