MITM之SSL欺骗攻击

ssl欺骗攻击原理

基于SSL的HTTPS登录有证书的参与，通信过程中的数据流是加密的，所以很难被嗅探，但是sslstrip利用独到的想法实现了https的攻击。

主要思路：

（1）客户端到服务器的https链接经过中间人攻击者，攻击者将https请求发送到服务器

（2）服务器返回证书验证https的合法连接性，此时，攻击者将证书扣下，然后发回给客户端用户的是http响应

（3）客户端基于http响应做出应答，跟证书没什么关系，然后攻击者根据客户端请求和证书发送给服务器加密的信息

在整个欺骗过程中，客户端察觉不到证书是有问题的，使用sslstrip工具可以完成这个https到http的欺骗过程

用户唯一感觉到的区别就是平常应该是https://链接的地方变成了http://，如果不注意，是很难发现的，比较隐蔽。

攻击环境：

（1）目标机器：win2k3 server

（2）攻击机：Kali

（3）网关

攻击过程：

（1）打开ip_tables转发

（2）修改etter.conf配置文件，将Linux的#注释部分去掉

（3）使用iptables过滤数据包，使用sslstrip监听10000端口

参数讲解：

-t:命令要操作匹配的表（net这个表表示被查询时遇到了新差生的连接包）
Nat表有三个内建的链构成 PREROUTING(修改到来的包)、OUTPUT（修改路由之前本地的包）、POSTROUTING(修改准备出去的包)
-A表示在选择的链后加入更多选项
–p指被过滤包的协议
–destination-port 80指被过滤包的目的端口是80 -j REDIRECT –to-port 10000 将80端口的数据跳转到指定端口传输

（4）开启ettercap 静默模式arp欺骗

攻击结果：

（1）访问百度站点，没有https标记

（2）登录测试

登录过程中，Kali截获到登录的数据

换一个百度登录的链接测试，也是一样的情况

（3）停止sslstrip工具，证书验证出现问题

单纯的arp欺骗对于https登录来说会造成证书错误，用户容易怀疑。

（4）停止arp欺骗，恢复正常

并且，测试的其他站点也可以使用sslstrip工具进行https欺骗

如支付宝和京东的登录，都是没有https://标记的