Mitm атака с bettercap, apache2 и фейкововым оновлением

[PhantomFox]

На форуме есть статья по внедрению само-подписанного сертификата, я новичок и у меня ничего не выйшло но идея хорошая, можно так внедрять полезну нагрузку.
Тепер вопрос, как сделать так чтобы при переходе на страницу автоматически сакачувалась нагрузка, или же при нажатии на кнопку (страница ошипкы хрома).
Может где-то кто-то видел подробную статью а лутче видео для чайников.
P.S. статья хорошая но расчитана она по крайней мере для самоваров

 

[Rook]

На форуме есть статья по внедрению само-подписанного сертификата, я новичок и у меня ничего не выйшло но идея хорошая, можно так внедрять полезну нагрузку.
Тепер вопрос, как сделать так чтобы при переходе на страницу автоматически сакачувалась нагрузка, или же при нажатии на кнопку (страница ошипкы хрома).
Может где-то кто-то видел подробную статью а лутче видео для чайников.
P.S. статья хорошая но расчитана она по крайней мере для самоваров

Почитай это и выучи сначала. Читать невозможно

Ссылка скрыта от гостей

 

[swagcat228]

На форуме есть статья по внедрению само-подписанного сертификата, я новичок и у меня ничего не выйшло но идея хорошая, можно так внедрять полезну нагрузку.
Тепер вопрос, как сделать так чтобы при переходе на страницу автоматически сакачувалась нагрузка, или же при нажатии на кнопку (страница ошипкы хрома).
Может где-то кто-то видел подробную статью а лутче видео для чайников.
P.S. статья хорошая но расчитана она по крайней мере для самоваров

автоматически - никак. вернее, только если внедрить эксплоит для браузера или какого-то плагина в этом браузере. например флеш-плеера.
при нажатии на кнопку - внедрить, собственно говоря, в страницу кнопку при нажатии на которую скачивается файл с нагрузкой.

сделать это можно в случае если там http, либо если там сработал sslstrip.

есть плагин у беттеркапа hstshijacking - он внедряет скрипты.

 

[PhantomFox]

автоматически - никак. вернее, только если внедрить эксплоит для браузера или какого-то плагина в этом браузере. например флеш-плеера.
при нажатии на кнопку - внедрить, собственно говоря, в страницу кнопку при нажатии на которую скачивается файл с нагрузкой.

сделать это можно в случае если там http, либо если там сработал sslstrip.

есть плагин у беттеркапа hstshijacking - он внедряет скрипты.

Привіт
В статті за допомогою Bettercap блокують доступ до доменів і перенаправляють на фейкову сторінку де є кнопка скачування сертифікату. Нажаль на разі підміна DNS відповідей у bettercap не працює, точніше браузери не ведуться на це. Я думаю щоб вдалась підміна DNS потрібно створити точну копію сайту включно з доменом (наприклад facebook.com) на власному VDS сервері. Чи насправді це так, незнаю. Гуглив - статті за попередні роки, створював теми на форумах - ніхто не відповідає.

Є інший спосіб підкинути сертифікат, той який Ви пропонуєте. Sslstrip у bettercap працює, не з соцмережами звісно, але новинні сайти, онлай кінотеатри і тп. Читав про sslstrep+ кажуть він ефективніший, але поки що руки недіійшли. Далі за допомогою Beef можна підкинуть під виглядом фейкового оновлення, або ж перекинуть на фейковий сайт із сертифікатом чи фішинговий (setoolkit + Ngrok). Також можна заблокувати доступ до доменів (arp.ban) доки жертва зайде в налаштування роутера (192.168.0.1) а звіти вже перекинути на куди потрібно за допомогою beef.

Ідей багато, але для реалізації не вистачає досвіду.

 

[PhantomFox]

автоматически - никак. вернее, только если внедрить эксплоит для браузера или какого-то плагина в этом браузере. например флеш-плеера.
при нажатии на кнопку - внедрить, собственно говоря, в страницу кнопку при нажатии на которую скачивается файл с нагрузкой.

сделать это можно в случае если там http, либо если там сработал sslstrip.

