Статья Эксперимент на тему сниффинга HTTPS-трафика

Привет!
Пожалуй, начнем.
Провел я эксперимент на тему сниффинга HTTPS-трафика с подсовыванием своего, самоподписанного сертификата. Сразу предупрежу - все нижеизложенное не сработает на браузере Firefox. У него своя база сертификатов и ему надо подсовывать сертификат отдельно.
Ну и некоторые моменты касаемо настроек тоже остались за кадром, их в инете много.

Итак, каков был порядок действий:

1. На атакующей машине с Kali Linux (192.168.3.143) генерируем самоподписанный сертификат, настраиваем Apache на работу по SSL. Это хорошо описано здесь:
   Ссылка скрыта от гостей
   .
   
2. Копию полученного сертификат переименовываем (хотя, этого можно и не делать) из формата *.pem в *.crt и на флешке уносим с собой Дальше наша задача подсунуть этот сертификат жертве в хранилище "Доверенные корневые центры сертификации". Вариантов много, но это оставим за кадром. Я тестировал именно работу всего комплекса, поэтому воспользовался правами админа своей локалки и применил читерский ход - подсунул сертификат с помощью доменных политик AD.
3. Проверяем с "жертвы" (192.168.3.210):
   
   
   
   
4. Прошу обратить внимание на то, что для успешной работы bettercap надо полученные на шаге 1 открытый и закрытый ключи сертификатов (в моем случае это pentest.pem и pentest.key) слить в единый файл. Это легко делается командой cat на атакующем компе:
   

   cat pentest.key pentest.pem > pentest_full.pem

   Полученный сертификат скопируйте в домашний каталог (в моем случае - root).
   Далее на атакующем компе запускаем такую команду:
   

   bettercap -X -G 192.168.3.2 -T 192.168.3.210 --proxy --proxy-https --proxy-pem ~/pentest_full.pem --log out.log

   В данном случае я использовал и HTTP-прокси + SSLStrip, и HTTPS- прокси. Позже объясню, почему так делать не надо. Ну и адреса соответствуют моей сети.
   
   
   
   
5. Пробуем с жертвы зайти на VK.COM и ввести какие-нибудь логин/пароль:
   
   
   
   
6. Нажимаем войти и, естественно, не попадаем никуда:
   
   
   
   
7. В это же время на атакующем компе видим вожделенные данные (они же есть в файле out.log):
   
   
   
   
8. Вуаля! Цель достигнута.

Теперь о том, почему не надо использовать вместе --proxy --proxy-https. Если ваша жертва еще не залогинена на сайт и пароль у нее не сохранен, она не входит с помощью куки - в этом случае все пройдет хорошо. Но если жертва уже залогинена, то SSLStrip постарается это развернуть в HTTP через жуткие тормоза и непонятные адреса:

И, самое плохое, в том, что если жертва введет логин/пароль и нажмет "Войти", то вы-то получите эти данные... А вот жертва будет все время получать вот эту картинку и никуда с этого экрана не уйдет:

Таким образом, оптимальной была признана команда, подобранная опытно-экспериментальным путем:

bettercap -X -G 192.168.3.2 -T 192.168.3.210 --proxy-pem ~/pentest_full.pem --log out.log

В этом случае залогиненные пользователи даже после принудительного перелогина нормально проскальзывают на настоящий сайт.
Так же хочу предупредить о том, что все это работает достаточно вариативно и нестабильно, особенно в части уже залогиненных пользователей - bettercap будет пытаться впарить им устаревание куки и разлогинить, но работает это не всегда. Так что наберитесь терпения и ждите.
Так же хочу отметить, что, зачастую, у жертвы наблюдаются жуткие тормоза при заходе на подобный сайт с логинами и паролями. С чем это связано - непонятно, закономерностей не увидел.

В общем-то это все.....
Надеюсь, кому-то окажется полезным!

 

[kot-gor]

Спасибо. отличный материал.

 

[torquemada163]

Пожалуйста!
Чуть позже сделаю такой же обзор по использованию SETOOLKIT вместе с SSL

 

[kot-gor]

будет замечательно..кстати по впариванию сертификата,

с готовый сертификатом итд, там вскользь затрагивается тема как можно не заметно впарить..вдруг понадобиться.)

 

[torquemada163]

О! Спасибо! Посмотрю.
На самом деле, сертификат - крайне важен. Уж если его получилось впарить, то тогда все сильно упрощается!

 

[Merkif]

Здравствуйте.
Столкнулся с проблемами.
Создаю сертификат

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

объединяю ключ и сертификат

cat key.pem cert.pem > ca.pem

rm key.pem

rm cert.pem

Переименовываю ca.pem в ca.crt пытаюсь установить на компьютере жертвы (мой ноут в качестве жертвы)
Выдает ошибку типа "Этот файл невозможно установить в качестве сертификата" После чего мне в голову пришла идея оставить только сертификат и вырезать ключ. Сертификат удачно установился в доверенные корневые центры сертификации.
запускаю на атакующей машине беттеркап

bettercap -X -G 192.168.24.7 -T 192.168.24.1 --proxy-pem ~/ca.pem --log out.log

Перехожу на ноуте по ссылке vk.com
И браузер ругается на то что сертификат недействителен. в адресной строке https зачеркнут.
Решил посмотреть свой сертификат нажал на https в адресной строке => подробнее => Viev certificate. И в сведениях о сертификате написано что срок действия закончился или еще не начался. но внизу ясно понятно написано что сертификат с 2015 по 2018
Что я делаю не так и как можно решить эту проблему?
спасибо

или же вся эта непросветная попа на счет сертификата из за того что не запущен Apache сервер?

