web-dev-qa-db-ja.com

sslstrip、arpspoofを使用してhttpsをhttpにダウングレードできません

私はこのガイドに従ってきました: https://www.cybrary.it/0p3n/using-sslstrip-in-kali-linux/ およびその他も、例:公式のSslstrip one: https://moxie.org/software/sslstrip/ 成功していません。

私が使用しています:

5.2.0-kali2-AMD64 #1 SMP Debian 5.2.9-2kali1 (2019-08-22) x86_64 GNU/Linux
sslstrip 0.9 by Moxie Marlinspike

そしてarpspoof。

私は最初に実行しています:

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -p tcp  –destination-port 80 -j REDIRECT –to-port 8080

次に、arpスプーフィング:

arpspoof -i <interface> -t <targetIP> -r <gatewayIP>

次にsslstrip:

sslstrip -w testfile.txt -l 8080 

次に、ターゲットマシンであるSafariブラウザを実行しているiPhoneに移動します。すべてのキャッシュと一時を削除しています。 HSTSがプリロードされていないWebサイト(linkedin.com、zsecurity.org)を閲覧しています。 https://ではなく、単にドメイン名を指定しています(例:linkedin.com)。彼らはまだhttpsでロードします。

WindowsとInternet Explorerを実行している別のクライアントでこれを複数回テストしました。同じ結果、ターゲットを強制的にhttpにすることはできません。

Sslstripのtestsfile.txtが空です。クライアントがhttp Webページを開くことを期待していました。

何が悪いのですか?

6
lorelou

まず、sslstripは、ハイジャックされた非https- Webサイトでhttps-linksをnon-https-linksに置き換えます。例えば。被害者が安全でないパブリックwifi経由でhttpのみの検索エンジンにアクセスすると、攻撃者はsslstripを使用して、検索エンジンのhttpsリンクをhttpのみのリンクで置き換えることができます。

ターゲットとするWebサイト(linkedinなど)は、被害者が何を開こうとしても、常にhttpsにリダイレクトされると思います。そもそもhttp接続を許可しません。

そして最後に重要なことですが、コメントで既に言及されている他のサイトと同様に、ターゲットWebサイトは、最初の応答(または簡単に見落とされる可能性があるOPTIONS応答)にstrict-transport-securityヘッダーを設定する可能性が高く、ブラウザーを妨げますhttpのみの接続を許可しないようにします。

2
Martin Fürholz

HSTSエントリを削除するには、キャッシュとtmpを削除するだけでは不十分だと思います。 Safariブラウザの場合HSTSが保護されているファイル "〜/ Library/Cookies/HSTS.plist"があります。デスクトップからテストする場合は、このファイルを削除する必要があります。

0
state