Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×
rutera

Премахването на SSL

Recommended Posts

Здравейте,

пичове как се справяте със ssl-а който се поставя сам. Как го заобикаляте.

Аз ползвах sslstrip, sslstrip+ и разни други като bettercap ама вече нищо не върши работа. А ми се ще някак да успея да го заобиколя. 

Споделете вашият опит от тази гледна точка.

Share this post


Link to post
Share on other sites

Пробвай  http://localhost/~jertva
Като замениш localhost с IP-то на сървъра и jertva  с юзъра.

Късмет!

Share this post


Link to post
Share on other sites

Здрасти,

mitmproxy или PolarProxy, а ако искаш нещо по-фънки relayd.

Share this post


Link to post
Share on other sites

Добре дошъл  в 2019г. :) sslstrip, mitmproxy, bettercap, bettercap2 няма да работят ако апликаците/браузъри/протоколи правят SSL verification. 

Това означава че се прави валидация на сертификата: кой го е издал/подписал? валиден ли е? trusted ли е? etc.

Ако уеб сървъра, например на фб изпраща 'Strict-Transport-Security' --> https://lmgtfy.com/?q=hsts

~ $ curl -I https://facebook.com 
HTTP/2 301 
location: https://www.facebook.com/
strict-transport-security: max-age=15552000; preload
content-type: text/html; charset="utf-8"
x-fb-debug: 7OgezS7+3VKFfDqw55PgiqSoJbOhYW4nG90dDQu9+le+waXTVGtPXzCAKrcFyGISwATw2PWz1eHd34XqftOXuQ==
content-length: 0
date: Wed, 07 Aug 2019 12:43:53 GMT

това ще можеш да го заобиколиш само ако жертвата има инсталиран сертификата който използва sslstrip, което е малко вероятно.

Допълнително, мобилни приложения и новите стрийминг протоколи (например MQTT) правят Certificate Pinning по default. Което верифицира сървъра към който се свързват 

Ако искаш да събираш фб пароли и сесии трябва да бъдеш малко по креативен. Например като използваш bettercap2 + cloud сървър с evilginx2  (https://lmgtfy.com/?q=evilginx2) и да пренасочваш домейните към този сървър (не към локален уеб сървър), на който му трябва external ip за да си вземе LetsEncrypt.

Един прЕател ми каза!

  • Like 1

Share this post


Link to post
Share on other sites

@d3k4z големите сайтове използват т.нар. предифини ссл, а организациите който правят големите браузъри периодично правят проверка и съответно добавят или не даден домейн като предифиниран, ако домейна е такъв няма да успееш да заобиколиш ссл, в всеки друг случай успявам. Това е, кратко и ясно. Всеки който желае може да потърси как да си направи домейна предифиниран за браузърите.

Share this post


Link to post
Share on other sites
На 8.08.2019 г. at 12:07, rutera написа:

@d3k4z големите сайтове използват т.нар. предифини ссл, а организациите който правят големите браузъри периодично правят проверка и съответно добавят или не даден домейн като предифиниран, ако домейна е такъв няма да успееш да заобиколиш ссл, в всеки друг случай успявам. Това е, кратко и ясно. Всеки който желае може да потърси как да си направи домейна предифиниран за браузърите.

не го намирам това като термин.

Може би говориш за https://hstspreload.org/

Цитат

което пак си става през HSTS header, само че браузъра си го слага автоматично и не чака на уеб сървъра да му го предложи.

Evilginx не работи така... той не използва *.facebook.com като домейн. Трябва ти регистриран домейн, например: ctf.bg, evilginx че регистрира api.facebook-loginportal.fb-passport.auth-server.facebook.cluster1.oid.eu-west1-germany.fwrule.ctf.bg, ще пусне уеб сървър, ще му сложи LetsEncrypt.

Идеята на софтуера е да прави клонинги на целта(примерно facebook.com), и да служи за прокси на заявките. За да може накрая да вземе - username, password + session cookie.

  • Like 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.