sslstrip、arpspoofを使用してhttpsをhttpにダウングレードできません
私はこのガイドに従ってきました: https://www.cybrary.it/0p3n/using-sslstrip-in-kali-linux/ およびその他も、例:公式のSslstrip one: https://moxie.org/software/sslstrip/ 成功していません。
私が使用しています:
5.2.0-kali2-AMD64 #1 SMP Debian 5.2.9-2kali1 (2019-08-22) x86_64 GNU/Linux
sslstrip 0.9 by Moxie Marlinspike
そしてarpspoof。
私は最初に実行しています:
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 8080
次に、arpスプーフィング:
arpspoof -i <interface> -t <targetIP> -r <gatewayIP>
次にsslstrip:
sslstrip -w testfile.txt -l 8080
次に、ターゲットマシンであるSafariブラウザを実行しているiPhoneに移動します。すべてのキャッシュと一時を削除しています。 HSTSがプリロードされていないWebサイト(linkedin.com、zsecurity.org)を閲覧しています。 https://ではなく、単にドメイン名を指定しています(例:linkedin.com)。彼らはまだhttpsでロードします。
WindowsとInternet Explorerを実行している別のクライアントでこれを複数回テストしました。同じ結果、ターゲットを強制的にhttpにすることはできません。
Sslstripのtestsfile.txtが空です。クライアントがhttp Webページを開くことを期待していました。
何が悪いのですか?
まず、sslstripは、ハイジャックされた非https- Webサイトでhttps-linksをnon-https-linksに置き換えます。例えば。被害者が安全でないパブリックwifi経由でhttpのみの検索エンジンにアクセスすると、攻撃者はsslstripを使用して、検索エンジンのhttpsリンクをhttpのみのリンクで置き換えることができます。
ターゲットとするWebサイト(linkedinなど)は、被害者が何を開こうとしても、常にhttpsにリダイレクトされると思います。そもそもhttp接続を許可しません。
そして最後に重要なことですが、コメントで既に言及されている他のサイトと同様に、ターゲットWebサイトは、最初の応答(または簡単に見落とされる可能性があるOPTIONS応答)にstrict-transport-securityヘッダーを設定する可能性が高く、ブラウザーを妨げますhttpのみの接続を許可しないようにします。
HSTSエントリを削除するには、キャッシュとtmpを削除するだけでは不十分だと思います。 Safariブラウザの場合HSTSが保護されているファイル "〜/ Library/Cookies/HSTS.plist"があります。デスクトップからテストする場合は、このファイルを削除する必要があります。