39일차 SSL MiTM , SSL strip

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다.

  게시된 내용들은 잘 알려져있는 기술들입니다. 따라서  악용하더라도 쉽게 적발되니

  절대 악용해서는 안됩니다.

-------------------------------------------------------------------------------------------------

SSL

SSL MiTM Attack은 서버와 클라이언트 사이에서 인증서를 가로채는 공격이다.

[SSL MiTM Attack 실습]

XP 익스플로러 버전 낮은 것 준비.

백트랙에서 공격, 웹서버 준비

DNS 스푸핑으로 공격할 예정.

실제로 받아야할 서버쪽으로 포워딩을 해줌.

엔터를 여러번 눌러주면

relaying 이 뜬다.

webtim.crt가 있는지 확인.

후 vim DomainFile

google이나 facebook 이 포함된 dns쿼리를 받으면 백트랙 웹서버로 연결 시켜야하기 때문에 백트랙 ip를 적어준다.

dnsspoof 툴을 사용해서 방금 만든 DomainFile을 활용한다.

현재 web MitM 툴과 dnsspoof 툴은 계속 돌아가고 있어야한다.

그다음 arp spoof

q는 ettercap이 잡고 있는 메시지 안나오게 하라는 것.

ettercap -TqM arp /10.10.10.1/ /10.10.10.254/

xp            게이트웨이

tcpdump 로 정보를 잡으면 webtim.crt로 복호화를 한다.

arp도 속이고 dns도 속은 상태.

예 누르면 깨져서 나오는 것들이 보인다.

백트랙에서 tcpdump 중지시키고 

복호화 툴 ssldump

-a ack 메시지를 표시하라

-d 어플리케이션 데이터를 표시해라

-r 은 읽어들여라

-k key값

> attack.txt 로 출력해라

이제 attack.txt 파일이 만들어졌을텐데 열어보면 복호화된 정보들이 보인다.

SSL Strip Attack은 SSL을 벗겨내는 것이다.

Clinet 가 처음에 웹서버에 접속하면 WebServer는 https로 접속하라고

리다이렉트를 보내주는데, 공격자는 그것을 가로채서 http로 접속하라고 보낸다.

그럼 Client는 http로 접속한다고 보내면, 그것을 또 가로채서 서버에게 https라고 접속한다고 보낸다. 그러면 Client는 실제로 http에 접속하고 있지만

web서버에서는 Client가 https로 접속한다고 착각하게 된다.

SSL MiTM 공격은 웹 버전에 따라 다르지만 안될 가능성이 높은 반면에

Strip Attack은 요즘에도 되는 공격이다. 

왜냐하면 사람들은 지금 내가 접속한게 http 인지 https인지 관심이 없기 때문이다.

[SSL Strip 실습]

www.google.com 에서 로그인하면 https가 아닌 http인게 보인다

test.log 를 확인하면 아이디 비밀번호가 그대로 노출된다.

 * 방어책

MITM 상태를 만들지 못하게한다.