Hack x Crack - Comunidad de Seguridad informática

Seguridad Informatica => Hacking => Mensaje iniciado por: Wormhole en Enero 20, 2017, 07:04:48 am

Título: Man in The Middle + SSL
Publicado por: Wormhole en Enero 20, 2017, 07:04:48 am
¡Hola!

Espero que estén bien, aunque despúes de mucho tiempo regreso, es como si fuera mi primer post...

Mi duda es la siguiente:

He estado practicando formas distintas de hacer un ataque MITM, imagino que conociendo ya del tema sabrán que el método con el SSLSTRIP no funciono, por lo menos a mí no, lo mucho que he logrado es que el navegador dé alerta de que la conexión no es segura y no deja ingresar, pero eso hablando de https. Quisiera saber si conocen alguna forma de poder acceder a ese tipo de cifrado, con el http me van genial las técnicas, pero nada con https. Pues eso, un saludo y gracias por la atención.
Título: Re:Man in The Middle + SSL
Publicado por: animanegra en Enero 20, 2017, 08:12:51 am
SSLSTRIP precisamente hace que nada vaya cifrado con lo que no hay problema de certificados. A no ser que la pagina tenga HSTS que entonces si no es la primera vez el navegador se chiva.
Título: Re:Man in The Middle + SSL
Publicado por: Wormhole en Enero 20, 2017, 10:27:50 am
SSLSTRIP precisamente hace que nada vaya cifrado con lo que no hay problema de certificados. A no ser que la pagina tenga HSTS que entonces si no es la primera vez el navegador se chiva.


Hola.

Muchas gracias por responder.

Sí, he estado haciendo pruebas, y de una salta que no puede cifrar  o que no garantiza la seguridad de las credenciales, queda en rojo el "https" y no deja ingresar, ya no es como hace un tiempo que podías "continuar de todos modos", así que quería saber si hay en este ataque alguna variante nueva o algún método para evitar esto, por lo menos a mí el sslstrip no me da más de eso.
Título: Re:Man in The Middle + SSL
Publicado por: animanegra en Enero 20, 2017, 12:20:43 pm
Pues creo que o bien haces un par de claves y que el usuario las acepte aunque esten autofirmadas, o bien sslstript porque el usuario aun no ha accedido y no tiene el hsts o bien te dedicas a hacer claves hasta que das con la que se corresponde con la clave publica del site originall :) No se si hay mucha mas salida.
Título: Re:Man in The Middle + SSL
Publicado por: Eterno_Aprendiz en Enero 20, 2017, 04:18:21 pm
Aprovechando el post, espero que mi pregunta no sea inoportuna, jajaja.
¿Los ataques MITM requieren saber algo de criptografía? Digo, los datos viajan cifrados, imagino que lo esencial es saber decifrarlos o tener herramientas para ello, ¿O me equivoco?
Título: Re:Man in The Middle + SSL
Publicado por: animanegra en Enero 20, 2017, 07:01:33 pm
En realidad MITM no tiene nada que ver con cifrado, es simplemente ponerte en medio de la conversacion. Puede que este cifrada o no, pero dependiendo lo que desees hacer puede que con el MITM no te baste para el objetivo que deseas realizar.
Como muchas veces las comunicaciones van cifradas y a ti te interesa saber que hay en esa comunicacion tienes que pelear un poco con el cifrado, pero precisamente, los "trucos" que se suelen utilizar pasan por intentar engañar al otro para no tener que lidiar con tener que romper el cifrado. Por regla general contra el cifrado en si no te enfrentas, lo ladeas para evitarlo de una forma u otra.
Por ejemplo el sslstrip lo que hace es que cuando tu estas en medio de la comunicacion cambias todo lo que veas que tenga https por http y la conexion segura la realizas tu contra el servidor real. Tu haces de proxy por lo que ves pasar todo, la comunicacion va cifrada solo desde ti al servidor y le das al cliente todo en limpio sin cifrar via http. Por este motivo no hay ningun problema de cifrado ni advertencia por parte del navegador ya que no hay fallo del certificado porque la conexion va sin cifrar.
Otras fórmulas pasan por crearte tu propio certificado y hacer lo mismo que con el sslstrip pero con un certificado tuyo con lo que la comunicacion va cifrada con una clave del cliente hasta ti y con otra del server a ti. Con lo cual tu te dedicas a desencriptar con una clave para cifrar con la otra. De esta manera el cliente ve el candadito y se siente seguro. Pero como normalmente las claves que generamos los hombres de a pie son autofirmadas pues el navegador saca una advertencia.
Espero haber clarificado algo el asunto.
Título: Re:Man in The Middle + SSL
Publicado por: Wormhole en Enero 20, 2017, 09:15:53 pm
En realidad MITM no tiene nada que ver con cifrado, es simplemente ponerte en medio de la conversacion. Puede que este cifrada o no, pero dependiendo lo que desees hacer puede que con el MITM no te baste para el objetivo que deseas realizar.
Como muchas veces las comunicaciones van cifradas y a ti te interesa saber que hay en esa comunicacion tienes que pelear un poco con el cifrado, pero precisamente, los "trucos" que se suelen utilizar pasan por intentar engañar al otro para no tener que lidiar con tener que romper el cifrado. Por regla general contra el cifrado en si no te enfrentas, lo ladeas para evitarlo de una forma u otra.
Por ejemplo el sslstrip lo que hace es que cuando tu estas en medio de la comunicacion cambias todo lo que veas que tenga https por http y la conexion segura la realizas tu contra el servidor real. Tu haces de proxy por lo que ves pasar todo, la comunicacion va cifrada solo desde ti al servidor y le das al cliente todo en limpio sin cifrar via http. Por este motivo no hay ningun problema de cifrado ni advertencia por parte del navegador ya que no hay fallo del certificado porque la conexion va sin cifrar.
Otras fórmulas pasan por crearte tu propio certificado y hacer lo mismo que con el sslstrip pero con un certificado tuyo con lo que la comunicacion va cifrada con una clave del cliente hasta ti y con otra del server a ti. Con lo cual tu te dedicas a desencriptar con una clave para cifrar con la otra. De esta manera el cliente ve el candadito y se siente seguro. Pero como normalmente las claves que generamos los hombres de a pie son autofirmadas pues el navegador saca una advertencia.
Espero haber clarificado algo el asunto.




