Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 27-09-2011 11:54:43

Heisen
Nouveau membre
Inscription : 18-09-2011
Messages : 7

Fake AP, sslstrip, dsniff & cie

Bonjour à tous,

par où commencer.. Ayant suivi quelques tutos sur le net visant à concevoir un fake AP sur sa propre machine, voilà mon PC (sous bt5 R1 Gnome) transformé en point d'accès pour les ordinateurs alentours (détails: wlan1 est l'interface par laquelle je me connecte à internet, wlan0 celle qui me sert pour l'AP). Jusqu'ici pas de problème, le serveur dhcp est bien configuré (dhcpd.conf), les utilisateurs ont une IP qui leur est propre et ont bien accès à internet.
Je tiens à dire que cette expérience se déroule dans le foyer familial et qu'il n'y a donc pas de mauvaise intention derrière tout ça; passionné d'informatique, je veux juste apprendre ce qui me plait (non, je ne piraterai pas le compte Paypal de ma mère -_-).

Afin de mieux situer le sujet, voici donc mon programme permettant de créer ce fake AP:

./initAP.sh &> /dev/null

airmon-ng start wlan0 &> /dev/null
xterm -e airbase-ng -e test_AP -c 9 mon0  &

# temporisation
sleep 2

ifconfig at0 up
ifconfig at0 192.168.2.129 netmask 255.255.255.128
route add -net 192.168.2.128 netmask 255.255.255.128 gw 192.168.2.129

dhcpd3 -cf /etc/dhcp3/dhcpd.conf -pf /var/run/dhcp3-server/dhcpd.pid at0  &> /dev/null

# temporisation 
sleep 2


read -p "Connecter l'interface choisi a Internet et appuyer sur Entree"

# commande rajoutée suite à un problème de config de at0
ifconfig at0 up

iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain

iptables --table nat --append POSTROUTING --out-interface wlan1 -j MASQUERADE
iptables --append FORWARD --in-interface at0 -j ACCEPT


# règle pour sslsplit
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000


echo 1 > /proc/sys/net/ipv4/ip_forward


xterm -e sslstrip -a -l 10000 -f & 
# xterm -e dsniff -m -w pass.txt -i at0 &

où initAP.sh consiste à ré-initialiser les modules kernel des carte réseaux, ainsi que wlan0 wlan1 + supprimer les mon0, mon1 etc.

Comme vous l'aurez constaté, je souhaite lancer dsniff et/ou sslstrip pour sniffer le réseau et les ordinateurs connectés, pour lesquels mon PC est donc la passerelle.

Et voilà mon lot de questions:

- peut-on lancer ces 2 outils en même temps où cela risque-t-il de produire des conflits?

- j'ai pu observer sur la plupart des tutos/site concernant dsniff et sslstrip qu'il était nécessaire de combiner leur usage avec ettercap, arpspoof (et autres utilitaires visant à réaliser une attaque MITM); étant donnée que mon PC fait office de passerelle, cela reste-t-il nécessaire?

- Une fois lancé, sslstrip (pour lequel je fais bien attention à établir la règle supplémentaire [règle] avant de le lancer) semble fonctionner correctement pour une majorité de site avec portail https, établissant une 'redirection' vers du http avec un favicon. Toutefois, la fenêtre/terminal où sslstrip s'exécute n'affiche aucun résultat, j'extrais donc les données sensibles (password login etc.) via Wireshark (sur at0) et le filtre http.request.method==POST, ce qui semble fonctionner; mais est-ce une solution convenable?

- Concernant sslstrip toujours, j'ai par ailleurs observé quelque chose d'étrange: lorsqu'un utilisateur Gmail se connecte à son compte, desfois (mais très rarement) sslstrip ne fonctionne pas (pas de redirection vers du https), et lorsqu'il fonctionne, i.e. je capture les données avec wireshark, je constate que la méthode POST correspondant à la saisie de l'utilisateur est envoyé plusieurs fois (environ une petite dizaine de fois), avant que l'utilisateur se retrouve sur sa page de messagerie. Que se passe-t-il exactement?

- Passons maintenant à dsniff (lancé à la place de sslstrip et pas en même temps, cf. ma première question); et bien, tout simplement, je n'arrive pas à m'en servir, même après avoir fouiné sur forums et site officiel de l'outil.. Pourtant cet outil semble simple d'usage, mais une fois lancé, j'ai l'impression qu'il ne sniffe aucun password (test effectué sur un autre PC relié au fake AP, avec authentification sur forum crack-wifi), le terminal où il s'exécute n'affichant jamais de résultat. Y a-t-il un élément essentiel que j'ai oublié?


