19/4/2014 SSLstrip : Cmo descifrar todo el trfico HTTPS
http://www.redeszone.net/seguridad-informatica/sslstrip/ 1/8
SSLstrip : Cmo descifrar todo el trfico HTTPSSSLSTrip es una aplicacin para sistemas operativos Linux capaz de
descifrar todo el trfico HTTPS que viaja a travs de la red y sniffar el
trfico (usuarios y claves) que viaja a travs de la red en HTTPS
(cifrado). En este tutorial os vamos a ensear un poco ms a fondo
cmo funciona.
Para lograr nuestro objetivo, haremos un ataque Man In The Middle, que
consiste en ponernos a escuchar las comunicaciones entre el servidor
y el propio cliente.
SSLStrip descifra el protocolo SSL?, la respuesta es no. Lo que hace
realmente SSLStrip es engaar al servidor y convertir todo el HTTPS
de una web en HTTP (sin cifrar) . El script solo puede engaar cuando
la vctima llega a la web en cuestin mediante una redireccin o un
LINK.
En la pgina web oficial podis encontrar el enlace de descarga y un breve manual para empezar a utilizar SSLSTRIP.
Antes de empezar, debemos aclarar que el manual es bsicamente un ataque simulado, no se va a explicar todo en
detalle, simplemente os mostraremos como funciona SSLStrip haciendo una demostracin en un tipo de ataque
simulado.
Adaptadores WiFi
Bancos de Prueba
Cmaras IP
Mdems 3G
NAS
PLC
Puntos de Acceso
(AP)
Reproductores
Multimedia
Routers
SAI
Switches
Telfonos IP
Anlisis de producto
Portada Android Banda Ancha Pepephone ADSL Bittorrent Redes Seguridad Informtica Software
BuscarRouters Redes Inalmbricas WiFi AC Puntos de Acceso PLC Java PHP Firmwares Manuales Test de Velocidad
4013Me gusta Seguir a @redeszone 5,564 seguidores Nos sigues? 1.501
Las cookies permiten ofrecer los servicios deRedesZone. Al utilizar nuestros servicios,aceptas el uso que hacemos de las cookies.
Cerrar
19/4/2014 SSLstrip : Cmo descifrar todo el trfico HTTPS
http://www.redeszone.net/seguridad-informatica/sslstrip/ 2/8
Para este ataque simulado vamos a usar 2 mquinas conectadas a una misma red (1 mquina fsica y una mquina
virtual), los roles desempeados por cada mquina van a ser los siguientes:
Mquina fsica : Kubuntu 11.04 Vctima.
Mquina virtual: Backtack 5 Atacante.
Herramientas necesarias para el atacante:
SSLStrip
Sniffer(Wireshark,Ettercap..)
Arpspoof
Iptab les
Nmap (opcional, no es necesario si sabemos la IP de la vctima, o si usamos otra tcnica para detectarla)
Empezamos el ataque:
Lo primero que debe conocer el atacante es la IP privada de la vctima (nosotros para este ataque simulado hemos
optado por usar Nmap para descubrir la IP) en nuestro caso es bastante fcil ya que solo hay 3 Host activos (el propio
atacante, la vctima y el router).
Para realizar este proceso de deteccin lo que haremos ser escanear toda la red local en busca de Host activos
(seguramente se os ocurrirn ms maneras, no obstante por nuestra parte pensamos que sta es la ms utilizada).
Primero averiguamos nuestra IP privada en la red con ifconfig. Tpicamente los routers empiezan a agregar IPs,
manteniendo los tres primeros grupos de cifras por ejemplo:192.168.0.* donde * es el nmero que vara y el resto se
mantiene igual.
Por supuesto, el router puede estar configurado de otra forma, y puede que tengamos que sacar la IP como podamos,
por ejemplo, por medios de ingeniera social si tenemos contacto con la persona que maneja el PC vctima.
Alfa Network
ASUS
Cisco Linksys
Comtrend
D-Link
Devolo
FRITZ!
Huawei
HP
Kaiboer
Oceans
Orange Livebox
Salicru
Sitecom
Synology
TP-LINK
TRENDnet
Zaapa
Western Digital
ZyXEL
Android
Bugtraq
Curso de Redes
Curso HTML y CSS
Curso Java
Curso PHP
Fabrica tu FreeNAS
GNU-Linux
IPFire
IPsec
Mac Os X
Raspberry PI
Redes
Seguridad Informtica
Software
Windows
Firmware Tomato RAF
Firmware DD-WRT
Firmwares Comtrend
Firmwares Zyxel
Fabricantes
Tutoriales de ayuda
Firmwares
19/4/2014 SSLstrip : Cmo descifrar todo el trfico HTTPS
http://www.redeszone.net/seguridad-informatica/sslstrip/ 3/8
Como podis ver, est activa la IP del atacante. Si hubiese ms Host activos el atacante tendra que ir tirando de
tcnicas de fingerprinting e ir contrastando los resultados de estas con las cosas que ya sabe de la vctima por
ejemplo, si el atacante supiese que la vctima utiliza Windows 7, podra hacer un OS Fingerprint(flag -O en Nmap) para
saber el OS que utilizan los Host que estn activos, descartando as todos los que no utilicen Windows 7 ya que no
seran la vctima.
