Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 31-12-2010 10:41:04

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

SSLStrip derrière un proxy ? Plus de net sur le poste "victime"

Hello,

je suis sous un environnement avec un poste victime sous XP SP3 et un poste "attaquant" sous BT4 R2.
Les deux se trouvent connectés en ethernet et ont accès à Internet au travers d'un proxy (avec authentification).

J'aimerai avoir votre avis sur "ma théorie" et éventuellement voir avec vous s'il y a une solution pour cela.

J'ai suivi le super tuto d'antares sur SSLStrip.

Comme indiqué, il faut un moment entrer la commande "iptables -t nat - A PREROUTING etc....". Donc vous me confirmez que si je stoppe SSLStrip, je DOIS lancer un "iptable -t nat -F" pour retrouver un accès normal au HTTP sur le poste victime, n'est-ce pas ? (je demande confirmation car je ne l'ai jamais lu dans aucun tuto).

Enfin ca c'est un détail et ce n'est pas le gros de ma question big_smile

Je constate qu'au lancement de SSLStrip, je perds complètement l'accès à Internet.
Ma théorie est que, du fait que je passe par un proxy, et comme j'ai cru comprendre que SSLStrip réemettait lui-même le trafic de la victime vers Internet, alors SSLStrip se mange des "autorisations requises" du proxy car il ne s'authentifie pas sur celui-ci (d'ailleurs personne ne lui a dit à aucun moment qu'il y avait un proxy).
Du coup, ca expliquerait pourquoi mon accès au net serait coupé sur le poste de la victime lors de l'utilisation de SSLStrip, non ?
En gros la victime envoie une requete sur http://google.fr; iptables redirige le trafic du port 80 vers le port 10000 de SSLStrip puis SSLStrip tente de renvoyer le trafic sur Internet mais "biiiiiiiiiiiiiiiiip" il a pas les droits.

Ca vous semble être une explication ?

Si oui, est-ce qu'il y a la possibilité de définir une configuration proxy au niveau du "système" pour dire que tout le flux qui sort doit se faire au travers d'un proxy avec tel login/mot de passe ?

Merci !

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 31-12-2010 11:21:51

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : SSLStrip derrière un proxy ? Plus de net sur le poste "victime"

Salut

Petite précision pour commencer, le tuto sur SSLStrip n'est pas de moi mais de [email protected] (notre grand maître ès-tutos) ; y a juste mon nom dessus parce que j'ai fait un peu de relecture et quelques commentaires, et qu'il fait suite au tuto sur MDK3 qu'on avait co-écrit [email protected] et moi wink

Alors, dans l'ordre :
- oui, une fois que tu coupes sslstrip tu dois nettoyer tes règles iptables, puisque tout le trafic du port 80 continue à être redirigé vers le 10000 mais y a plus rien au 10000 qui permet d'acheminer le trafic au delà
- ton explication me semble parfaitement acceptable, c'est aussi mon avis. Si tu veux t'en assurer, tu peux lancer Wireshark (hé oui, encore lui !) sur ta machine attaquante, et regarder le trafic du/vers le proxy. Tu devrais y voir les trames des demandes d'authentification, les non-réponses de SSLStrip et finalement les expirations de session (pas de proxy pas de chocolat).

2 solutions possibles (n'ayant pas de proxy je n'en ai testée aucune) :
- utiliser une variable d'environnement pour le proxy http (qui devrait être utilisé par toutes les applications en console) :

Edit your /etc/bash.bashrc file as root.
Put these line at the end of your /etc/bash.bashrc file :
export http_proxy=http://username:[email protected]:port/
[...]
You can omit the username:password, if your proxy server has no password.

--> How to use apt-get behind proxy server (Ubuntu/Debian)
(je ne sais pas si Python a la politesse de respecter ce réglage)
A mon avis dans le cas de BackTrack c'est plutôt /root/.bashrc qu'il faut modifier... Ceci sera pris en compte à la prochaine ouverture de session root, si tu veux juste faire un essai tu peux juste taper la commande en console.
- faire passer le trafic de la victime à travers un autre proxy (qui s'occupera de l'authentification) avant de le faire passer par SSLStrip (qui ne doit plus s'occuper du proxy) ; c'est la solution proposée sur le forum officiel :

PROXY - Man in the middle attack with SSLstrip

Problems found when "use proxy option in browser" settings in browser settings.
And when the proxy is enabled with authentication.

1. SSLstrip for some reason was not able to strip HTTPS via proxy.

2. SSLstrip - No upstream proxy option, so the attacker system should have direct internet access(http and https).

Solution.
On attackers system
1. Run burp proxy on port 8080
2. Redirect 80 traffic to 8080
3. Redirect from burp proxy to SSLstrip (10000).
4. options for setups with no direct internet - burp proxy has upstream proxy redirecting with authentication.

--> sslstrip & ettercap when squid authentication is enabled
A toi de voir un peu comment Burps proxy fonctionne, main me para plus simple (si elle marche) wink

Hors Ligne

#3 31-12-2010 13:16:01

iautran
Membre Radioactif
Inscription : 01-07-2010
Messages : 85

Re : SSLStrip derrière un proxy ? Plus de net sur le poste "victime"

Grrrr,c'est à ni rien comprendre des fois !

Alors j'ai fait le test d'ajouter les infos proxy dans le bashrc.
Je me suis alors connecté à google.fr et ca a fonctionné mais c'était suuuuuuuper lent (50 secondes pour afficher la page d'accueil; et c'est valable pour tous les sites).

Bref, ensuite j'ai supprimé la ligne ajoutée dans le bashrc, j'ai relancé SSLStrip et j'avais toujours accès à Internet de façon super lente !
Donc la j'avoue que je ne capte plus car en sniffant ma connexion, je me rends compte que ca ne confirme pas ce que l'on disait plus haut.

En effet pour le trafic en HTTP, mes trames (récupérées depuis le poste de l'attaquant) me montrent que le flux HTTP de la victime part directement sur Internet (enfin sur le proxy) et que SSLStrip ne joue pas le rôle de proxy pour ce flux (mais du coup je n'explique pas pourquoi le flux HTTP est si lent quand j'ai SSLStrip + iptables.

Pour le flux HTTPS, je ne vois pas de flux HTTP partir depuis le poste attaquant, mais juste des trames de la victime vers le proxy pour l'url demandée et une réponse du proxy au client lui disant 301. Moved Permanently.
Ensuite le chargement ne finit jamais.

(et cela se passe indifféremment avec ou sans la modif dans bashrc en fait; c'est vraiment super étrange.

Je vais essayer la méthode "burp" pour voir

edit : En rebootant j'ai eu un message dans le terminal indiquant -bash: export:user:[email protected]:port (ajouté) : not a valid identifier

edit 2 : J'ai l'impression en fait que la solution via le bash ne fonctionnait pas car dans les logs sslstrip je vois qu'il m'indique qu'il n'a pas réussi en HTTP et du coup il bascule en HTTPS; et en HTTPs les sites testés répondent tous apparemment (tf1.; france2 etc big_smile) en https et avec un temps de chargement trés long)
Je m'oriente donc vers burp pour voir ! (oui, je sais je l'avais déjà dit ! :p)
Thanks

Dernière modification par iautran (31-12-2010 13:56:19)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
4 203 04-12-2016 16:20:59 par pwerrick
0 1155 19-04-2016 18:23:42 par 2tlopez51
5 1177 08-01-2016 17:19:27 par FritillaX
2 1164 02-09-2014 16:38:00 par flacono
11 4082 04-06-2014 20:32:43 par papillonH

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.023 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]