SSLstrip; Descifrando paquetes HTTPS / Atacando a mi vecino / Wireshark
EL dÃa de hoy voy a hablar de un script llamado SSLstrip programado en Python, algo que es viejo pero fundamental en un ataque de MiTM (man-in-the-middle). Para el que no conozca ese método por favor, buscar en internet.
Vamos de lleno.
Muchas veces nos pasa que estamos dentro de una red y tenemos una lista de dispositivos conectados y no sabemos que hacer. En este caso vamos a Sniffear la red, capturar los paquetes de información que circulan de todos los dispotivos al router y viceversa para lograr leer y ver las URLs Que los demás dispitivos están abriendo y accediendo.
Como muchos sabemos estos Scaneos suelen hacerse con Wireshark, el problema es que este software solo captura paquetes HTTP. Básicamente con SSLstrip lo que hace es cambiar el tráfico HTTPS (De conexión segura) a HTTP. Todos sabemos que grandes redes sociales o páginas importantes como Bancos, Twitter, Facebook, Ebay y demás webs conectan con un cifrado y una conexión HTTPS, Asà que al pasarlos a HTTP podremos verlos en Wireshark y poder sacar credenciales e información valiosa. Vamos a enforcarnos únicamente en eso, vale aclarar que con Wireshark podemos hacer variadas cosas y no únicamente esto.
Empecemos por lo básico: ¿qué demonios es SSL?
Para aquellos que no lo saben, Secure Sockets Layer (SSL; protocolo de capa de conexión segura) y su sucesor Transport Layer Security (TLS; seguridad de la capa de transporte) son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
SSL se ejecuta en una capa entre los protocolos de aplicación como HTTP, SMTP, NNTP y sobre el protocolo de transporte TCP, que forma parte de la familia de protocolos TCP/IP. Aunque pueda proporcionar seguridad a cualquier protocolo que use conexiones de confianza (tal como TCP), se usa en la mayorÃa de los casos junto a HTTP para formar HTTPS. HTTPS es usado para asegurar páginas World Wide Web para aplicaciones de comercio electrónico, utilizando certificados de clave pública para verificar la identidad de los extremos.
Una vez entendido como funciona SSLstrip y SSL (Conexión segura) voy a explicar que necesitamos para poder usarlo y cómo usarlo.
Necesitamos:
- Tener acceso a la red mediante Wifi, o cable Etternet, no importa como si no más bien que estés dentro de la red.
- 1 Sistema Basado en Debian para más facilidad, (Ubuntu, Linux Mint, Etc)
- Descargar e instalar SSLtrip de la página oficial de Moxie Marlinspike (http://www.thoughtcrime.org/software/sslstrip/)
- Descargar e Instalar Wireshark en el sistema de Linux (https://www.wireshark.org/)
- Descargar e Instalar Nmap en el sistema (https://nmap.org/)
Una vez entendido brevemente como funciona y dado los detalles de las herramientas que vamos a usar comencemos a trabajar entonces.
Lo primero que debemos comprobar es que dentro de la red a la cual estamos conectados, esté algún cliente conectado, si no atacaremos y no conseguiremos nada obviamente.
Para ello vamos a usar nmap, escribimos lo siguiente en la terminal.
nmap 192.168.1.*
AL final del scaneo les saldrá algo asÃ:
Nmap done: 256 IP addresses (3 hosts up) scanned in 13.51 seconds
Vamos de lleno.
Muchas veces nos pasa que estamos dentro de una red y tenemos una lista de dispositivos conectados y no sabemos que hacer. En este caso vamos a Sniffear la red, capturar los paquetes de información que circulan de todos los dispotivos al router y viceversa para lograr leer y ver las URLs Que los demás dispitivos están abriendo y accediendo.
Como muchos sabemos estos Scaneos suelen hacerse con Wireshark, el problema es que este software solo captura paquetes HTTP. Básicamente con SSLstrip lo que hace es cambiar el tráfico HTTPS (De conexión segura) a HTTP. Todos sabemos que grandes redes sociales o páginas importantes como Bancos, Twitter, Facebook, Ebay y demás webs conectan con un cifrado y una conexión HTTPS, Asà que al pasarlos a HTTP podremos verlos en Wireshark y poder sacar credenciales e información valiosa. Vamos a enforcarnos únicamente en eso, vale aclarar que con Wireshark podemos hacer variadas cosas y no únicamente esto.
Empecemos por lo básico: ¿qué demonios es SSL?
