Documente Academic
Documente Profesional
Documente Cultură
2° .Pour le bon déroulement de ce tuto, il est aussi interdit de fumer, de filmer dans la
salle, ou de faire un appel à un ami.
BONNE SÉANCE
crack-wpa.fr 2010 1
TABLE DES MATIERES
1. INTRODUCTION.
……… I. Préface
……… II. Prérequis
……… III. Intro SSLStrip
……………… .a Https et SLL: quelques explications
……………… .b SSLStrip: la naissance de l’outils
……………… .c Comment on arrive sur du Https
……… IV. Intro Arp Poisoning - Dns Spoof - httpd
2. SSLSTRIP…LE CONTACT.
……… I. SLStrip à quoi ça ressemble ?
……… II. Avant on se prépare !
……… III. Configuration
……… IV. SSLStrip en Pratique
………………… 1er Test sans SSLStrip
………………… 2eme Test avec SSLStrip
……… V. Les Logs
1. INTRODUCTION
I. Préface
. Dans un souci de pédagogie purement ludique, je force volontairement sur le coté animation et je précise
encore une fois que ces tutos doivent être ouvert au plus grand nombre. Bienvenue aux N00b’z.
. Il n’a rien d’exceptionnel en soi c’est juste une compilation de donnés déjà existantes, dixit le tuto SSLStrip
de M1ck3y sur BT3. A quelques broutilles près, sur BT4 Final c’est la même chose.
. Certes pour les puristes et les habitués, pas besoin de toute cette mise en scène et de tout ce verbiage, vous
pouvez donc accéder directement à la section 4. dans la Table des Matières. Pour les N00b’z, la visite
continue... Onjoy !
II. Prérequis
. Tutoriel réalisé sous BackTrack 4 final.
. Une Maj de SSLStrip (facultatif, mais c’est toujours mieux d’avoir la dernière version)
. Les tests ont été effectués avec un adaptateur wifi usb Alfa AWUS036H 1000 mW.
crack-wpa.fr 2010 2
III. Intro SSLStrip
. A travers ce tutoriel, nous allons voir comment il est possible de s'attaquer à une connexion encryptée (SSL)
grâce à SSLStrip qui va rediriger tout le trafic https vers du http en donnant l'illusion à la victime qu'elle
est bien sur une connexion sécurisée.
. HTTPS pour (hyper text transfert protocol secured). Il est synonyme de connexion sécurisée et permet
d'encrypter des données sensibles afin d'éviter une éventuelle interception des données, exemple les sites web
bancaires. Grace à un système de certificats, le navigateur va pouvoir s'assurer que le site web auquel il est
connecté est bien celui qu'il prétend être.
Un tiers de confiance est utilisé pour cela, on l'appelle le CA (certificate authority). Pour résumer, c'est en
comparant le certificat du site sur lequel il est connecté et le certificat du CA (le tiers de confiance) que le
navigateur va s'assurer qu'il est bien connecté à un site sécurisé.
Le http classique utilise le port 80.
Le https utilise par défaut le port 443
Une fois connecté en https, les informations qui vont transiter entre le navigateur et le serveur web seront
encryptées via SSL (secured socket layer), un protocole de cryptage très sur permettant de sécuriser les données.
. SSLStrip est un outil développé par Moxie Marlinspike, il est né d'un constat simple:
La majorité des utilisateurs ne regardent pas l'url affichée dans la barre d'adresse de leur navigateur, et quand il
leur apparait un message d'erreur la plupart du temps ils clickent sur ok sans savoir ce qu'ils font.
. Les utilisateurs se fient à une impression, un sentiment, un ressenti basé sur ce qu'ils voient:
- des indicateurs qui disent que la page est sécurisée
- des icones avec un cadenas qui apparaissent ici ou là
- la barre d'adresse qui change de couleur
Lorsque ces éléments sont réunis, l'utilisateur pense que la page est sécurisée (et franchement quel lambda
analyserait chaque page qu’il visite ?).
crack-wpa.fr 2010 3
Donc quand on veut s'attaquer à du https, on fait en sorte de maintenir la confiance de l’utilisateur, et surtout de
ne pas éveiller sa suspicion en affichant un message d'alerte disant que le certificat n'a pas été émis par une
autorité approuvée ou autres messages qui pourraient paraitre anormale.
En résumé, pour duper l'utilisateur il ne faut pas lui afficher de messages d'alerte, et le maintenir dans un
environnement visuel qui va lui laisser penser qu'il est sur un site sécurisé.