есть плагин у беттеркапа hstshijacking - он внедряет скрипты.

Це щось накшталт Вашої статті про доставку payload на смартфон під андроїд.

 

[mrOkey]

Ох, лучше с ошибками пиши, но на русском (английском)

 

[swagcat228]

Привіт
В статті за допомогою Bettercap блокують доступ до доменів і перенаправляють на фейкову сторінку де є кнопка скачування сертифікату. Нажаль на разі підміна DNS відповідей у bettercap не працює, точніше браузери не ведуться на це. Я думаю щоб вдалась підміна DNS потрібно створити точну копію сайту включно з доменом (наприклад facebook.com) на власному VDS сервері. Чи насправді це так, незнаю. Гуглив - статті за попередні роки, створював теми на форумах - ніхто не відповідає.

Є інший спосіб підкинути сертифікат, той який Ви пропонуєте. Sslstrip у bettercap працює, не з соцмережами звісно, але новинні сайти, онлай кінотеатри і тп. Читав про sslstrep+ кажуть він ефективніший, але поки що руки недіійшли. Далі за допомогою Beef можна підкинуть під виглядом фейкового оновлення, або ж перекинуть на фейковий сайт із сертифікатом чи фішинговий (setoolkit + Ngrok). Також можна заблокувати доступ до доменів (arp.ban) доки жертва зайде в налаштування роутера (192.168.0.1) а звіти вже перекинути на куди потрібно за допомогою beef.

Ідей багато, але для реалізації не вистачає досвіду.

evilsocket - разботчик беттеркап, когда-то сказал:

SSL Stripping


SSL stripping is a technique introduced by Moxie Marlinspike during BlackHat DC 2009, the website description of this technique goes like:



    It will transparently hijack HTTP traffic on a network, watch for HTTPS links and redirects, then map those links into either look-alike HTTP links or homograph-similar HTTPS links.


Long story short, this technique will replace every https link in webpages the target is browsing with http ones so, if a page would normally look like:
... <a href="https://www.facebook.com/">Login</a> ...

During a SSL stripping attack its HTML code will be modified as:


... <a href="http://www.facebook.com/">Login</a> ...

Being the man in the middle, this allow us to sniff and modify pages that normally we wouldn't be able to even see.

в двух словах: первая версия sslstrip просто перенаправляла запрос хттпс на хттп и все.
а потом, на следующий год, то есть в 2010 появился HTST

HSTS Bypass

SSL stripping worked quite well until 2010, when the HSTS specification was introduced, Wikipedia says:

    HTTP Strict Transport Security (HSTS) is a web security policy mechanism which helps to protect websites against protocol downgrade attacks and cookie hijacking. It allows web servers to declare that web browsers (or other complying user agents) should only interact with it using secure HTTPS connections, and never via the insecure HTTP protocol. HSTS is an IETF standards track protocol and is specified in RFC 6797.

Moreover HSTS policies have been prebuilt into major browsers meaning that now, even with a SSL stripping attack running, the browser will connect to HTTPS anyway, even if the http:// schema is specified, making the attack itself useless.

то бишь HSTS вмонтирован в большинство современных браузеров. то есть ломится исключительно на https, если оно предусмотрено. даже если мы отправляем запрос http.

по этому в 2014 году появился sslstrip2

For this reason, Leonardo Nve Egea presented sslstrip+ ( or sslstrip2 ) during BlackHat Asia 2014. This tool was an improvement over the original Moxie's version, specifically created to bypass HSTS policies. Since HSTS rules most of the time are applied on a per-hostname basis, the trick is to downgrade HTTPS links to HTTP and to prepend some custom sub domain name to them. Every resulting link won't be valid for any DNS server, but since we're MITMing we can resolve these hostnames anyway.

Let's take the previous example page:

... <a href="https://www.facebook.com/">Login</a> ...

A HSTS bypass attack will change it to something like:

... <a href="http://wwww.facebook.com/">Login</a> ...

Notice that https has been downgraded to http and www replaced with wwww ).

