sslstrip _ cómo descifrar todo el tráfico https

19/4/2014 SSLstrip : Cmo descifrar todo el trfico HTTPS

http://www.redeszone.net/seguridad-informatica/sslstrip/ 1/8

SSLstrip : Cmo descifrar todo el trfico HTTPSSSLSTrip es una aplicacin para sistemas operativos Linux capaz de

descifrar todo el trfico HTTPS que viaja a travs de la red y sniffar el

trfico (usuarios y claves) que viaja a travs de la red en HTTPS

(cifrado). En este tutorial os vamos a ensear un poco ms a fondo

cmo funciona.

Para lograr nuestro objetivo, haremos un ataque Man In The Middle, que

consiste en ponernos a escuchar las comunicaciones entre el servidor

y el propio cliente.

SSLStrip descifra el protocolo SSL?, la respuesta es no. Lo que hace

realmente SSLStrip es engaar al servidor y convertir todo el HTTPS

de una web en HTTP (sin cifrar) . El script solo puede engaar cuando

la vctima llega a la web en cuestin mediante una redireccin o un

LINK.

En la pgina web oficial podis encontrar el enlace de descarga y un breve manual para empezar a utilizar SSLSTRIP.

Antes de empezar, debemos aclarar que el manual es bsicamente un ataque simulado, no se va a explicar todo en

detalle, simplemente os mostraremos como funciona SSLStrip haciendo una demostracin en un tipo de ataque

simulado.

Adaptadores WiFi

Bancos de Prueba

Cmaras IP

Mdems 3G

NAS

PLC

Puntos de Acceso

(AP)

Reproductores

Multimedia

Routers

SAI

Switches

Telfonos IP

Anlisis de producto

Portada Android Banda Ancha Pepephone ADSL Bittorrent Redes Seguridad Informtica Software

BuscarRouters Redes Inalmbricas WiFi AC Puntos de Acceso PLC Java PHP Firmwares Manuales Test de Velocidad

4013Me gusta Seguir a @redeszone 5,564 seguidores Nos sigues? 1.501

Las cookies permiten ofrecer los servicios deRedesZone. Al utilizar nuestros servicios,aceptas el uso que hacemos de las cookies.

Cerrar



Para este ataque simulado vamos a usar 2 mquinas conectadas a una misma red (1 mquina fsica y una mquina

virtual), los roles desempeados por cada mquina van a ser los siguientes:

Mquina fsica : Kubuntu 11.04 Vctima.

Mquina virtual: Backtack 5 Atacante.

Herramientas necesarias para el atacante:

SSLStrip

Sniffer(Wireshark,Ettercap..)

Arpspoof

Iptab les

Nmap (opcional, no es necesario si sabemos la IP de la vctima, o si usamos otra tcnica para detectarla)

Empezamos el ataque:

Lo primero que debe conocer el atacante es la IP privada de la vctima (nosotros para este ataque simulado hemos

optado por usar Nmap para descubrir la IP) en nuestro caso es bastante fcil ya que solo hay 3 Host activos (el propio

atacante, la vctima y el router).

Para realizar este proceso de deteccin lo que haremos ser escanear toda la red local en busca de Host activos

(seguramente se os ocurrirn ms maneras, no obstante por nuestra parte pensamos que sta es la ms utilizada).

Primero averiguamos nuestra IP privada en la red con ifconfig. Tpicamente los routers empiezan a agregar IPs,

manteniendo los tres primeros grupos de cifras por ejemplo:192.168.0.* donde * es el nmero que vara y el resto se

mantiene igual.

Por supuesto, el router puede estar configurado de otra forma, y puede que tengamos que sacar la IP como podamos,

por ejemplo, por medios de ingeniera social si tenemos contacto con la persona que maneja el PC vctima.

Alfa Network

ASUS

Cisco Linksys

Comtrend

D-Link

Devolo

FRITZ!

Huawei

HP

Kaiboer

Oceans

Orange Livebox

Salicru

Sitecom

Synology

TP-LINK

TRENDnet

Zaapa

Western Digital

ZyXEL

Android

Bugtraq

Curso de Redes

Curso HTML y CSS

Curso Java

Curso PHP

Fabrica tu FreeNAS

GNU-Linux

IPFire

IPsec

Mac Os X

Raspberry PI

Redes

Seguridad Informtica

Software

WhatsApp

Windows

Firmware Tomato RAF

Firmware DD-WRT

Firmwares Comtrend

Firmwares Zyxel

Fabricantes

Tutoriales de ayuda

Firmwares



Como podis ver, est activa la IP del atacante. Si hubiese ms Host activos el atacante tendra que ir tirando de

tcnicas de fingerprinting e ir contrastando los resultados de estas con las cosas que ya sabe de la vctima por

ejemplo, si el atacante supiese que la vctima utiliza Windows 7, podra hacer un OS Fingerprint(flag -O en Nmap) para

saber el OS que utilizan los Host que estn activos, descartando as todos los que no utilicen Windows 7 ya que no

seran la vctima.