. Très peu de personnes tapent directement https dans leur barre d'adresse, en fait les 2 façons classiques pour
arriver sur du https lors d’une navigation sur le web, sont :
- en clickant sur un lien
- en suivant une redirection (302)
. En effet, la plupart des sites proposant un contenu sécurisé en https, nous font dans un premier temps passer
par une page http (exemple: la page accueil) avant d'être redirigé vers une page sécurisée. C'est le cas sur les
sites bancaires, sur google mail, paypal etc...
. SSLStrip ne va pas attaquer le https, il va attaquer le http. Il va transformer tous les liens https sur le poste
victime en liens http, et garder en mémoire tout ce qui a changé en créant une map (carte).
Résultat:
- le serveur ne voit rien, pour lui la connexion est toujours encryptée
- le client ne voit aucun message d'alerte dans son navigateur
- l'attaquant peut sniffer toutes les données car elles transitent en clair
. Grace à ce procédé, il est très difficile de différencier la véritable page https cryptée via SSL de la fausse
page http renvoyée par SSLStrip.
. Cela dit, comme on l'a évoqué, les utilisateurs sont habitués à voir une image de cadenas lorsqu'ils basculent
sur une page sécurisée, cette icone représente à leurs yeux un gage de sécurité.
SSLStrip va donc falsifier les réponses aux requêtes favicon du navigateur et afficher en guise de favicon un
petit cadenas (une favicon est la petite image située à gauche de la barre d'adresse du navigateur) :
crack-wpa.fr 2010 4
Le Petit Bonus !
IV. Intro ARP Poisoning + DNS Spoof + HTTPD
Est-ce une obligation après SSLStrip ?
Obligation… Bien sûr que non, tous deux ont une mission bien distincte et bien différente, l’un comme
l’autre peuvent être utilisés séparément, mais on verra qu’ils ont en commun la méthode MITM.
…Dans ce cas pourquoi son utilité ?
Utilité… Juste pour le coté ludique du challenge (cad : mettre une page de pwn).
Pour voir les similitudes MITM sur une autre technique qu’ SSLStrip.
Pour la culture générale. (…Et aussi, parce que j’en ai envie, et que j’fais s’que j’veux !)
Vu que c’est un petit Bonus, on ne va pas faire de tuto détaillé sur ce sujet, mais dans le cadre de notre "attaque"
on va juste en expliquer vite fait le principe et s’axé plus précisément sur la mise en place du dispositif.
Voici un schéma classique de connexion, un pc connecté en wifi sur un routeur pour surfer sur le web
La Mission :
Notre but est de se glisser subrepticement dans le réseau afin de récupérer le trafic et de rediriger
la victime sur une page "pwnd" ou "piégée" via notre server httpd.
crack-wpa.fr 2010 6
2. SSLSTRIP…PREMIER CONTACT
I. SSLStrip à quoi ça ressemble ?
Etant donné qu’il est déjà installé sur BT4 on va pouvoir faire connaissance avec SslStrip :
A. Soit en passant par - Menu K Backtrack Privilege Escalation All SSLStrip
Une fenêtre Terminal SSLSTRIP s'ouvre en vous affichant directement toutes les commandes
B. Soit en ouvrant une Konsole de la barre des taches en bas à gauche, et on tape : root@bt :~# sslstrip -h
crack-wpa.fr 2010 7
II. SSLStrip Préparation du Terrain
Maintenant qu'on a fait les présentations, on peut préparer le terrain. Et oui ! On n’arrive pas comme ça les
mains dans les poches. Avant toute chose on se pose les bonnes questions.
Mon alfa se trouve en (wlan0), et on a l'ip (192.168.168.1.98) c'est pas important mais bon à savoir.
un scan avec nmap sur le réseau, histoire de trouver une cible : root@bt :~# nmap 192.168.1.0/24
Je vous mets directement le résultat : 192.168.1.99
On est presque paré il reste deux, trois bricoles à config et c’est parti.
crack-wpa.fr 2010 8
III. SSLStrip et Configurations
A. Un peu de configuration
pour faire de l'ARP Poisoning SSL, on va éditer le fichier "etter.conf" d'ettercap
! Attention ! Pour les étourdis et pour ceux qui ne le savent pas, si vous ouvrez un terminal SSLStrip via
Menu K Backtrack Privilege Escalation All SSLStrip, dans ce cas là ne lancez pas de commande
"kate" ou "kwrite" dans le même Terminal qu’ SSLStrip, sauf si vous éditez avec "nano", car vous aurez
l'erreur suivante :
crack-wpa.fr 2010 9
Le fichier "etter.conf" ouvert, allez dans la section "Linux -> if you use iptables"
Enregistrez et sortez.
crack-wpa.fr 2010 10
B. On active l’Ip Forwarding et on lance le MITM.
L'Ip forwarding permet de faire transiter des paquets d'une interface réseau à une autre.
et on lance l'Arp Poisoning qui nous placera en situation de man in the middle sur le réseau :
root@bt :~# arpspoof -i wlan0 -t 192.168.1.99 192.168.1.254
Arpsoof en action
crack-wpa.fr 2010 11
IV. SSLStrip en pratique: test avec & sans SSLStrip
crack-wpa.fr 2010 12
1er test / sans SSLstrip
On lance à la suite d’iptables la commande ettercap: root@bt :~# ettercap -T -q -i wlan0
-T = lance ettercap en mode texte / -q = mode silence, pour pas se taper les requêtes dans le Terminal
/ -i = pour signifier une interface + (mon interface = wlan0)
Et on vérifie ce qui se passe dans l'explorateur de notre cible, en retournant sur la page de login mail Yahoo.com
Alllaaarrrmmmeeee !!!
La plupart des outils permettant d'effectuer une attaque man in the middle sur du SSL (https) fournissent au
navigateur de la machine victime un faux certificat SSL n'ayant pas été émis pour le site visité. Le résultat est
un message d'alerte dont voici deux exemples:
Avec Firefox :
crack-wpa.fr 2010 13
Avec IE :
On arrêter proprement l'attaque, il faut appuyer sur la touche " q " (…pas besoin de filtre parental, ce n’est
qu’une touche sur un clavier)
crack-wpa.fr 2010 14
(Inutile d’ouvrir un autre Terminal). Cette fois ci on lance la commande sslstrip: root@bt :~# sslstrip -a -k -f
Vous remarquerez qu’en lançant cette commande un fichier sslstrip.log a été créé sur le bureau.
crack-wpa.fr 2010 15
Et tous le monde fait Wouaaa !!!
Retournons voir notre cible… Et là ! C’est le bonheur et la stupéfaction car devant vos yeux ébahis et
émerveillés vous contemplez enfin toute la magie d’ SSLStrip.
Login : dr.dernfer@yahoo.fr
Pass : ************
crack-wpa.fr 2010 16
Bien venu sur l’interface web mail du Dr.Denfer
Test avec IE :
crack-wpa.fr 2010 17
Résultat : on le connait, mais ce qui est intéressant c’est de voir le Terminal ou le fichier sslstrip.log
A. Ici l’ip 217.12.8.76 est c’elle de la page de login de Yahoo mail via Firefox (voir screen plus
haut) sur lequel on a essayé de logger avec :
l’adresse dr.denfer@yahoo.fr
et le pass Austin.Power
B. Ici c’est la même ip donc même page mais via IE, avec un pass erroné pour l’exemple :
l’adresse dr.denfer@yahoo.fr
et le pass minimoi
Testé avec Firefox et IE sur un compte Yahoo… Et pourquoi pas sur un compte Paypal ? (Voir même lors de la
création du compte, les infos qui transpirent pourrait bien nous surprendre)
crack-wpa.fr 2010 18
…Fini je Payplus !
crack-wpa.fr 2010 19
…Toujours aucun message d'alerte, bien au contraire. La victime va se connecter à son Paypal. Il arrive sur la
page d'accueil, en http:
. L'utilisateur clique sur le bouton "Connectez-vous", c'est là qu'il devrait normalement être redirigé vers du
https. Ici, on peut voir que la favicon représentant le cadenas est déjà affichée dans la barre d'adresse, et on
pourrait donc se croire sur un site sécurisé. Voici la page de login:
crack-wpa.fr 2010 20
. La différence se situe au niveau de la barre d'adresse de l’explorateur. La vraie page sécurisée affiche
une adresse en https et la partie gauche de la barre devient verte (pour Paypal), en affichant le nom du
propriétaire du certificat SSL.
. Par contre sur la page "stripped" ou "leurre", l'adresse est en http classique, et on peut voir un cadenas sur
la gauche (ce n'est bien sur en réalité qu'une favicon, mais combien de personnes savent ce qu'est une favicon,
et surtout combien de personnes sont suffisamment attentives pour remarquer ce genre de petit détail, en plus,
jusqu'ici aucun message d'alerte n'a été affiché !). Notre cible continue à surfer, il valide son identifiant ainsi que
son mot de passe et se retrouve donc en toute logique connecté à son compte Paypal.
. Dans un autre exemple il se peut aussi que vous arriviez sur une page de login http (ex 1 : hotmail), et de voir
le https agir après que les identifiants soient validés : 2, (on voit un affichage du https d’une fraction de seconde
avant la redirection sur le compte : 3).
crack-wpa.fr 2010 21
V. Les Logs
…Ok on à les login/pass de comptes sur des sites qui sont censé être sécurisés… Et c’est tout ?
Oullllaaa une septique ! Je vois que tu es une coquine toi et que tu en veux encore plus.
Dans un moment de grande mansuétude on va rajouter un tout p’tit bonus, mais juste parce que c’est toi.
Ce coup ci ça ne concerne plus le Terminal, mais les logs.
Pendant le MITM un mail à été reçu "…et alors moi aussi je reçois des mail, c’est quoi le rapport ?", (Pour
aller plus vite j’ai ciblé ma recherche, sinon lors d’une recherche à l’aveugle on ce tape une bonne partie du log
à lire).
crack-wpa.fr 2010 22
En ouvrant le fichier de sslstrip.log, on peut trouver ceci :
crack-wpa.fr 2010 23
C’est-y pas mignon tout ça… J’en ai la larme à l’œil.
crack-wpa.fr 2010 24
Jusque là pas de quoi sauter au plafond on avait déjà ces infos dans le Terminal, mais si en plus on avait
des infos perso sans se connecter sur le compte Paypal ;)
first_name=Dr&last_name=Denfer Dr Denfer
city=DenferIsland la ville
Conclusion : On retrouve le login de l'utilisateur, le mot de passe (%40 est l'encodage ascii de @), le nom,
prénom, adresse complète, numéro de téléphone
. Dans une transparence quasi parfaite... Ce tutoriel illustre une fois de plus le danger des attaques man in the
middle, j'espère qu'il attirera votre attention sur le fait qu'il est extrêmement dangereux de se connecter à un
réseau "unsecured", qu'il s'agisse d'un hotspot ou autre. Si vous n'êtes pas sure à 100% du réseau sur lequel vous
êtes connecté, alors ne vous connectez pas à des sites sensibles, n'envoyez aucune donnée importante et surtout
soyez toujours vigilant lorsque vous vous connectez à un site sécurisé, la barre d'adresse doit clairement
indiquer https et non http.
I. Ici nous allons voir la mise en place du dispositif, mais si vous le faites dans la continuité d’SSLStrip
sachez adapter vos étapes (ex : Si cela avait déjà été fait depuis le début, ça ne sert à rien de refaire
un ifconfig, nmap, etc…).
crack-wpa.fr 2010 25
II. C’est parti mon kaïkaï !
A. On identifie la carte qui est connectée au net, ex : wlan0 : root@bt :~# ifconfig
B. On scan le réseau avec Nmap dans une Konsole, dans notre cas: root@bt :~# nmap 192.168.1.1/24
Résultat l’ip cible est 192.168.1.99
Toujours pareil
crack-wpa.fr 2010 26
D. On lance l'ip forward dans le Terminal: root@bt :~# echo 1 > /proc/sys/net/ipv4/ip_forward
crack-wpa.fr 2010 27
G. On crée sur le bureau un fichier "ex : redirection.host" et on y met les infos de redirection, ex:
192.168.1.98 google.fr
192.168.1.98 google. com
192.168.1.98 www.youtube.com
Ou ex : (192.168.1.98 *.*) veut dire quel que soit le site ou ira la victime (bien entendu on parle de la racine de
l’url), elle sera redirigé vers notre ip, donc quand une victime ira sur www.youtube.com, google.fr, etc… Elle
sera automatiquement redirigée vers notre ip 192.168.1.98
I. pour la section serveur on place la page qui sera vu après la redirection, qu'on appellera
"index.html", une simple page "pwnd" à mettre dans le dossier "var/www"
crack-wpa.fr 2010 28
J. On lance le server HTTPD dans - Menu K Services HTTPD Start HTTPD
…Et on attend sagement que la cible visite une url de notre fichier redirection.host
Server HTTP2-D2 !
crack-wpa.fr 2010 29
…Et si maintenant on allait faire un tour du coté de l’explorateur de notre cible ?
Google.fr
Google.com
www.youtube.com
crack-wpa.fr 2010 30
www.crack-wpa.fr
Là par contre si on vérifie le fichier "redirection.host" crack-wpa.fr n’en fait pas parti et donc on peut y
accéder (…Il manquerait plus que ça !)
I. SSLStrip - Commandes
crack-wpa.fr 2010 31
G. Définir iptables :
root@bt :~# iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 10000
192.168.1.98 google.fr
192.168.1.98 google. Com
192.168.1.98 www.youtube.com
192.168.1.98 www.crack-wpa.fr
H. Pour la section serveur : On place la page qui sera vu après la redirection, qu'on appellera
"index.html", une simple page "pwnd" à mettre dans "var/www".
J. …That’s all !
crack-wpa.fr 2010 32
crack-wpa.fr 2010 33