When the "victim" will click on that link, no HSTS rule will be applied ( since there's no rule for such subdomain we just created ) and the MITM software ( BetterCap in our case ^_^ ) will take care of the DNS resolution, allowing us to see and alter the traffic we weren't supposed to see.

смысл атаки в том, что в ту долю секунды, когда понижается протокол до хттп - происходит подмена доменного имени.
(кстати, тут прошу камрадов пояснить - это дсн спуффинг или обычный редирикт?)
так вот, и жертва посещает уже не www.facebook.com, а [COLOR=rgb(226, 80, 65)]w[/COLOR]www.facebook.com, который не существует во внешнем интернете, но существует у нас на локалке. А на локалке у нас зеркало фейсбука. По сути жертва идет к нам на сервер (на атакующую машину) по поддельному адресу и видит там поддельный (зеркалированный) сайт. Отправляет запрос к нам на ПК, мы его видим, включая содержимое, и перенаправляем на реальный сервер. Устанавливаем с реальным сервером сессию ssl, все как надо, все как положенно. Сервер выдает нам ответ, открытым текстом (для нас открытым, так как мы имеет ключ для расшифровки). И мы в свою очередь возвращаем это все дело жертве уже по хттп. уже на фейковом домене, который крутится у нас на атакующей машине.

снова вопрос камрадам форума: с помощью какого, чер-возьми, инструмента зеркалировать фейсбук в режиме реального времени?! КАК?

на сегодняшний дей существует еще одно решение данного вопроса: sslsplit

SSLsplit is designed to transparently terminate connections that are redirected to it using a network address translation engine. SSLsplit then terminates SSL/TLS and initiates a new SSL/TLS connection to the original destination address, while logging all data transmitted. Besides NAT based operation, SSLsplit also supports static destinations and using the server name indicated by SNI as upstream destination. SSLsplit is purely a transparent proxy and cannot act as a HTTP or SOCKS proxy configured in a browser.

SSLsplit supports plain TCP, plain SSL, HTTP and HTTPS connections over both IPv4 and IPv6. It also has the ability to dynamically upgrade plain TCP to SSL in order to generically support SMTP STARTTLS and similar upgrade mechanisms. SSLsplit fully supports Server Name Indication (SNI) and is able to work with RSA, DSA and ECDSA keys and DHE and ECDHE cipher suites. Depending on the version of OpenSSL built against, SSLsplit supports SSL 3.0, TLS 1.0, TLS 1.1 and TLS 1.2, and optionally SSL 2.0 as well.

For SSL and HTTPS connections, SSLsplit generates and signs forged X509v3 certificates on-the-fly, mimicking the original server certificate’s subject DN, subjectAltName extension and other characteristics. SSLsplit has the ability to use existing certificates of which the private key is available, instead of generating forged ones. SSLsplit supports NULL-prefix CN certificates but otherwise does not implement exploits against specific certificate verification vulnerabilities in SSL/TLS stacks.

смысл в том, что это прозрачный прокси, который принимает на себя запрос хттпс, разрывает его, вклинивается в алгоритм, и устанавливает новое ssl подключение с обеих сторон. на сколько я понимаю, я могу ошибаться.

а еще у него большой обвес возможностей и функционала. типа ipv6 и так далее.

инструмент поддерживается, имеет частично закрытый код, и доступен на гитхабе

GitHub - droe/sslsplit: Transparent SSL/TLS interception

Transparent SSL/TLS interception. Contribute to droe/sslsplit development by creating an account on GitHub.

github.com

 

[swagcat228]

Це щось накшталт Вашої статті про доставку payload на смартфон під андроїд.

по сути постом выше я сам себе обозначил каркас для продолжения моей статьи по митму.
Иначе говоря - мы можем делать что угодно с траффиком жертвы, если он не зашифрован, либо если мы умеем его расшифровывать на лету. (включая всякие кнопочки с пэйлоадами, включая внедрение скриптов для того, что бы обрубить предупреждения от браузеров)

вопрос в том, как добиться этого.