Pues qué digo... Gracias.


Sí,  algo había leído sobre las claves de cifrado en algún foro en inglés, por lo visto de momento es la única opción, ya que si o si el navegador bloquea el acceso a la página por más que lo intento.
Título: Re:Man in The Middle + SSL
Publicado por: chapuawe en Enero 21, 2017, 05:58:07 am
Si no te funciona el sslstrip prueba sslstrip+ o sslstrip2 (como quieras llamarle) , lo que hace esta "nueva version" es que cuando la victima visite su pagina favorita (ejem: facebook) cree otro dominio sin el https y lo redirecciona a este dominio , el dominio contiene la misma ip que el original pero no lleva el ssl , lo cual seria un bypass al hsts ,  es eso lo que buscaban ?

sslstrip+ :
https://github.com/byt3bl33d3r/sslstrip2 (https://github.com/byt3bl33d3r/sslstrip2)
Título: Re:Man in The Middle + SSL
Publicado por: animanegra en Enero 21, 2017, 07:39:48 am
Lo de quitar el https es lo que hace el sslstrip, esa es la tecnica original. ¿¿Lo que añade es devolverte un redirect para que el usuario carge otra pagina y asi no se preocupe el HSTS?? entonces la url cambiaria.
No se, no lo termino de enteder. ¿Como hace para que el navegador no verifique una url ya pregrabada para ser estrictamente bajo hsts?
Título: Re:Man in The Middle + SSL
Publicado por: Wormhole en Enero 21, 2017, 08:44:16 am
De hecho encontré un link hoy en el blog de chema Alonso, en el cual explicaban eso del sslstrip+, pero resulta que los navegadores actuales tienen precargados certificados de ciertas páginas tipo facebook, no sé si lo consideren spam copiar el enlace, para lograr dar con el MITM con el sslstrip+ tuvo que combinar con algo llamado delorean, me pareció bastante complicado.
Título: Re:Man in The Middle + SSL
Publicado por: animanegra en Enero 21, 2017, 10:08:59 am
Ok visto. Lo que haces es atacar la maquina si tiene el ntp activado (y puedes hacerlo) para devolverle que la fecha de su reloj es una fecha en la que ya haya caducado el HSTS que ha precargado. De modo que realizará una peticion para obtenerlo de nuevo y nosotros estaremos en medio. Me encanta el nombre del ataque, ataque delorean ^^ muy explicativo.

Para ello tienes que conseguir cambiar la hora de la maquina a atacar. Asi que te metes en otro berenjenal, pero parece un ataque muy astuto. No se que tal se llevara el usuario con el cambio de hora,me refiero a que a partir de ahi, todas las paginas que utilicen cualquier certificado y las alarmas del ordenador avisaran de caducidad de certificados.

Yo partiendo de eso, otra opcion es cambiar la hora del reloj, y el atacado ve que todos los cerificados son falsos y que no le deja entrar a ninguna lado y hacer que admita algun certificado falso hecho por nosotros. Aunque es muy ingenieria social, creo que la gente por defecto se frustra bastante ante error en todos los certificados y te va terminar admitiendo cualquier cosa.

Muchas gracias por el aporte, mola mucho.
Título: Re:Man in The Middle + SSL
Publicado por: Wormhole en Enero 22, 2017, 05:23:43 am
Ok visto. Lo que haces es atacar la maquina si tiene el ntp activado (y puedes hacerlo) para devolverle que la fecha de su reloj es una fecha en la que ya haya caducado el HSTS que ha precargado. De modo que realizará una peticion para obtenerlo de nuevo y nosotros estaremos en medio. Me encanta el nombre del ataque, ataque delorean ^^ muy explicativo.

Para ello tienes que conseguir cambiar la hora de la maquina a atacar. Asi que te metes en otro berenjenal, pero parece un ataque muy astuto. No se que tal se llevara el usuario con el cambio de hora,me refiero a que a partir de ahi, todas las paginas que utilicen cualquier certificado y las alarmas del ordenador avisaran de caducidad de certificados.

Yo partiendo de eso, otra opcion es cambiar la hora del reloj, y el atacado ve que todos los cerificados son falsos y que no le deja entrar a ninguna lado y hacer que admita algun certificado falso hecho por nosotros. Aunque es muy ingenieria social, creo que la gente por defecto se frustra bastante ante error en todos los certificados y te va terminar admitiendo cualquier cosa.

Muchas gracias por el aporte, mola mucho.





Interesante, ingenioso y complejo diría, habría que ver qué tal. Por otro lado decirte que aunque lo del sslstrip no funcione, logra que el google vaya sin cifrado, cosa que me parece bastante curiosa.