Jugando y burlando a SSL con SSLStrip

Todo sobre seguridad, exploits, vulnerabilidades, bug's, etc.

Moderador: Moderadores

Jugando y burlando a SSL con SSLStrip

Notapor vlan7 » Sab Jun 20, 2009 5:14 am

No tengas miedo, solo ve hacia adelante y juega

Hola!

¿Quien de nosotros escribe https en el navegador para llegar a una pagina https?

Apuesto a que ninguno lo hacemos.

¿Como llega la gente normalmente a una pagina https pues?

A traves de enlaces o de redirecciones (302).

Bien, aqui entra en juego SSLStrip, una herramienta que automatiza el proceso de realizar un ataque MitM contra estos 2 tipos de llegada a una conexion SSL.

En otras palabras, atacaremos la conexion http en lugar de la conexion https...

Musica maestro.

Primero un screenshot con la configuracion de la victima:

Imagen

Bien. El atacante deberia comenzar el ataque asi:

Imagen

Con el primer comando activamos el forwarding.

El segundo comando es una regla de iptables que redirige todo el trafico del puerto 80 al 10000.

Puede ser otro, siempre que seamos coherentes y se lo digamos a sslstrip en el tercer comando que aparece en la captura.

Llamando asi a sslstrip, la victima no recibe ninguna advertencia de certificado y ademas el favicon es un candado, con lo cual la posibilidad de engaño es mayor.

Bien, ahora tenemos que lanzar un ataque de ARP-poisoning. Yo he elegido ettercap.

Imagen

Ya estas pasando por mi.

Una vez hecho esto, cuando la victima ingresa a paypal lo unico diferente es que en la URL aparece http en lugar de https, mirad:

Imagen

Imagen

Y ahora, el atacante mata el proceso de sslstrip con un CTRL+C.

sslstrip guarda un archivo de log en sslstrip.log , aunque hay una opcion para cambiarlo, pero que mas da. Entonces podemos hacer una busqueda con grep en el archivo sslstrip.log y veremos el par user / password que introdujo la victima para logearse en paypal:

Imagen

Ahi esta el user y el pass. El pass es HazUnaPintadaEnInet

Bueno, ¿y como defendernos de SSLStrip? Evidentemente, asegurandonos de que la URL que aparece en el navegador empieza por https escribiendolo nosotros explicitamente.

En principio tengo varias ideas en mente que ire desarrollando en posts sucesivos, como por ejemplo montar un AP falso, o tratar de recrear el escenario que monto Moxie Marlinspike en su charla en la BlackHat 2009 creando un nodo TOR con sslstrip, o leer los logs con una herramienta con menos bombo como SSLparse...

Espero que os haya gustado...

Suerte,
Última edición por vlan7 el Sab Ene 21, 2012 1:21 pm, editado 5 veces en total
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor AnimAlf » Sab Jun 20, 2009 8:01 am

Hola,

el otro día vi en un hilo, algo sobre cómo era posible que utilizando una inyección sql sobre una vulnerablidad, se aplicase bien en el 80 y no en el 443.

ignorante de mí, respondí que la inyección funciona igual sobre los dos puertos, que el cifrado no interfiere en ello. Que si no funcionaba en 443 era por no existir o estar corregida la vulnerabilidad en la aplicación web.

Ahora he puesto como referencia el mensaje para complementar el hilo. Si no te sabe mal. Si es que me meto donde no me llaman y a veces no es lo correcto.

¿puedes corregirme?

thanks
En busca del TuXeR perdido
Avatar de Usuario
AnimAlf
<|:-)
<|:-)
 
Mensajes: 628
Registrado: Mar Ago 08, 2006 4:54 am
Ubicación: tgn

Notapor vlan7 » Sab Jun 20, 2009 7:15 pm

Animalf, tal y como comentaste en el enlace que nos pones, SSL no protege de ataques de SQL-injection. Ya estabas en lo cierto tio.

Este post que hice no tiene nada que ver con SQL-injection. Te/os paso el enlace con la presentacion del autor de SSLStrip sobre este ataque en la BlackHat de este año:

New Tricks For Defeating SSL In Practice

Stay clean!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NewLog » Dom Jun 21, 2009 3:51 am

Mmm, genial! Buena info!

