Je voulais voir combien de combinaisons de sites Web et de navigateurs sont toujours vulnérables à une attaque de décapage TLS (comme, en mettant en oeuvre la TVHS ou en désactivant le ClearText HTTP complètement). Pour ce faire, je voulais le voir à l'aide de l'outil SSLStrip, mais j'étais incapable de le faire fonctionner (en suivant les instructions de la page du projet lui-même): L'entrepoiffage ARP fonctionne apparemment bien, car le PC cible ne peut plus parcourir , mais SSLStrip ne reçoit rien.
J'ai essayé d'écouter avec un TCP sur le port redirigé par IPtables, mais je n'ai rien reçu, alors j'ai exclu aussi iptables, et maintenant j'essaie simplement de recevoir des connexions directement sur le port utilisé. par le client des victimes. J'ai essayé à la fois en activant et à désactiver la transmission IP (avec /proc/sys/net/ipv4/ip_forward
), et utiliser WiFi ou Ethernet comme interface de l'hôte attaquant, mais rien ne change:
Ceci est la commande que j'utilise depuis l'hôte attaquant (adresse 192.168.1.33
nom d'hôte macbook
, une boîte Linux 3.11):
Sudo arpspoof -i eth0 -t 192.168.1.31 192.168.1.1
(192.168.1.1
est la passerelle) puis
Sudo socat TCP4-LISTEN:80 STDOUT
sur l'hôte de la victime (192.168.1.31
):
socat - TCP4:192.168.1.1:80
Je peux ouvrir la connexion, mais si j'essaie quelque chose, je ne reçois rien sur l'hôte attaquant (pointant socat
à l'adresse IP de l'attaquant, travaille évidemment)
traceroute montre que Apparemment, le spoofing ARP réussit:
> traceroute 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 Hops max, 60 byte packets
1 macbook.local (192.168.1.30) 2.719ms 5.932ms *
2 * * *
3 * * *
4 * * *
5 * * *
[snip]
28 * * *
29 * * *
30 * * *
arp -n
Sortie de l'hôte de la victime
Address HWtype HWaddress Flags Mask Iface
192.168.1.33 ether 00:1d:4f:fc:af:fc C wlan0
192.168.1.1 ether 00:1d:4f:fc:af:fc C wlan0
Il y a une collision IP en cours. Bien que vous ayez convaincu le 192.168.1.31 que vous êtes 192.168.1.1 avec la commande suivante (ce qui signifie que vous avez influencé sa table de routage):
Sudo arpspoof -i ETH0 -T 192.168.1.31 192.168.1.1
... Le 192.168.1.1 pense toujours à son 192.168.1.1, alors quand il voit des demandes d'ARP pour sa propre adresse IP à la fois de votre ordinateur et que le routeur répondra avec une adresse MAC. La première adresse MAC reçue sera celle pour obtenir le paquet (ne pensez pas cela parce que vous voyez une entrée de votre adresse IP empoisonnée dans ARP -N que les demandes d'ARP pour cette IP cesseront nécessairement). En outre, il ne sait pas de ne pas envoyer de paquets à la machine victime ou de répondre à d'autres paquets qui semblent provenir de cette machine.
Typiquement, l'homme au centre est juste que "au milieu", donc vous devriez essayer ce qui suit:
Sudo arpspoof -i ETH0 -T 192.168.1.31 192.168.1.1
Sudo arpspoof -i ETH0 -T 192.168.1.1 192.168.1.31
Le second indique à votre routeur d'envoyer des paquets adressés à IP 192.168.1.31 à vous (plutôt que la machine de victime d'origine). Si votre machine de victime obtient un paquet du vrai 192.168.1.1 avec la vraie adresse MAC de cette machine, savez-vous ce que c'est le comportement? Il est donc préférable d'éviter cette possibilité en redirectant tous les paquets du vrai 192.168.1.1 destiné à vous 192.168.1.31, car vous êtes censé être au milieu.