- Question Bonus: mes connaissances étant limitées à ce sujet, je n'ai pour l'instant testé que sslstrip et dsniff; me conseillez-vous d'autres outils?


Voilà tout, beaucoup de lecture, je sais (encore une fois). Je sais que ce sujet à été abordé de nombreuses fois, et j'ai par conséquent bien fait attention à cibler mes questions dans mon contexte bien précis.
Je vous remercie pour votre attention et votre aide, qui s'avère précieuse.

Cordialement,
Heisen.

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 27-09-2011 13:54:45

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Fake AP, sslstrip, dsniff & cie

Salut !

Bon, dans l'ordre :

- peut-on lancer ces 2 outils en même temps où cela risque-t-il de produire des conflits?

Oui, pas de conflit connu. De toute façon, Dsniff ne fait que "lire" le trafic qui passe, donc pas d'influence sur les autres outils qui utilisent ce trafic.

- j'ai pu observer sur la plupart des tutos/site concernant dsniff et sslstrip qu'il était nécessaire de combiner leur usage avec ettercap, arpspoof (et autres utilitaires visant à réaliser une attaque MITM); étant donnée que mon PC fait office de passerelle, cela reste-t-il nécessaire?

Si ton PC est la passerelle et que tu vois effectivement tout le trafic de la victime passer par lui (vérifie avec Wireshark), alors effectivement tu n'as pas besoin d'empoisonnement ARP pour rediriger le trafic.

- Une fois lancé, sslstrip (pour lequel je fais bien attention à établir la règle supplémentaire [règle] avant de le lancer) semble fonctionner correctement pour une majorité de site avec portail https, établissant une 'redirection' vers du http avec un favicon. Toutefois, la fenêtre/terminal où sslstrip s'exécute n'affiche aucun résultat, j'extrais donc les données sensibles (password login etc.) via Wireshark (sur at0) et le filtre http.request.method==POST, ce qui semble fonctionner; mais est-ce une solution convenable?

Si ça te convient, alors c'est convenable big_smile C'est vrai qu'en cas de redirection HTTP/HTTPS SSLStrip ne fonctionne pas toujours bien. Après, l'outil que tu utilises pour extraire les infos intéressantes, c'est ton choix tant que ça marche c'est bon. Perso je travaillerais plutôt avec Tshark (version en ligne de commande de Wireshark), ou même ngrep (comme "grep", mais avec les paquets réseau). Par exemple, voilà une commande pour afficher en console le contenu des requêtes POST sur at0 :

ngrep -l -p -q -d at0 POST port 80

Concernant sslstrip toujours, j'ai par ailleurs observé quelque chose d'étrange: lorsqu'un utilisateur Gmail se connecte à son compte, desfois (mais très rarement) sslstrip ne fonctionne pas (pas de redirection vers du https), et lorsqu'il fonctionne, i.e. je capture les données avec wireshark, je constate que la méthode POST correspondant à la saisie de l'utilisateur est envoyé plusieurs fois (environ une petite dizaine de fois), avant que l'utilisateur se retrouve sur sa page de messagerie. Que se passe-t-il exactement?

"The Google Black Magic" je suppose... Je ne connais pas leurs protocoles et je ne me suis jamais amusé à disséquer une connexion en détails, mais je crois que c'est juste un mix entre l'influence de sslstrip, le code de Google et la session utilisateur (cookies, temp files). Ce n'est sans doute pas normal, mais je ne sais pas t'en dire plus...

- Passons maintenant à dsniff (lancé à la place de sslstrip et pas en même temps, cf. ma première question); et bien, tout simplement, je n'arrive pas à m'en servir, même après avoir fouiné sur forums et site officiel de l'outil.. Pourtant cet outil semble simple d'usage, mais une fois lancé, j'ai l'impression qu'il ne sniffe aucun password (test effectué sur un autre PC relié au fake AP, avec authentification sur forum crack-wifi), le terminal où il s'exécute n'affichant jamais de résultat. Y a-t-il un élément essentiel que j'ai oublié?