Para aquellos que no lo saben, Secure Sockets Layer (SSL; protocolo de capa de conexión segura) y su sucesor Transport Layer Security (TLS; seguridad de la capa de transporte) son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
SSL se ejecuta en una capa entre los protocolos de aplicación como HTTP, SMTP, NNTP y sobre el protocolo de transporte TCP, que forma parte de la familia de protocolos TCP/IP. Aunque pueda proporcionar seguridad a cualquier protocolo que use conexiones de confianza (tal como TCP), se usa en la mayorÃa de los casos junto a HTTP para formar HTTPS. HTTPS es usado para asegurar páginas World Wide Web para aplicaciones de comercio electrónico, utilizando certificados de clave pública para verificar la identidad de los extremos.
Una vez entendido como funciona SSLstrip y SSL (Conexión segura) voy a explicar que necesitamos para poder usarlo y cómo usarlo.
Necesitamos:
- Tener acceso a la red mediante Wifi, o cable Etternet, no importa como si no más bien que estés dentro de la red.
- 1 Sistema Basado en Debian para más facilidad, (Ubuntu, Linux Mint, Etc)
- Descargar e instalar SSLtrip de la página oficial de Moxie Marlinspike (http://www.thoughtcrime.org/software/sslstrip/)
- Descargar e Instalar Wireshark en el sistema de Linux (https://www.wireshark.org/)
- Descargar e Instalar Nmap en el sistema (https://nmap.org/)
Una vez entendido brevemente como funciona y dado los detalles de las herramientas que vamos a usar comencemos a trabajar entonces.
Lo primero que debemos comprobar es que dentro de la red a la cual estamos conectados, esté algún cliente conectado, si no atacaremos y no conseguiremos nada obviamente.
Para ello vamos a usar nmap, escribimos lo siguiente en la terminal.
nmap 192.168.1.*
AL final del scaneo les saldrá algo asÃ:
Nmap done: 256 IP addresses (3 hosts up) scanned in 13.51 seconds
Una vez comprobado de que tenemos mÃnimamente un Host en la red, procedemos a configurar Ip Forward. En caso de que no esté correctamente este paso de enrutamiento de la PC, podrÃa set en otras palabras "una cagada" por que la victima no tendrÃa acceso a internet, es decir que las peticiones jamás lleguen a destino y por lo tanto nunca verÃamos tráfico.
Ahora lo que debemos hacer es configurar el IPTABLES para mandar el tráfico del puerto 80 a otro puerto.
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000
Ahora una vez configurado vamos a darle la orden para que comience a trabajar el script sobre la red.
sslstrip -l 1000 (sslstrip -l ) En el puerto irÃa 10000 el mismo que pusimos en la configuración de IPTABLES. Y de esta forma comenzará a escuchar el puerto.
Ahora vamos a Wireshark y comenzamos a scanear la red para analizar el tráfico.
Elegimos la interfaz, la que estas usando en la red y comenzará a capturar tráfico.
Con pasiencia dejamos capturar packetes y al pasar unos largos minutos veremos que ya ha capturado bastante información, un claro ejemplo es el siguiente:
Esta es la pc de la victima, como verán en la parte superior a la izquierda, no nos aparece una conexión segura (HTTPS) o el candadito! Hoy en dÃa muchos navegadores nos advierten que no estamos bajo un cifrado o conexión segura, pero muchos usuarios lo pasan por alto.
A continuación se ingresa un usuario y un pass ficticios para la prueba y nos vamos a wireshark a ver que está pasando del otro lado.
Buscamos en "Find Packet" login tal cual se ve en la imagen.
Seleccionamos el packete con el botón derecho y le damos a "Follow TCP Stream"
Y como vemos nos aparecerá una pestaña como la siguiente.
Asà de fácil, siempre digo que hoy en dÃa las herramientas cada vez están más automatizadas, SSLstrip fué presentada en una Black Hat en el 2009 aún al dÃa de hoy se utiliza demasiado.
- Quiero comentarles que no siempre hace falta usar sistemas como Kali Linux para vulnerar la seguridad de un sistema o una infraestructura de red. Tampoco te hace un Hacker usar el sistema o utilizar script como estos. Solo es una simple demostración.
SSLstrip; Descifrando paquetes HTTPS / Atacando a mi vecino / Wireshark
Reviewed by PDFREEBOOK
on
11:45
Rating:
Reviewed by PDFREEBOOK
on
11:45
Rating:
Post a Comment