 

[PhantomFox]

evilsocket - разботчик беттеркап, когда-то сказал:

SSL Stripping


SSL stripping is a technique introduced by Moxie Marlinspike during BlackHat DC 2009, the website description of this technique goes like:



    It will transparently hijack HTTP traffic on a network, watch for HTTPS links and redirects, then map those links into either look-alike HTTP links or homograph-similar HTTPS links.


Long story short, this technique will replace every https link in webpages the target is browsing with http ones so, if a page would normally look like:
... <a href="https://www.facebook.com/">Login</a> ...

During a SSL stripping attack its HTML code will be modified as:


... <a href="http://www.facebook.com/">Login</a> ...

Being the man in the middle, this allow us to sniff and modify pages that normally we wouldn't be able to even see.

в двух словах: первая версия sslstrip просто перенаправляла запрос хттпс на хттп и все.
а потом, на следующий год, то есть в 2010 появился HTST

HSTS Bypass

SSL stripping worked quite well until 2010, when the HSTS specification was introduced, Wikipedia says:

    HTTP Strict Transport Security (HSTS) is a web security policy mechanism which helps to protect websites against protocol downgrade attacks and cookie hijacking. It allows web servers to declare that web browsers (or other complying user agents) should only interact with it using secure HTTPS connections, and never via the insecure HTTP protocol. HSTS is an IETF standards track protocol and is specified in RFC 6797.

Moreover HSTS policies have been prebuilt into major browsers meaning that now, even with a SSL stripping attack running, the browser will connect to HTTPS anyway, even if the http:// schema is specified, making the attack itself useless.

то бишь HSTS вмонтирован в большинство современных браузеров. то есть ломится исключительно на https, если оно предусмотрено. даже если мы отправляем запрос http.

по этому в 2014 году появился sslstrip2

For this reason, Leonardo Nve Egea presented sslstrip+ ( or sslstrip2 ) during BlackHat Asia 2014. This tool was an improvement over the original Moxie's version, specifically created to bypass HSTS policies. Since HSTS rules most of the time are applied on a per-hostname basis, the trick is to downgrade HTTPS links to HTTP and to prepend some custom sub domain name to them. Every resulting link won't be valid for any DNS server, but since we're MITMing we can resolve these hostnames anyway.

Let's take the previous example page:

... <a href="https://www.facebook.com/">Login</a> ...

A HSTS bypass attack will change it to something like:

... <a href="http://wwww.facebook.com/">Login</a> ...

Notice that https has been downgraded to http and www replaced with wwww ).

When the "victim" will click on that link, no HSTS rule will be applied ( since there's no rule for such subdomain we just created ) and the MITM software ( BetterCap in our case ^_^ ) will take care of the DNS resolution, allowing us to see and alter the traffic we weren't supposed to see.

смысл атаки в том, что в ту долю секунды, когда понижается протокол до хттп - происходит подмена доменного имени.
(кстати, тут прошу камрадов пояснить - это дсн спуффинг или обычный редирикт?)
так вот, и жертва посещает уже не www.facebook.com, а [COLOR=rgb(226, 80, 65)]w[/COLOR]www.facebook.com, который не существует во внешнем интернете, но существует у нас на локалке. А на локалке у нас зеркало фейсбука. По сути жертва идет к нам на сервер (на атакующую машину) по поддельному адресу и видит там поддельный (зеркалированный) сайт. Отправляет запрос к нам на ПК, мы его видим, включая содержимое, и перенаправляем на реальный сервер. Устанавливаем с реальным сервером сессию ssl, все как надо, все как положенно. Сервер выдает нам ответ, открытым текстом (для нас открытым, так как мы имеет ключ для расшифровки). И мы в свою очередь возвращаем это все дело жертве уже по хттп. уже на фейковом домене, который крутится у нас на атакующей машине.

снова вопрос камрадам форума: с помощью какого, чер-возьми, инструмента зеркалировать фейсбук в режиме реального времени?! КАК?