Puedo hacerte un par de preguntas?

1) La primera y más trivial, podrías decirme como volver a dejar las redirecciones hechas con las iptables tal y como estaban antes? Sí, no tengo ni idea de iptables! Es una asignatura pendiente (pero mejor estudiaré lo que dicen que será su evolución)

2) Imagino que el trafico esnifado es el de todos los hosts de la red, no? O sea, en el log tendremos todo el tráfico generado en la red?

3) La dirección 192.168.2.1 es al dirección del router de la red donde nos conectamos, verdad?


Siento que mis dudas sean tan básicas, desvirtuan el hilo :roll:

P.D.: En cuanto tenga media horita me leeré las diapositivas que tienen muuuy buena pinta!

Gracias!
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Notapor vlan7 » Dom Jun 21, 2009 8:19 am

NewLog escribió:1) La primera y más trivial, podrías decirme como volver a dejar las redirecciones hechas con las iptables tal y como estaban antes?


Código: Seleccionar todo
iptables -t nat -F


La F es de flush

NewLog escribió:2) Imagino que el trafico esnifado es el de todos los hosts de la red, no? O sea, en el log tendremos todo el tráfico generado en la red?


Si, es el trafico de todos los hosts de la subred. Y en el log tendremos todo el trafico que tenga como destino el puerto 80, que tras envenenar la tabla ARP de las victimas haciendoles creer que somos el router vienen a nuestra regla iptables que redirige el trafico al puerto 10000 en este caso, donde tenemos a sslstrip escuchando.

Con la tecla c veremos en ettercap los hosts que estan envenenados.

NewLog escribió:3) La dirección 192.168.2.1 es al dirección del router de la red donde nos conectamos, verdad?


Si, si te fijas en una de las imagenes pone una flecha que pone router, quizas debi ponerlo arriba en el comando para que se viera mejor...

Bueno, y para nada desvirtuan el hilo tio, todo lo contrario, hacen que se profundice en los aspectos en los que uno se olvida de profundizar.

Saludos!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor NewLog » Dom Jun 21, 2009 12:02 pm

Perfecto :lol:

Gracias de nuevo! En cuanto acabe los exámenes lo provaré... Tengo bastantes ganas, la verdad :badgrin:
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Notapor Popolous » Dom Jun 21, 2009 1:20 pm

Le he puesto un post-it al tema porque creo que se lo merece. Muy buen trabajo.

Lo único que puedo añadir, ya que de estos temas soy un auténtico ignorante es el enlace al script Python con el programa sslstrip.

¡Saludos!
A. Einstein, cabello y violín,
hacemos nuestra última reverencia;
aunque sólo comprendido por dos personas,
él mismo y, a veces, Dios.

Jack C. Rosseter

"Sin direccionamiento Físico, no hay direccionamiento Lógico"

Vikingo dixit
Popolous
Wadalbertita
Wadalbertita
 
Mensajes: 1946
Registrado: Mié Ene 26, 2005 10:40 pm
Ubicación: E=mc^2

Notapor NeTTinG » Lun Jun 22, 2009 4:07 am

Hola:

Gracias por compartirlo, vlan7! ;)

Parece que volvemos a las andadas!! :badgrin: :badgrin:

Eso es bueno ;)

Un saludo.
Última edición por NeTTinG el Mar Jun 23, 2009 9:56 pm, editado 1 vez en total
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor disturb » Mar Jun 23, 2009 2:36 pm

Tiene buena pinta, gracias!
disturb
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 2253
Registrado: Mié Ene 26, 2005 5:30 pm
Ubicación: Málaga

Notapor vlan7 » Mar Jun 23, 2009 8:38 pm

Si que volvemos a las andadas Netting jejeje

Bueno, a lo que iba, que soy tan escueto que me dejo cosas en el tintero. En otro hilo, nuestro compañero NewLog planteaba lo siguiente:

El SSLStrip no esnifa una conexión segura, sinó que evita que dicha conexión se realice, y en vez de entrar por https, entra por http (diría que SSLStrip síq ue hace una redirección, no?). Si un servidor no estuviera configurado para servir páginas via http el ataque con SSLStrip no sería posible.

