Проблема В поисках истины/Подмена DNS роутера

[Rollly]

Есть у кого идеи? Готов заплатить.

 

[9sochi]

Готов так же заплатить за информацию

 

[Yevgen]

Тоже задавался похожим вопросом, но в других целях. DNS Spoofing или "Галя, вставай у нас http украли"? Этот вопрос не решаем, ни через редирект 443 > 80, ни через DNS запись типа CNAME, в любом случае браузер будет просить валидный сертификат от vk.com. Хочу так же немного сказать о dnschef, этот инструмент не предназначен для работы под нагрузкой то есть, если на нем 5-10 жертв висит то все работает и все хорошо, но если на него 100+ роутеров повесить, то он не справится, по той причине что он является проксируюшим по пути к какому либо публичному DNSу, а у этих самых публ днс есть лимит на кол-во запросов и когда мы его достигнем скорость и частота ответов значительно снизится и соответственно у всех наших 100+ жертв начнутся дикие лаги, а этого нам не нужно. Поэтому только bind, как мастер для интересующих нас зон и кэширующий для других. Читая статьи по днс спуфингу складывается впечатление что кроме как для фишинга вк он никому не интересен. А ведь мы можем на http страницах выполнять наши java скрипты, а это возможность подцепить beef или запустить браузерный майнер который не палят адблокеры и антивирусы и если не жадничать будет майнить монеро почти не заметно для жертвы

 

[nikos]

Тоже задавался похожим вопросом, но в других целях. DNS Spoofing или "Галя, вставай у нас http украли"? Этот вопрос не решаем, ни через редирект 443 > 80, ни через DNS запись типа CNAME, в любом случае браузер будет просить валидный сертификат от vk.com. Хочу так же немного сказать о dnschef, этот инструмент не предназначен для работы под нагрузкой то есть, если на нем 5-10 жертв висит то все работает и все хорошо, но если на него 100+ роутеров повесить, то он не справится, по той причине что он является проксируюшим по пути к какому либо публичному DNSу, а у этих самых публ днс есть лимит на кол-во запросов и когда мы его достигнем скорость и частота ответов значительно снизится и соответственно у всех наших 100+ жертв начнутся дикие лаги, а этого нам не нужно. Поэтому только bind, как мастер для интересующих нас зон и кэширующий для других. Читая статьи по днс спуфингу складывается впечатление что кроме как для фишинга вк он никому не интересен. А ведь мы можем на http страницах выполнять наши java скрипты, а это возможность подцепить beef или запустить браузерный майнер который не палят адблокеры и антивирусы и если не жадничать будет майнить монеро почти не заметно для жертвы

Согласен! Можно вообще под видом обновления браузера загнать жертве майнер или стиллер.
А в плане обхода защиты браузера кроме ридеректа на похожие доменые имена или установки жертве своего сертификата в браузер лично я других вариантов который были бы доступны в паблике не вижу.

 

[ANR]

с http прокатит, с https нет.

 

[r4gnar0ck]

А ведь мы можем на http страницах выполнять наши java скрипты, а это возможность подцепить beef или запустить браузерный майнер который не палят адблокеры и антивирусы и если не жадничать будет майнить монеро почти не заметно для жертвы

Да, только вот чтобы внедрить js скрипты, нужно подменить http CDN'ы (а их не так много и на сайтах они уже не так часто встречаются как https'ные).
Вот если бы можно было на http сайтах подменять какой-нибудь

Ссылка скрыта от гостей

, то тогда было бы намного проще...

 

[Blacula]

Да, только вот чтобы внедрить js скрипты, нужно подменить http CDN'ы (а их не так много и на сайтах они уже не так часто встречаются как https'ные).
Вот если бы можно было на http сайтах подменять какой-нибудь

Ссылка скрыта от гостей

, то тогда было бы намного проще...

А разве с cdn.jquery работает HSTS?