на сегодняшний дей существует еще одно решение данного вопроса: sslsplit

SSLsplit is designed to transparently terminate connections that are redirected to it using a network address translation engine. SSLsplit then terminates SSL/TLS and initiates a new SSL/TLS connection to the original destination address, while logging all data transmitted. Besides NAT based operation, SSLsplit also supports static destinations and using the server name indicated by SNI as upstream destination. SSLsplit is purely a transparent proxy and cannot act as a HTTP or SOCKS proxy configured in a browser.

SSLsplit supports plain TCP, plain SSL, HTTP and HTTPS connections over both IPv4 and IPv6. It also has the ability to dynamically upgrade plain TCP to SSL in order to generically support SMTP STARTTLS and similar upgrade mechanisms. SSLsplit fully supports Server Name Indication (SNI) and is able to work with RSA, DSA and ECDSA keys and DHE and ECDHE cipher suites. Depending on the version of OpenSSL built against, SSLsplit supports SSL 3.0, TLS 1.0, TLS 1.1 and TLS 1.2, and optionally SSL 2.0 as well.

For SSL and HTTPS connections, SSLsplit generates and signs forged X509v3 certificates on-the-fly, mimicking the original server certificate’s subject DN, subjectAltName extension and other characteristics. SSLsplit has the ability to use existing certificates of which the private key is available, instead of generating forged ones. SSLsplit supports NULL-prefix CN certificates but otherwise does not implement exploits against specific certificate verification vulnerabilities in SSL/TLS stacks.

смысл в том, что это прозрачный прокси, который принимает на себя запрос хттпс, разрывает его, вклинивается в алгоритм, и устанавливает новое ssl подключение с обеих сторон. на сколько я понимаю, я могу ошибаться.

а еще у него большой обвес возможностей и функционала. типа ipv6 и так далее.

инструмент поддерживается, имеет частично закрытый код, и доступен на гитхабе

GitHub - droe/sslsplit: Transparent SSL/TLS interception

Transparent SSL/TLS interception. Contribute to droe/sslsplit development by creating an account on GitHub.

github.com

Это капец, это как нужно понимать работу протоколов чтобы находить такие пути их обхода.
Вы на самом деле много знаете. Буду осваивать фрамеворк и читать литературу по теме. Спасибо за подсказку
А Вы что-то знаете о подмене DNS ответов?

 

[PhantomFox]

по сути постом выше я сам себе обозначил каркас для продолжения моей статьи по митму.
Иначе говоря - мы можем делать что угодно с траффиком жертвы, если он не зашифрован, либо если мы умеем его расшифровывать на лету. (включая всякие кнопочки с пэйлоадами, включая внедрение скриптов для того, что бы обрубить предупреждения от браузеров)

вопрос в том, как добиться этого.

если правда научиться эффективно обходить https то только фантазия ограничивает

 

[swagcat228]

А Вы что-то знаете о подмене DNS ответов?

то же самое что и обычный перехват траффика, только не на 80/443 портах, а на 53 порту.

(TARGET) -> (DNS SERVER) эй, днс сервер, какой айпи адресс у facebook.com ?
(DNS SERVER) -> (TARGET) 123.123.123.123
клиент видит сайт в оригинале

(TARGET) -> (Machine in the Middle) ||| (DNS SERVER) эй, кто днс сервер? ты? какой айпи у фейсбука?
(DNS SERVER)||| (Machine in the Middle) -> (TARGET) конечно же я днс сервер. фейсбук находится по адресу 192.168.0.111

у клиента открывается сайт лежащий на атакующей машине, в браузере написано facebook.com

 

[PhantomFox]

то же самое что и обычный перехват траффика, только не на 80/443 портах, а на 53 порту.