Dsniff est surtout utilisé pour les protocoles "simples" genre FTP, POP,... Il peut être utilisé pour le HTTP, mais uniquement sur des sites où une pop-up du navigateur te demande ton mot de passe, comme par exemple ton routeur ou bien du genre http://www.pagetutor.com/keeper/mystash … stuff.html (c'est juste un exemple au hasard, mais tu peux y taper un mot de passe bidon et tu verras que Dsniff le récupère).

- Question Bonus: mes connaissances étant limitées à ce sujet, je n'ai pour l'instant testé que sslstrip et dsniff; me conseillez-vous d'autres outils?

Ca dépend, tu veux choper quoi d'autre ? Moi j'y ajouterai le sniff de cookies (via Hamster et Ferret), ça permet de contourner les authentifications simples (genre sur crack-wifi.com tongue). Tu peux aussi jouer avec Ettercap pour modifier le trafic en temps réel (remplacer toutes les images par une photo au choix, ou ajouter des bonus-surprise aux pages visitées). Y a plein de possibilités si on fait preuve d'un peu de créativité smile

Pfiou, ça c'est fait ! Juste au cas où, pense à relire la section 6 des Règles wink Avec une telle concentration de pavés, on devrait voir débarquer un bovidé familier sous peu...

Hors Ligne

#3 27-09-2011 16:10:48

Heisen
Nouveau membre
Inscription : 18-09-2011
Messages : 7

Re : Fake AP, sslstrip, dsniff & cie

J'avoue que j'ai exagéré lol mais je ferai attention la prochaine fois.
Encore une fois antares145, merci pour ta réponse rapide et précise, je vais maintenant creuser un peu plus côté  sniff de cookies, puis modification du traffic, tu m'as mis en appétit big_smile
Et pour la créativité... bigsmoke et on verra bien (à prendre au 2eme degré bien sûr!)

Hors Ligne

#4 27-09-2011 16:19:49

noireaude
Membre d'honneur
Lieu : Chez le docteur
Inscription : 12-03-2010
Messages : 2 362
Site Web

Re : Fake AP, sslstrip, dsniff & cie

antares145 a écrit :

Salut !
Pfiou, ça c'est fait ! Juste au cas où, pense à relire la section 6 des Règles wink Avec une telle concentration de pavés, on devrait voir débarquer un bovidé familier sous peu...

Plop Heisen et bienvenue.

J'ai vu de la lumière, je suis entré histoire de voir ce qui se tramait. Moo !!!!
Je vais donc faire l'impasse sur une morale concernant la section 6 puisque tu t'en es chargé lol

PS: Content de te revoir, j'ai failli appeler les hôpitaux smile


L’écureuil conserve les noisettes par instinct et non par représentation, sans cela il aurait déjà bâti des congélateurs à noisettes. Karl Marx : 1818 - 1883

Ma seule certitude est d'être dans le doute. Pierre Desproges : 1939 - 1988  @lavachelibre

Hors Ligne

#5 27-09-2011 18:58:27

Heisen
Nouveau membre
Inscription : 18-09-2011
Messages : 7

Re : Fake AP, sslstrip, dsniff & cie

Merci pour ton indulgence noireaude, et à bientôt très certainement car le forum crack-wifi tend à devenir une référence au vu du savoir qui y transite yeahanim

Hors Ligne

#6 27-09-2011 20:22:22

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 354

Re : Fake AP, sslstrip, dsniff & cie

Heisen, lors de ton inscription chez nous tu as accepté de respecter notre règlement. Je t'invite donc à aller le relire, et en particulier la section 5 intitulée "Ceux qui copient et collent leurs posts depuis d'autres forums". Nous ne voulons pas de contenu dupliqué chez nous, merci de faire très attention à cela lors de tes prochaines interventions sur le forum.

Hors Ligne

#7 27-09-2011 22:20:49

Heisen
Nouveau membre
Inscription : 18-09-2011
Messages : 7

Re : Fake AP, sslstrip, dsniff & cie

Au temps pour moi, de toutes façons toutes les réponses se trouvent ici donc dorénavant.. plus de problème à ce sujet.

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
8 3891 15-06-2016 04:48:18 par Teeknofil
5 1169 08-01-2016 17:19:27 par FritillaX
AIDE : AWUS036H Fake? par Jilhali
16 1211 09-06-2015 20:32:48 par M1ck3y
2 1163 02-09-2014 16:38:00 par flacono
4 3152 20-06-2014 16:28:41 par M1ck3y

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.026 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]