 

[c0mb0]

1- Если человек будет переходить на сайт именно по https://vk.com (а это в ~80% случаев так, именно с vk с остальными сайтами заявлеными в топике 99%) - то его перекинет на ваш ip с вашим фейком, но при этом человек увидит "красный" аллерт от хрома на весь экран предупреждающий о том что не пройдена проверка сертификата и сайт скорее всего фальшивый. Человек в данном случае может проигнорить сообщение нажав на незаметную кнопку "дополнительно" и "продолжить всё равно". (Вот скрин на аллерт

Ссылка скрыта от гостей

2- На всех других сайтах qiwi, yandex, mail, google и т.п. стоит защитный заголовок HSTS. Его обойти имея доступ только к днсу нету возможости никак и данная атака становится совсем бессмыслена. На примере - переходим мы один раз на

Ссылка скрыта от гостей

(Это страница авторизации в гугл акк) и он отдаёт нам заголовок "strict-transport-security:max-age=31536000; includeSubDomains" как он работает - при всех последующих посещениях этого домена и всех его поддоменов даже если юзер вобьёт в адресную строку

Ссылка скрыта от гостей

(именно http) то браузер всегда локально будет менять протокол на защишённый для этого домена и только потом делать запрос. Тем самым запрос будет сделан сразу на

Ссылка скрыта от гостей

- и юзер увидит опять этот красный аллерт, только теперь у него не будет возможности его обойти нажав кнопку "подробнее" или "advance" т.к. в этом случае ВСЕ браузеры не предоставляют такой возможности из-за HSTS-а и юзер никак не увидит ваш фейк. Этот заголовок есть на всех популярных сервисах кроме vk. (У вк он есть на login.vk.com - но это защита сугубо от митма авторизации, а не атаки через подмену днса).

Возможность атакавать юзера через подмену днса есть только в двух случаях:
1- Если у сайта есть HSTS- то надежда только на то что юзер никогда этот домен не посещал со своего браузера прежде (Или посещал его давно, в зависимости от настроек самого HSTS - у гугла к примеру это 31536000 секунд - то есть год)
2- Если у даже сайта НЕТУ HSTS заголовка но он работает через HTTPS протокол (А сейчас 100% популярных ресурсов работают через него и вк тоже) то надежда либо на то что юзер вобьёт в адресную строку именноМобильная версия ВКонтакте, если юзер вобьёт просто vk.com то хром его автоматом редиректнит на https версию сразу (из-за истории если до этого он уже открывал этот домен с браузера), а если просто vk то юзер зайдёт на неё через поисковик - а они дают ссылку сразу на httpS версию сайта, но даже если юзер вобьёт именно http://vk.comон должен будет ещё проигнорить красные алерты браузеров во всё окно о том что вас атакуют и найти специально сделаную не заметную кнопку "подробнее" чтобы это обойти. И вы как атакующий на все эти процессы никак не можете повлиять.

© N1Tron1X

локально поднял сервер апач с пхп и в хост файле написал
127.0.0.1 http--s://vk.com
127.0.0.1 vk.com
выдает link removed ...хм и в доверенные даже добавить не получится

Кстати, а если подшаманить в конфигурационной файле (кажется .pac) которым можно прокси в браузере конфигурировать, можно обойти? или на http скинуть... там в настройках чет типа и URL автоматической настройки прокси

 

[makar]

habr.com/post/209486/ просто оставлю тута может перестанете ломать голову как обойти https, а начнёте думать о вещах более реальных

 

[MimtMaster]

Единственно что приходит на ум это создание похожего домена по типу vh.сom gogle.ru в таком духе.
Если подменить жертве dns то можно настроить редирект с реальных доменов на фейковые и жертва при вводе vk.com будет кидатся на vh.com конечно домен будет другим но зато браузер не будет ругатся на сертификат)
Ну или пытатся спомощью той же подмены dns делать ридеректы со всех популярных доменов на страницу типа с "обновление" браузера и если жертва скачает получит троян или пытатся сделать перехват трафика приложний на компе жертвы и заставить их подумать что вышло обновление и опять же подвидом "обновления" кинуть троян модифицировать браузер жертвы и тогда на вашь vk.com ругатся он точно не будет)
Сам эти вопросом задавался и скажу что сейчас вариантов не очень много либо действовать на не внимательность или глупость либо пытатся сделать фейковое обновление и засунуть троянец. Раньше была возможность понижать до http но сейчас современные браузеры такого не позволяют(
Сам принцип работы тогоже sslscript сводился к понижению до http(не работает) или генерация похожих доменых имен на которые правила HSTS не расспостроняются.

Может и есть но принцип у них должен быть таким же либо понижение до http либо другой домен пока нечего "нового" нет.

А как сделать редирект?