...sollte finde ich auch mal erwähnt werden, ist zwar nicht mehr ganz aktuell jedoch immer noch effektiv und interessant.
SSLStrip erstmals 2009 auf der Black-Hat-Konferez von Moxie Marlinspike vorgestellt.
Zuerst, SSL ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. HTTPS beudeutet das hier das SSL Protokoll benutzt wird.Vorallem im Online-Banking und Online-Shopping Bereich ist es zu finden. Jedoch auch Paypal,WEB,gmail uvm. bieten es an.
Durch SSL werden Daten also verschlüsselt über das Netzwerk übertragen und können somit nicht im Klartext gesnifft werden.
Moxie Marlinspike hat ein Programm geschrieben das dem Browser vortäuscht, es gäbe eine SSL Verbindung, während in Wirklichkeit nur eine einfache, unverschlüsselte HTTP-Verbindung existiert. Mit dem Server kommuniziert SSLStrip jedoch wirklich über HTTPS.
SSLStrip ist in Backtrack bereits vorhanden. Doch zuvor müssen noch ein Paar Einstellungen vorgenommen werden.
In der etter.conf file die sich unter Backtrack im Pfad /etc/ befinden dürfen die zwei Befehle nicht auskommentiert sein.
#---------------
# Linux
#--------------
# if you use iptables:
redir_command_on = "iptables -t nat -A .....
redir_command_off = "iptables -t nat -D.....
Also sie dürfen kein "#" am Anfang der Zeile haben!
Der Wert von ip_forward muss noch auf 1 gesetzt werden. Das geht mit folgendem Befehl
echo "1" > /proc/sys/net/ipv4/ip_forward
nun wird wiedereinmal durch ARP-Spoofing ein Client dazu veranlasst all seinen Traffic an den Angreifer zu schicken.
(ARP-Spoofing wird im Artikel "I see what you see" erklärt )
arpspoof -i eth0 -t 192.168.0.33 192.168.0.1
[interface] [Opfer IP] [Gateway IP] (Programm Laufen lassen!)
Jetzt noch die IP Tables so konfigurieren das ankommender Traffic von Port 80 umgeleitet wird
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 10000
Ettercap zum sniffen starten
ettercap -Tq -i eth0 (Programm Laufen lassen!
zu guter letzt SSLStrip
sslstrip -a -k -f (Programm Laufen lassen!
Wenn nun das Opfer (192.168.0.33) im Browser z.B. mail.google.com aufruft wird er nicht auf wie gewöhnlich auf https://mail.google.com weitergeleitet sondern auf http://mail.google.com. Denn SSLStrip ersetzt das https durch das ungeschützt http.Es herscht nun eine http Verbindung vom Opfer zum Attacker (und zurück) und eine https Verbindung vom Attacker zum Server (mail.google.com)(und zurück). Das Opfer landet auf der selben Seite jedoch unverschlüsselt. Jetzt kann Ettercap und SSLStrip alle Logins im Klartext abfangen ; )...sprich man sieht den Loginnamen und das Passwort.
Ettercap hat von web.de und mail.google.com und..
paypal.com erfolgreich gesnifft.
Mache Logins tauchen bei ettercap nicht auf. Dann muss nur ein Blick in die sslstrip.log geschaut werden.
Diese wird in dem Pfad erstellt von dem man SSLSTRIP gestartet hat.
Und wie man sieht wurde hier ein Login Versuch bei banking.postbank.de mitgesnifft. (Ktnr. und PIN natürlich frei erfunden)
Verhindern lässt sich das ganze in dem man von Anfang an https:// eingibt, somit würde man SSLStrip keine Chance geben.
Da viele Internet Nutzer jedoch Dumm und Faul sind, wird das sicher noch eine Angriffsmethode bleiben....
