Сниффинг HTTPS трафика в Wi-Fi и локальных сетях.

Пишет что добавлено 126 хостов.
А в лог смотрели?Перехват трафа идет хоть с одного?

 

Да, 126 хостов с одним и тем же мак адресом Похоже, какая-то защита точки доступа?

Лог вообще пустой, 0 kb.
Запускал ваершарк, он трафик видит, но по фильтру http.request.metod... ничего не обнаруживается..

 

Похоже на защиту от ARP спуфинга. На Cisco или Микротиках например есть такая фишка.

 

Достаточно долго я возился с SSLStrip и всё бы ничего если бы не несколько проблем, которые я так и не могу решить:
1. - Не убивает кукисы жерты, перекидывая её на страницу авторизации, не смотря на запуск с ключом "k" -(Kill session). Как решить эту проблему? Именно с SSLStrip
2. - Не может сбросить HTTPS с gmail да и вообще с многих сервисов гугл
3. - Вообще очень мало даунгрейдит, если жертва сидит под Гугл хром. Я так понял, в самом хроме изначально прописана какая то политика безопасности на счёт http\s ? Помогите пожалуйта

 

По иронии, я сейчас занимаюсь увлекательным велосипедостроением, в числе прочего с функционалом sslstrip.
1. Насколько я помню, плюшкодавка в оригинальном sslstrip реализована довольно внятно, но не забывайте, что сервер может узнавать клиента далеко не только по классическим плюшкам, которые передаются в заголовках.
2. Когда я последний раз проверял, с гмейлом сслстрип работал относительно. Запрос перехватывал, но прибивал функциональность веб-рожи - клиент видел постоянное "loading...". Я замечал подобное в ИБ некоторых банков, и, если не ошибаюсь, яхи.
3. Да, там бибикалка на эту тему знатная. У меня тоже есть подозрение, что в хроме есть родной аналог HTTPS Everywhere. В таких случаях просто не надо циклится на одном методе "непущания" клиента в хттпс. Раз есть контроль на трафиком - можно сделать много интересного

 

А есть ли реализация сниффа https под Windows?

 

http://intercepter.nerf.ru/

 

Ребят,что я делаю не так,врубаю сниф,сканирую хосты,выбираю таргеты,при включении arp poisoning перестают грузится сайты,в ettercap видно эти неудачные попытки перехода.Пробую перехватить траф с ipad,мб там защита какая?

 

Столкнулся с такой же проблемой что и @Biship - никто не спуфится в местах типа Макодналдса - снифферы просто никого не видят в сети кроме шлюза Видимо созздаётся что-то вроде VPN под каждого... не знаю...Не подскажешь, как можно попробовать это обойти??

 

Это vlan называется. Если оно есть. Первым делом в сети надо оглядеться, пассивно или активно. На дистанции одного хопа arp-request по всей маске \ карту в монитор -> снифф.

 

А можно подробнее? ARP scan делаю - никого кроме шлюза он не видит. Карта (альфа) в мониторе естественно стоит. Пробую мониторить и после прохождения страницы авторизации. Как из под венды так и из под backtrack результат один и тот же: никого кроме шлюза.

 

Монитор не нужен, arp request при скане - юникаст запрос, тем более что монитор wlan карты != "неразборчивый" режим интерфейса.

Vlan, исторически, это такая полумаркетинговая фишка махрового энтерпрайза вроде цисок. В soho оно встречается редко. Собственно, вы вообще уверены, что в сети еще кто-то есть? Простой вариант проверить - подключить два устройста и посмотреть на выданные адреса, а после попробовать попинговать по арп друг друга. Не забудьте поотключать все фаерволы, ids\ips и проверить маршруты на подсеть.

 

Да, сидели с другом - он к сети подключается, но я его не вижу. В обычной сетке он естественно виден. И аэродампом и интерцептером. Фаервол отключён, как и всё остальное, что может мешать. Обычные сети просматриваются на ура, а вот сети в подобных кафешках... Прискорбно для меня, что таких сетей в моём городе становится всё больше и больше... а я не могу найти способ как преодолеть этот барьер. Может в BackTrack есть какая то утилита? В каком направлении смотреть? И что такое Soho?) У меня туго с определениями

 

Пытался тут снифать ещё одну сетку - после сканирования intercepter печально констатировал : "сеть возможно защищена от arp-атак", попутно выдав мне около сотни компов с IP от 89.85... до 89.88... - это конечно не нулевой результат, но от этого не легче - естественно единственная активность в сети, которую выдал снифер - была активность моего собственного компа... к тому же с точки я довольно быстро слетел. При беглом просмотре списка хостов, выданного снифером попалось название "CISCO systems". Тем не менее пока никаких внятных мануалов по обходу защиты от arp не нащёл.. Кто нибудь сталкивался\преодолел сию проблему??

 

Soho - к слову, small office\home office.
Было бы очень неплохо взглянуть на маки этой полусотни. Тем более что 89.xx.xx.xx - ни разу не частная сеть.

Не цепляйтесь вы к одному только arp. Есть такие замечательные вещи, как dhcp и dns, например. Они не менее доверчивые. Воткните в сеть две машины, поработайте с них, потыкайте ими друг-друга, попингуйте и снимите дамп трафика всего этого, чтобы посмотреть, что доходит, а что - нет. В конце концов ничего особо не мешает подянть свою точку доступа.

 

Не включено ли там "AP Isolation"
"AP Isolation" - Этот параметр изолирует всех беспроводных клиентов и беспроводных устройств в вашей сети друг от друга. Беспроводные устройства смогут связываться с маршрутизатором, но не друг с другом.
По идее в таких местах эта функция должна быть включена для безопасности клиентов.

 

Вроде бы делаю всё по схеме, а получается такая ерунда:

Code:

root@bt:~# ifconfig
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:450 errors:0 dropped:0 overruns:0 frame:0
          TX packets:450 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:62953 (62.9 KB)  TX bytes:62953 (62.9 KB)

wlan0     Link encap:Ethernet  HWaddr ec:55:f9:af:2e:0a  
          inet addr:10.0.0.10  Bcast:10.0.0.127  Mask:255.255.255.128
          inet6 addr: fe80::ee55:f9ff:feaf:2e0a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:137 errors:0 dropped:0 overruns:0 frame:0
          TX packets:146 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:8452 (8.4 KB)  TX bytes:11278 (11.2 KB)

root@bt:~# ettercap -Tql wlan0 -M arp:remote

ettercap 0.7.4.1 copyright 2001-2011 ALoR & NaGA

Listening on wlan0... (Ethernet)

 wlan0 ->	EC:55:F9:AF:2E:0A         10.0.0.10   255.255.255.128

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 65534 GID 65534...

  28 plugins
  40 protocol dissectors
  55 ports monitored
7587 mac vendor fingerprint
1766 tcp OS fingerprint
2183 known services


FATAL: ARP poisoning needs a non empty hosts list.


root@bt:~# 

 

etter.conf не отредактирован.
в этом файле должны быть прописаны привилегии:
[privs]
ec_uid = 0
ec_gid = 0
A у Вас он пишет что:
Privileges dropped to UID 65534 GID 65534

 

Так прописывал.
Единственное, что я с компакт-диска загружаю BT.
А так всё чётко по инструкции.

 

2user100, у меня тож самое, что у #Smith. BT5R3 на флешке. все отредактировано + остановлен eth0