 

[ghostphisher]

Сразу предупрежу - все нижеизложенное не сработает на браузере Firefox. У него своя база сертификатов и ему надо подсовывать сертификат отдельно.

На Яндекс браузере тоже не сработает

 

[сергей799]

можно все пошагово написать что и как я новенький очень интересно?

 

[ghostphisher]

можно все пошагово написать ?

А что конкретно было не ясно? Там ссылки, картинки, очень подробно.

 

[сергей799]

как вообще узнать айди жертвы

 

[ghostphisher]

как вообще узнать айди жертвы

1) Для примера взяли свой ID (логин и пароль для вк)
2) Это работает только в локалке - надо быть в одной сети с подопытным.

 

[сергей799]

bettercap у меня нет в кали почему то этого
[doublepost=1484993190,1484993093][/doublepost]да
[doublepost=1484993285][/doublepost]ребята реально помогите разобраться нужно узнать пентест жертвы от вк или маил ру я уже незнаю как и с чего начать помогите?
[doublepost=1484993364][/doublepost]у меня уже мозг врывается от всего прочитанного посоветуйте как и что нужно делать?

 

[ghostphisher]

bettercap у меня нет в кали почему то этого

Берем на гитхабе
https://github.com/evilsocket/bettercap

ребята реально помогите разобраться нужно узнать пентест жертвы от вк или маил ру я уже незнаю как и с чего начать помогите?

Я во тситуацию так понимаю - есть некий профиль в ВК и почта МАИЛ РУ, которые Вы решили тестировать, при этом не понимая текста и смысла делаете вывод не верный, а именно считая что это все можно сделать удаленно или по Интернет.
Еще раз повторюсь - Вы должны находиться в ОДНОЙ ЛОКАЛЬНОЙ СЕТИ с теми системами, с которых будете вести вход на ресурсы ВК и МР. В одной - через ОДИН РОУТЕР, НА ОДНОЙ СИСТЕМЕ ( основа + виртуалка )

 

[сергей799]

так вот я и хочу у вас спросить как можно сейчас кроме конечно брута узнать пентест жертвы на маил ру или от вк с чего начатькак это сделать если у вас на форуме что то похожее?
[doublepost=1484993992,1484993873][/doublepost]я готов даже заплотить за обучение я уже пол года не как не могу найти не чего подобного раньше брутил все было норм сейчас не одного пентеста!

 

[ghostphisher]

так вот я и хочу у вас спросить как можно сейчас кроме конечно брута узнать пентест жертвы на маил ру или от вк с чего начатькак это сделать если у вас на форуме что то похожее?

Пентест - тестирование на проникновение. Словосочетание УЗНАТЬ ПЕНТЕСТ тут не верен

я готов даже заплотить за обучение я уже пол года не как не могу найти не чего подобного раньше брутил все было норм сейчас не одного пентеста!

1) Если мы говорим про вектор атаки на профиль или почту удаленно, то самым активным и верным на данный момент, есть фишинг. Про это много тем на нашем ресурсе:
2)Брут - не вариант
3) Смотрите -Weeman. Phishing - web-сервер
Взлом удаленного ПК. Veil-Evasion. Metasploit.
100% эксплоит (не детектится антивирусами)

4) Не торопитесь с деньгами - Взлом почты на заказ - как действует исполнитель

 

[z3RoTooL]

это не хакерский форум! ! ! тут почты ломать не учат !!!

 

[Сергей Попов]

нужно узнать пентест жертвы

Ссылка скрыта от гостей

 

[nikos]

так вот я и хочу у вас спросить как можно сейчас кроме конечно брута узнать пентест жертвы на маил ру или от вк с чего начатькак это сделать если у вас на форуме что то похожее?
[doublepost=1484993992,1484993873][/doublepost]я готов даже заплотить за обучение я уже пол года не как не могу найти не чего подобного раньше брутил все было норм сейчас не одного пентеста!

Мой совет сначало скачай и посмотри CEH потом а потом изучай инструменты Kali linux
[doublepost=1485004126][/doublepost]

так вот я и хочу у вас спросить как можно сейчас кроме конечно брута узнать пентест жертвы на маил ру или от вк с чего начатькак это сделать если у вас на форуме что то похожее?
[doublepost=1484993992,1484993873][/doublepost]я готов даже заплотить за обучение я уже пол года не как не могу найти не чего подобного раньше брутил все было норм сейчас не одного пентеста!

Давай пеши вличку мне юнай куцхакер)
[doublepost=1485004164][/doublepost]

это не хакерский форум! ! ! тут почты ломать не учат !!!

Ну вы не хотите я научу мне плевать
[doublepost=1485004801][/doublepost]

это не хакерский форум! ! ! тут почты ломать не учат !!!

Вы учите пентестингу этичному хакингу но это тотже взлом только по договору и техники теже сначало собираем инфу потом проводим сканирование потом находим уязвимости их эксплотируем и закрепляемся в системе всё это говорится в томже CEH

 

[Merkif]

Дорогие форумчане кто-нибудь может объяснить как настроить Apache на работу по SSL.
Пробовал

Это хорошо описано здесь:

Ссылка скрыта от гостей

.

не получается с английским беда.
Пробую, делаю все как в описании apache запускается через простое http соединение а не https как у топикстартера
Ради интереса делал сертификат для своего сайта, все такая же проблема.
Может кто-нибудь растолкует нубу?
Спасибо

 

[ghostphisher]

не получается с английским беда.

В РУ довольно много информации, к примеру тут все подробно

Ссылка скрыта от гостей