A ver si me puedo explicar... SSLStrip tiene sus antecedentes en una herramienta de 2003 o asi llamada sslsniff. Tienes razon en que no ataca a la conexion SSL, sino que ataca a la conexion http estandar.

El quiz del ataque esta en lo siguiente:

Cuando un usuario escribe en su navegador favorito www.paypal.com , los chicos de paypal redireccionan a https. Bien, SSLStrip lo que hace es atacar esa primera parte, antes de la redireccion, es decir, la parte mas debil de la conexion. Es por eso que este ataque no funciona si el usuario escribe en la barra de direcciones https://....

En la presentacion que el autor de la herramienta hizo en la BlackHat 2009, se ve mas claro, con imagenes. ;)

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor Sor_Zitroën » Mar Jun 23, 2009 9:05 pm

A ver si lo he entendido.... SSLStrip intercepta la redirección HTTPS del servidor web y la ignora. Por lo tanto el cliente web navega sobre HTTP y se puede snifar todo.

¿Es eso?
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor vlan7 » Mar Jun 23, 2009 9:20 pm

Si, asi de conciso.

Y desde el momento en que SSLStrip intercepta la redireccion, el _servidor_ sigue la comunicacion con el atacante, que es el hombre en el medio, por eso el ataque tiene exito. Es decir, no es que la ignore y pase de todo. Entre el atacante y el servidor hay un canal SSL. Entre la victima y el atacante hay un canal http en texto plano.

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor Sor_Zitroën » Mar Jun 23, 2009 10:07 pm

Vale, vale, .... ahora lo entiendo mejor.

Pero otra duda: has dicho que a la víctima le sale como favicon un candado, pero realmente es lo único que hace aparentar que está en una conexión HTTPS, ¿no?


Y por otro lado has comentado:

vlan7 escribió:Hola!
¿Como llega la gente normalmente a una pagina https pues?

A traves de enlaces o de redirecciones (302).


Pero yo sólo veo que se puede utilizar SSLStrip cuando hay una redirección, porque si se entra directamente mediante un enlace HTTPS se acaba la fiesta, ¿o me he perdido algo?
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Notapor NeTTinG » Mar Jun 23, 2009 10:21 pm

Hola:

Pero yo sólo veo que se puede utilizar SSLStrip cuando hay una redirección, porque si se entra directamente mediante un enlace HTTPS se acaba la fiesta, ¿o me he perdido algo?


No. Puesto que estas técnicas solo son posibles en redes de área local se podría forzar al usuario a entrar por HTTP... bueno, siempre y cuando no utilice Firefox... aunque claro, si lo forzamos también podríamos "jugar de otra forma"... podríamos hacer un Envenenamiento DNS + PHISNIG... Algo muy sencillo en una red de área local...

Un saludo.
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Notapor vlan7 » Mar Jun 23, 2009 11:22 pm

Sor, todo lo que dices en tu ultimo post es cierto. La victima ve en su navegador un candado, pero en la direccion ve http, tal y como pone en una screenshot de esas que puse.

Lo de los enlaces lo puse porque no se sabe si el boton de login del ejemplo de paypal que puse lleva a una conexion https o http. Eso confunde mas al usuario.

Y en las diapositivas que puse, en las pruebas que hizo el que programo la herramienta, el 100% "picaron".

Y lo que dices Netting es cierto, excepto el "no" que le dices a Sor :D y lo del FF. ¿A que te refieres con usar o no firefox?

Me da la sensacion de que no me explico... :(

A ver, este esquema explica todo el escenario yo creo:

Código: Seleccionar todo
          LAN                               inet
.------------------.        .------------
Victima <---> Atacante <---> Servidor
        http            SSL


Bueno, me voy a las hogueras, que aqui mañana es fiesta y no curro. :badgrin:

Suerte!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Siguiente

Volver a Seguridad

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron