PDA

Просмотр полной версии : Помогите начинающему


che715
24.02.2016, 14:40
Доброго времени суток, форумчане!) Заранее прошу простить модераторов, если не в той теме выложил.

Решил потестить фейки с подменой днс в роутере у себя, и столкнулся с следующей проблемой :

поднимаю днс сервак, прописываю в нем соответствие домен == мой ip, где фейк залит. И столкнулся с такой штукой, как HSTS. Т.е. при попытке перейти на сайт(с машины где прописан мой DNS), который использует HSTS( если был до этого заход на оригинальный сайт) - выдается ошибка и переход рубится на уровне браузера. Если сайт не использует HSTS - то вес нормально. Есть ли какие-то пути обходы данного момента? Премного буду благодарен за разъяснения))

BabaDook
24.02.2016, 15:00
↑ (https://antichat.live/posts/3956296/)
Доброго времени суток, форумчане!) Заранее прошу простить модераторов, если не в той теме выложил.
Решил потестить фейки с подменой днс в роутере у себя, и столкнулся с следующей проблемой :
поднимаю днс сервак, прописываю в нем соответствие домен == мой ip, где фейк залит. И столкнулся с такой штукой, как HSTS. Т.е. при попытке перейти на сайт(с машины где прописан мой DNS), который использует HSTS( если был до этого заход на оригинальный сайт) - выдается ошибка и переход рубится на уровне браузера. Если сайт не использует HSTS - то вес нормально. Есть ли какие-то пути обходы данного момента? Премного буду благодарен за разъяснения))


В некторых браузерах, некторые соответствия жёстко прописаны , и они такому виду аттаки не потдаются. однако может быть другая ситуация. что пользователь специально указывает https . Неторые сайты редиректят на https. Вариантов тьма

che715
24.02.2016, 16:03
HSTS (сокр. от англ. (https://ru.wikipedia.org/wiki/%D0%90%D0%BD%D0%B3%D0%BB%D0%B8%D0%B9%D1%81%D0%BA%D 0%B8%D0%B9_%D1%8F%D0%B7%D1%8B%D0%BA)HTTP Strict Transport Security) — механизм, активирующий форсированное защищённое соединение через протокол HTTPS (https://ru.wikipedia.org/wiki/HTTPS). Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP-протокола. Механизм использует особый заголовок (https://ru.wikipedia.org/wiki/%D0%A1%D0%BF%D0%B8%D1%81%D0%BE%D0%BA_%D0%B7%D0%B0% D0%B3%D0%BE%D0%BB%D0%BE%D0%B2%D0%BA%D0%BE%D0%B2_HT TP)Strict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP (http:// (https://antichat.live/)), т.е тут-то все понятно, гуглить умею))

т.е. проведение атаки, через прописывание в ДНС соответствия домен == ip фейка - невозможно? просто проверял, если почистить систему, и попробовать зайти - все работает, но стоит лишь зайти на оригинал - все перестает работать. Так же знаю, что есть время жизни, после которого нужно вновь зайти на оригинал - и все заработает. Вот как этот момент обыграть?)

50_Terabytes
24.02.2016, 20:24
часто сталкиваюсь с той же хренью. в этом случае даже sslstrip не помогает. правда есть некоторые сайты, на которых это правило в браузере не стоит, например тот же самый вконтакте. кстати, а что будет, если сделать самоподписанный сертификат и создать свой https? тоже окно предупреждения выйдет?

che715
25.02.2016, 12:32
искал инфу, в общем приведу дословно, как на соседнем борде порекомендовали попробовать: "

Есть, только там помимо днс, нужно еще squid задействовать. И прозрачно проксировать трафик". Да хоть самоподписанный, хоть купленный - это не поможет... а, по sslstrip и hsts - можно попробовать интерцептор, но, как сам разработчик пишет не для всех случаев и далеко не всегда работает(почитайте автора - там предельно подробно и ясно написано).

50_Terabytes
26.02.2016, 00:06
а можно ли подменить в траффике значение времени активности в STS-заголовке на max-age=1 ? или он тоже зашифрован?

che715
26.02.2016, 14:25
↑ (https://antichat.live/posts/3956969/)
а можно ли подменить в трафике значение времени активности в STS-заголовке на max-age=1 ? или он тоже зашифрован?


насчет времени, посоветовал мне один добрый человек, с соседнего борда(правда еще не пробовал) приведу дословно :

"Еще раз, если сайт использует HSTS все способы с iptables/strip*/proxy и т.д

не подойдут, броузер попросту не пустит на сайт чтобы юзер не нажимал, он при всем желании не сможет зайти на сайт )

Проверяется так - curl -s -D- https://domain.com/ | grep Strict

Но есть способ обойти HSTS - машина времени )) NTP сервер который выдаст дату хосту жертве, минимум на год вперед. (флаг HSTS работает год, с последнего посещения сайта юзером).

https://github.com/PentesterES/Delorean/blo...ter/delorean.py (https://github.com/PentesterES/Delorean/blob/master/delorean.py) - сам NTP который позволяет это сделать. Стандартные демоны NTP, не позволяют сделать шаг влево или вправо от эталонных часов"

кто пробовал так делать, работает?

50_Terabytes
26.02.2016, 14:33
↑ (https://antichat.live/posts/3957129/)
кто пробовал так делать, работает?


Неплохая идея, стоит попробовать...

VipTargets
26.02.2016, 23:29
часто сталкиваюсь с той же хренью

тоже интересно

che715
27.02.2016, 13:22
↑ (https://antichat.live/posts/3957134/)
Неплохая идея, стоит попробовать...


у меня со временем пока тяжко, если раньше кто попробует - отпишитесь, ну или я, если раньше опробую - отпишу...

msofff
29.03.2017, 00:17
↑ (https://antichat.live/posts/3957129/)
NTP сервер который выдаст дату хосту жертве, минимум на год вперед.
кто пробовал так делать, работает?


Пользователь сам должен синхронизироваться с датой сервера, не пойдет.

binarymaster
31.03.2017, 15:00
↑ (https://antichat.live/posts/3956443/)
а что будет, если сделать самоподписанный сертификат и создать свой https? тоже окно предупреждения выйдет?


Да, будет предупреждение, потому что ваш самоподписанный сертификат не будет содержать подписей от доверенных организаций (корневых сертификатов).

qwebdev
01.04.2017, 10:59
↑ (https://antichat.live/posts/3956296/)
Доброго времени суток, форумчане!) Заранее прошу простить модераторов, если не в той теме выложил.
Решил потестить фейки с подменой днс в роутере у себя, и столкнулся с следующей проблемой :
поднимаю днс сервак, прописываю в нем соответствие домен == мой ip, где фейк залит. И столкнулся с такой штукой, как HSTS. Т.е. при попытке перейти на сайт(с машины где прописан мой DNS), который использует HSTS( если был до этого заход на оригинальный сайт) - выдается ошибка и переход рубится на уровне браузера. Если сайт не использует HSTS - то вес нормально. Есть ли какие-то пути обходы данного момента? Премного буду благодарен за разъяснения))


А какая у тебя основная задумка? чего именно ты хочешь этим добиться? получить пароли или еще что? ты же теоретически имеешь доступ к истории посещений юзера через роутер? возьми один из тех сайтов на которых не используется https, и нет этой жесткой системы, и оттуда предложи скачать обновление флеш-плеера, или хрома, (в идеале их надо загрузить на левый drive.google, расшарить доступ, и естественно свеже-криптованные экзешники), браузер ругаться не будет что файл может нанести вред компьютеру если его скачали с драйва, иконки надо чтоб тоже соответствовали, юзер в большинстве случаев обновление хрома запустит и задумываться не станет, если все красиво оформить, а дальше у тебя exe файл которому разрешили действовать на локальной машине..., это может быть хоть кейлоггер...вот тебе и пароли все

dom1
06.04.2017, 20:19
↑ (https://antichat.live/posts/4067357/)
А какая у тебя основная задумка? чего именно ты хочешь этим добиться? получить пароли или еще что? ты же теоретически имеешь доступ к истории посещений юзера через роутер? возьми один из тех сайтов на которых не используется https, и нет этой жесткой системы, и оттуда предложи скачать обновление флеш-плеера, или хрома, (в идеале их надо загрузить на левый drive.google, расшарить доступ, и естественно свеже-криптованные экзешники), браузер ругаться не будет что файл может нанести вред компьютеру если его скачали с драйва, иконки надо чтоб тоже соответствовали, юзер в большинстве случаев обновление хрома запустит и задумываться не станет, если все красиво оформить, а дальше у тебя exe файл которому разрешили действовать на локальной машине..., это может быть хоть кейлоггер...вот тебе и пароли все


Ну это уже из ряда Соц Инженерии, ТС интересуется технической частью. А если уже исходить из СИ в локалке - проще пароли доставать утюгом, а не кейлоггерами