Llegados a este punto el atacante deber configurar el enrutamiento de su PC (tambin podra haberlo hecho antes).

Si no se activase el enrutamiento el ataque podra ser un desastre, ya que la vctima tcnicamente se quedara sin

internet, porque sus peticiones jamas llegaran a su destino, se quedaran en el PC del atacante y por tanto no habra

respuestas.

A continuacin, el atacante deber configurar una IPTABLE para redirigir todo el trafico del puerto 80 a otro puerto. El

atacante podra omitir este paso y poner directamente a escuchar el SSLStrip directamente al puerto 80 pero esto

Suscrbete a nuestro RSS

Sguenos!

A 4013 personas les gusta esto. S el

primero de tus amigos.Me gusta

Seguir a @redeszone 5,564 seguidores

RedesZone

+ 1.501

Seguir +1

Lo que comparten tus amigos



obligara a la vctima a aceptar un certificado falso, cosa que ya era capaz de hacer otras herramientas.

iptab les -t nat -A PREROUTING -p tcp destination-port 80 -j REDIRECT to-port

Siguiendo con el ataque, una vez que el atacante tiene la IP de la vctima, este deber proceder a realizar un ataque

MITM. Para esto usar ARPSpoof:

Ahora es el momento en el que empieza la parte complicada del ataque, hasta ahora hemos hecho lo siguiente:

Por ahora el atacante ha obtenido la IP de la vctima y tiene todo su trafico redireccionado hacia s mismo (ataque

MITM), y ahora mismo se dispone a conseguir en texto planto todo lo que pase cifrado en SSL.

El proceso es simple deberemos lanzar SSLStrip y ponerlo a escuchar en el puerto al que hemos redireccionado el

trafico.

Ya esta todo listo ahora solo necesitamos que pase algo como esto:

Pantalla de la vctima entrando en por ejemplo a www.paypal.com ; con las siguientes credenciales: Correo =

Correodeprueba ; Contrasea: Contraseadeprueba

Pantalla del atacante monitorizando el trafico y obteniendo la contrasea mediante Wireshark

Listado de extensiones ms tiles

para VLC

Una persona recomienda esto.

Vulnerabilidad detectada en Adobe

PDF Reader para Android

6 personas han recomendado esto.

Aumentan los mensajes de texto

fraudulentos desde el 25568

4 personas han recomendado esto.

P lug-in soc ial de Facebook



Aqu finaliza nuestro ataque simulado, esperamos que os haya gustado.

Cmo detectar el ataque MITM y SSLStrip:

-Fijndonos en la nica diferencia que se presenta al visitar una web que use SSL cuando estamos bajo este ataque,

que la direccin en vez de ser https es http.

Como protegerse de estos ataques:

-Escribiendo siempre en la barra de direcciones del navegador https:// cuando entremos a web que sabemos que

usan SSL(o lo sospechamos).

Antes de despedirnos, os dejamos tambin con una de las conferencias (en ingls) que dio el autor del script Moxie:



Y el repositorio del autor donde tiene el cdigo del script y todo el changelog desde que fue liberado: SSLStrip

Manual realizado por Jalths para RedesZone.net.

Manual en exclusiva para RedesZone.net.

Prohib ida su reproduccin total o parcial sin el consentimiento del autor.

Comprtelo. Gracias!



Acerca de Nosotros

Contacto

Publicidad

Aviso Legal

Comunicacin

Facebook

Twitter

Google+

Grupo ADSLZone

ADSLZone

ADSLZone TV

AndroidAyuda

Twittear

0 1 1

2 Comentarios RedesZone Acceder

Ordenar por los mejores Compartir

nete a la discusin...

Responder

Yoo hace 2 aos

Pon tu NIC en modo promiscuo.

Si no puedes, usa ARP spoof

Responder

Adrian Gonzalez hace 2 aos

Pregunta fcil,

En redes Wifi tambin es necesario arpspoof? Me da la sensacin de que los paquetes me

llegan de igual forma :S

Suscrbete Aade Disqus a tu sitio web

Favorito

Compartir

Compartir

40

Me gusta



Google Currents

RSS

GamerZona

HardZone

RedesZone

SoftZone

SmartZona

TabletZona

Test de Velocidad

RedesZone 2010 - 2014

sslstrip _ cómo descifrar todo el tráfico https

Documents