(TARGET) -> (DNS SERVER) эй, днс сервер, какой айпи адресс у facebook.com ?
(DNS SERVER) -> (TARGET) 123.123.123.123
клиент видит сайт в оригинале

(TARGET) -> (Machine in the Middle) ||| (DNS SERVER) эй, кто днс сервер? ты? какой айпи у фейсбука?
(DNS SERVER)||| (Machine in the Middle) -> (TARGET) конечно же я днс сервер. фейсбук находится по адресу 192.168.0.111

у клиента открывается сайт лежащий на атакующей машине, в браузере написано facebook.com

SSLsplit есть в репозиториях Kali. И есть инструкции на kali.tools

Ссылка скрыта от гостей

Ссылка скрыта от гостей

похода sslstrip + тоже

Ссылка скрыта от гостей

я понимаю принцип работы подмены DNS, я стараюсь понять это у меня руки кривые, bettercap видьоргуеться или что-то изменилось и браузеры уже как-то защищаются от этого.
Как писал выше, создавал темы на форумах с дома вопросами:
1 - удалась ли атака с подменой DNS ответов в последнее время.
2 - какой программой Вы пользуетесь
Конечно была предыстория перед вопросами. Никто так и не ответил

 

[PhantomFox]

так всегда, ищу какую-то эффективную программу для определенных нужд, а когда нахожу то она уже есть в репозиториях kali.
эта история повторилась с beef, bettercap, reaver ... Уже думал штудирувать все программы которые есть в репозиториях.
P.S. я устанавливаю чистую kali

 

[swagcat228]

так всегда, ищу какую-то эффективную программу для определенных нужд, а когда нахожу то она уже есть в репозиториях kali.
эта история повторилась с beef, bettercap, reaver ... Уже думал штудирувать все программы которые есть в репозиториях.
P.S. я устанавливаю чистую kali

я дебиан чистый предпочел бы. и на него уже все необходимое, желательно из исходников.

1 - удалась ли атака с подменой DNS ответов в последнее время.

в данный момент нету подходящего ноута. раньше не пробовал. обходился арп спуфом

 

[PhantomFox]

я дебиан чистый предпочел бы. и на него уже все необходимое, желательно из исходников.

в данный момент нету подходящего ноута. раньше не пробовал. обходился арп спуфом

раньше я установил 9 Дебиан CD версию, но опыта работы с линуксом не было, да и сейчас нет, это было месяц назад, поэтому установил kali xsfe без программ.
А все это началось несколько месяцев назад с AirSlax и wifi пушки от Креосана, потому что мне нужен был доступ к интернету

 

[swagcat228]

раньше я установил 9 Дебиан CD версию, но опыта работы с линуксом не было, да и сейчас нет, это было месяц назад, поэтому установил kali xsfe без программ.
А все это началось несколько месяцев назад с AirSlax и wifi пушки от Креосана, потому что мне нужен был доступ к интернету

я помню лет в 16 попал в больничку, там не было интернета, но мне дали с собой старенький ноут.
я нашел на первом этаже вайфай аптеки, подобрал пароль 12345678 и скачал образ чего-то. помое-му бэк-трэк. за 3 дня до выписки у меня был интернет в палате) помню очень расстроился что пора в школу.

аиродамп, и какой-то из онлайн сервисов по расшифровке хешей. и были силы каждый раз бегать на первый этаж, к аптеке)

 

[PhantomFox]

по сути постом выше я сам себе обозначил каркас для продолжения моей статьи по митму.
Иначе говоря - мы можем делать что угодно с траффиком жертвы, если он не зашифрован, либо если мы умеем его расшифровывать на лету. (включая всякие кнопочки с пэйлоадами, включая внедрение скриптов для того, что бы обрубить предупреждения от браузеров)

вопрос в том, как добиться этого.

нашел о создании сертификатов с помощью Metasploit. Может пригодится для статьи

SSL impersonation - Обход SSL обнаружения

Когда я понял причину блокировки, захотелось найти способ использования сертификата клиента вместо сертификата Metasploit по умолчанию. Для этого вы можете либо создать ваш собственный самоподписанный сертификат или использовать модуль Metasploit SSL impersonation.

Модуль (auxiliary/gather/impersonate_ssl) создает самоподписанный сертификат с данными удаленного сертификата, делая внешний вид сертификата подлинным. Подобная техника используется в Paranoid Meterpreter, который используется, чтобы обезопасить соединение путем проверки SHA1 hash сертификата с обеих сторон для того, чтобы никто не мог взломать хакера.

сылка на стаью - Обход антивируса с помощью Метасплоита