H@cking Lessons: SSLstrip (MITM)

En esta ocasión vamos a ver como hacer un “MITM” (Man in the Middle) con “SSLstrip“… }:) .. (tan solo con fines educativos y didácticos).


Pero antes de comenzar y para aquellos que todavía no saben que es “SSL (si estas leyendo esto, es lógico que sabrás a lo que me refiero) etc y etc. Aún así veamos:

SSL - 1

-) Los certificados SSL (capa de sockets seguros) son una pieza esencial de la seguridad de los sitios web. Al visitar un sitio web con SSL, el certificado SSL del sitio web permite cifrar los datos que se envían, como la información sobre tarjetas de créditos, nombres y direcciones de modo que ningún “Hacker” pueda acceder a ellos. Para comprobar si un sitio web usa SSL correctamente, escribe la dirección del sitio web en este Comprobador de instalación SSL:

Captura: Pincha en la imagen para ir al comprobador SSL.
Captura: Pincha en la imagen para ir al comprobador SSL.

El protocolo TLS (seguridad de la capa de transporte) es solo una versión actualizada y más segura de SSL.

SSL - 2


Básicamente y resumiendo conceptos para que todos puedan entenderlo, lo que hace SSLstrip es cambiar al vuelo el trafico HTTPS por HTTP, es decir, buscas una web en Google que es “segura” (facebook, por poner un elemplo) y al hacer clic para acceder, ya es HTTP con el consecuente riesgo que ya sabemos que acarrea eso (el trafico ya no viaja cifrado).

Para este “lab” (prueba) necesitamos un equipo con “Kali linux” (maquina virtual) y otra maquina Windows 7 (también virtual), wireshark y obviamente SSLstrip, así que vamos con ello.

Captura:
Captura: “vmware”, máquina virtual.

Lo primero es ir a la web de “Moxie” (creador) y descargar su herramienta:

(os adjunto un vídeo en cuestión para que lo veáis tras la descarga…)

Captura: Pincha en la imagen de
Captura: Pincha en la imagen de “Moxie” para ir a su web y descargar SSLstrip.

Al acceder a su web, verás lo siguiente:

Captura: Web de
Captura: Web de “Moxie”.

Y aquí el vídeo:

La dejamos en el escritorio de momento. Lo siguiente es ver que equipos tenemos en la red para poder atacar. Para ello vamos a usar el archiconocido “nmap“:

-) nmap 192.168.1.*

Obviamente ya sabemos el rango de la red y estamos conectados a ella:

H@cking Lessons - SSLSTRIP - BLOG - 5

Ya hemos visto (en la imagen) que la maquina con Windows tiene la IP – 192.168.1.39 – así que vamos a comenzar.

Vamos a configurar “IP forwading” en la “maquina Kali” de la siguiente manera:

-) echo 1 > /proc/sys/net/ipv4/ip_forward

H@cking Lessons - SSLSTRIP - BLOG - 6

Ahora vamos a usar el “arpspoof” entre las dos maquinas, es decir el ataque MiTM:

-) arpspoof -i eth0 -t 192.168.1.39 192.168.1.1  (arpspoof -i interfaz -t victima router)

H@cking Lessons - SSLSTRIP - BLOG - 7

Descomprimimos la carpeta del SSLstrip que habíamos dejado en el escritorio:

H@cking Lessons - SSLSTRIP - BLOG - 8

Entramos en la carpeta:

H@cking Lessons - SSLSTRIP - BLOG - 9

Y a continuación, vamos a redirigir el trafico del puerto 80 (TCP) al 10000 que es el que usa SSLstrip con IPTABLES. De esta manera todo el trafico (las web que visitemos) pasará por el programa de “Moxie“:

-)  iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 10000

H@cking Lessons - SSLSTRIP - BLOG - 10

Es el momento de iniciar el programa:

-) sslstrip -l 1000    (sslstrip -l <puerto>)

H@cking Lessons - SSLSTRIP - BLOG - 11

Y por ultimo abrimos Wireshark para ver lo que esta pasando. Elegimos la interfaz (en mi caso eth0) y le damos a start:

H@cking Lessons - SSLSTRIP - BLOG - 12

Aplicamos un filtro HTTP para solo ver esos paquetes:

H@cking Lessons - SSLSTRIP - BLOG - 13

Ahora nos vamos a la maquina Windows 7 y abrimos nuestro navegador para acceder a facebook (por ejemplo):

H@cking Lessons - SSLSTRIP - BLOG - 14

Hacemos “Login” con nuestro usuario y contraseña como hacemos siempre, pero veamos que pasa si en Wireshark buscamos un paquete que lleve por nombre “login“:

H@cking Lessons - SSLSTRIP - BLOG - 15

Seleccionamos el paquete y con el botón derecho del ratón le damos a “Follow TCP Stream“:

H@cking Lessons - SSLSTRIP - BLOG - 16

Una vez dentro podemos ver lo siguiente:

H@cking Lessons - SSLSTRIP - BLOG - 17

Como veis, tenemos el correo y la contraseña de un usuario de su facebook (podría ser twitter u otra cualquiera).

Si nos vamos a la maquina Windows 7, y revisamos la tabla ARP (con un arp -a desde el CMD) vemos que algo no cuadra:

H@cking Lessons - SSLSTRIP - BLOG - 18

Observamos que para la IP 192.168.1.1 (el router) y para la 192.168.1.50 (maquina Kali) la dirección MAC es la misma, y esto no debería ser posible, ya que como dijimos en otra entrada, las MAC deben ser únicas para cada tarjeta.

Esta es una de las “alertas” que vemos, la otra es que al entrar en facebook (si os habéis fijado antes) la dirección era HTTP y no HTTPS:

H@cking Lessons - SSLSTRIP - BLOG - 19

Por ultimo recordad que no debéis poner vuestras credenciales (usuario y contraseña) en ninguna pagina, aunque sea tu equipo, si no ves el HTTPS por ningún lado.

Y por supuesto, también indicar que esto es con fines educativos, no para vayáis por ahí haciendo cosas no “legales”.

Salu2


TonyHAT - 105

Anuncios

Un comentario en “H@cking Lessons: SSLstrip (MITM)”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s