Llegados a este punto el atacante deber configurar el enrutamiento de su PC (tambin podra haberlo hecho antes).
Si no se activase el enrutamiento el ataque podra ser un desastre, ya que la vctima tcnicamente se quedara sin
internet, porque sus peticiones jamas llegaran a su destino, se quedaran en el PC del atacante y por tanto no habra
respuestas.
A continuacin, el atacante deber configurar una IPTABLE para redirigir todo el trafico del puerto 80 a otro puerto. El
atacante podra omitir este paso y poner directamente a escuchar el SSLStrip directamente al puerto 80 pero esto
Suscrbete a nuestro RSS
Sguenos!
A 4013 personas les gusta esto. S el
primero de tus amigos.Me gusta
Seguir a @redeszone 5,564 seguidores
RedesZone
+ 1.501
Seguir +1
Lo que comparten tus amigos
19/4/2014 SSLstrip : Cmo descifrar todo el trfico HTTPS
http://www.redeszone.net/seguridad-informatica/sslstrip/ 4/8
obligara a la vctima a aceptar un certificado falso, cosa que ya era capaz de hacer otras herramientas.
iptab les -t nat -A PREROUTING -p tcp destination-port 80 -j REDIRECT to-port
Siguiendo con el ataque, una vez que el atacante tiene la IP de la vctima, este deber proceder a realizar un ataque
MITM. Para esto usar ARPSpoof:
Ahora es el momento en el que empieza la parte complicada del ataque, hasta ahora hemos hecho lo siguiente:
Por ahora el atacante ha obtenido la IP de la vctima y tiene todo su trafico redireccionado hacia s mismo (ataque
MITM), y ahora mismo se dispone a conseguir en texto planto todo lo que pase cifrado en SSL.
El proceso es simple deberemos lanzar SSLStrip y ponerlo a escuchar en el puerto al que hemos redireccionado el
trafico.
Ya esta todo listo ahora solo necesitamos que pase algo como esto:
Pantalla de la vctima entrando en por ejemplo a www.paypal.com ; con las siguientes credenciales: Correo =
Correodeprueba ; Contrasea: Contraseadeprueba
Pantalla del atacante monitorizando el trafico y obteniendo la contrasea mediante Wireshark
Listado de extensiones ms tiles
para VLC
Una persona recomienda esto.
Vulnerabilidad detectada en Adobe
PDF Reader para Android
6 personas han recomendado esto.
Aumentan los mensajes de texto
fraudulentos desde el 25568
4 personas han recomendado esto.
P lug-in soc ial de Facebook
19/4/2014 SSLstrip : Cmo descifrar todo el trfico HTTPS
http://www.redeszone.net/seguridad-informatica/sslstrip/ 5/8
Aqu finaliza nuestro ataque simulado, esperamos que os haya gustado.
Cmo detectar el ataque MITM y SSLStrip:
-Fijndonos en la nica diferencia que se presenta al visitar una web que use SSL cuando estamos bajo este ataque,
que la direccin en vez de ser https es http.
Como protegerse de estos ataques:
-Escribiendo siempre en la barra de direcciones del navegador https:// cuando entremos a web que sabemos que
usan SSL(o lo sospechamos).
Antes de despedirnos, os dejamos tambin con una de las conferencias (en ingls) que dio el autor del script Moxie:
19/4/2014 SSLstrip : Cmo descifrar todo el trfico HTTPS
http://www.redeszone.net/seguridad-informatica/sslstrip/ 6/8
Y el repositorio del autor donde tiene el cdigo del script y todo el changelog desde que fue liberado: SSLStrip
Manual realizado por Jalths para RedesZone.net.
Manual en exclusiva para RedesZone.net.
Prohib ida su reproduccin total o parcial sin el consentimiento del autor.
Comprtelo. Gracias!
19/4/2014 SSLstrip : Cmo descifrar todo el trfico HTTPS
http://www.redeszone.net/seguridad-informatica/sslstrip/ 7/8
Acerca de Nosotros
Contacto
Publicidad
Aviso Legal
Comunicacin
Google+
Grupo ADSLZone
ADSLZone
ADSLZone TV
AndroidAyuda
Twittear
0 1 1
2 Comentarios RedesZone Acceder
Ordenar por los mejores Compartir
nete a la discusin...
Responder
Yoo hace 2 aos
Pon tu NIC en modo promiscuo.
Si no puedes, usa ARP spoof
Responder
Adrian Gonzalez hace 2 aos
Pregunta fcil,
En redes Wifi tambin es necesario arpspoof? Me da la sensacin de que los paquetes me
llegan de igual forma :S
Suscrbete Aade Disqus a tu sitio web
Favorito
Compartir
Compartir
40
Me gusta
19/4/2014 SSLstrip : Cmo descifrar todo el trfico HTTPS
http://www.redeszone.net/seguridad-informatica/sslstrip/ 8/8
Google Currents
RSS
GamerZona
HardZone
RedesZone
SoftZone
SmartZona
TabletZona
Test de Velocidad
RedesZone 2010 - 2014
Top Related