SSL Hijacking
با سلام…
امیدوارم همیشه سلامت و شاد باشید …
باز هم ما برگشتیم با چرت و پرت هایی جدید از نظر خودمان و البته قدیمی از نظر علمی … من در ابتدا یک عذرخواهی بزرگ به همه ی شما دوستان بدهکار هستم ، اون هم برای اینکه خیلی دیر به دیر مطلب می زارم.به جونه خودم نباشه ، به جونه خودش خیلی سرم شلوغه و حسابی توی گرفتاری افتادم.البته شاید قسمت شد و به زودی اتفاقاتی افتاد و من زود به زود مطالبی رو که خودم مطالعه می کنم و به نظرم جالب می آد که بیشتر روش صحبت بشه رو اینجا قرار بدم که امیدوارم مورد قبول شما دوستان قرار بگیره … از خودم که بگم این چند مدت بیشتر مباحثی که مطالعه کردم ، فقهی بود !!! حالا بهم نخندین ها ، خیلی مطالب حیرت آور و جالبی هم بودن که خیلی دید بنده رو به بسیاری مطالب عوض کردن … در یک اداره ای هم که کارآموزی رو گذروندم ، یه بزن بزن فقهی با اون کله کنده های حراست داشتم که نگو … البته طبق معمول همیشه ، پیروز میدان بودم چونکه حسابی دنبال بسیاری از مطالب می گشتم … براتون بخوام مثال بیارم کف می کنین از بسیاری از اعتفادات خرافاتی و بسیار حیرت آور که البته اینجا جاش نیست ، سر فرصت براتون تعریفاتی دارم بسیار خنده دار … بعد از مدتی هم که مطالعه کامپیوتری داشتم ، بر خورد کردم به مسائلی که بسیار پیچیده و با برنامه ریزی دقیق هستن برای جلو بردن جامعه جهانی و مدیریت اون … این بحث خیلی پیچیده و خطرناک هست و اگه در موردش بنویسم حتما سایت بنده فیلتر !!! میشه و تحت تعقیب قرار می گیرم … البته هیچ خیالی نیست … من اون چیزی رو که باید یاد بگیرم ، یاد می گیرم … از دانشگاه هم که بگم ، چیزی برای گفتن نیست مگر داستانها و اتفاقات عجیب … مثلا همین چند روز پیش جلسه توجیهی ورودی های جدید بود که بنده هم در برگذاری اون سهم کوچکی داشتم … یه مجری آورده بودن که این مجری ، مجری برنامه شب های سحر ماه رمضان در شبکه زاگرس کرمانشاه هست … آقا اومد یه مثال بزنه برای توجیه کردن چرندیاتش ، گفت : “در آمریکا ، یه زن با وزن ۱۲۸ کیلو ، نشسته روی یه مرد و اون مرد رو کشته” !!! … آقا چی براتون بگم ، این دانشجو های بدبخت هزار تا فکر به سرشون زد که چرا نشسته روش !!!! … خودم دیدم که یکی از روئسای دانشگاه یه حرف ناجور بهش زد و به مسئول برنامه گفت که بیاردش پایین این مجری مزخرف رو … آقا کلی خندیدیم که نگو و البته اتفاقات بسیار جالب دیگه در همین جلسه توجیهی که اگه بازم بنویسم ، سایتم فیلتر !!! میشه … بگذریم ، صحبت بسیار زیاد است و من هم نمی خوام حوصلتون رو سر ببرم ، یک راست بریم سر اصل جنس …
بحث امروز ما ، بر روی دزدیدن اطلاعات جلسه های کاری رمز نگاری شده هست که میشه همون : Hijacking HTTPS Session … من امروز می خوام شما رو با سیستمی به نام SSLstrip آشنا کنم که ترافیک عبوری HTTP رو مورد بررسی قرار می ده و به هنگام عبور ترافیک HTTPS ، به صورت یک Proxy عمل می کنه … خودش رو بین کاربر نهایی و سرور اطلاعات HTTPS قرار میده و یه جور MITM راه می ندازه … تمامی ترافیک بین SSLstrip و سرور کاملا بر اساس HTTPS بوده ولی ارتباط بین SSLstrip و کاربر به صورت HTTP خواهد بود . به عبارت دیگه تمامی لینک های آغازی با //:https در حالت اصلی به لینک هایی به صورت//: http برای کاربر نهایی فرستاده میشه و البته مرورگر متوجه این قضیه نمیشه … حتی Padlock logo مورد نظر برای HTTPS رو Spoof می کنه و برای مرورگر می فرسته … حالا اصلا چرا این اتفاق می افته ها ؟ می دونیم که پروتکل SSL بر پایه ساختار استاندارد X509 هستش … این ساختار از قالب ASN.1 استفاده می کنه . این ASN.1 از انواع مختلف ورودی رشته ها پشتیبانی می کنه و بسیاری از قوانینش مثله Pascal هست ولی در Pascal کاراکتر NULL همچون دیگر کاراکتر ها در رشته به حساب می آد و به عنوان یه کاراکتر عادی هستش … حالا این NULL می تونه در Name Field در ساختار X509 مورد استفاده قرار بگیره … مثلا در آدرس www.123.com\0.ali.com ، قسمت قبل از NULL رو در نظر نمیگیره و به دامنه ali.com وارد میشه … حالا شاید بگین بسیاری از سیستم های SSL/TLS در ساختار X509 خودشون از پشتیبانی زبان C استفاده می کنن … در این حالت اگه به صورت www.123.com\0.ali.com باشه ، همون رفتاری صورت می گیره که با www.123.com صورت می گیره و این دو رو یکی فرض می کنه … حالا برای اعمال حمله MITM باید یکی از Field های Header ساختار X509 به نام Certificate Authority مساوی با False قرار بگیره تا مرورگر بتونه از اطلاعات تشخیص هویت برای دیگر دومین ها هم استفاده کنه و البته بیشتر مرورگر ها این Field رو چک نمی کنن … به تصویر زیر دقت کنید :
False in CA
استفاده از SSLstrip در ویندوز و لینوکس مثله هم هست … اما مسئله اینجاست که ما باید از سیستم Port Forwarding استفاده کنیم که در لینوکس در حالت Build in در iptables این سیستم قابل تنظیم هست ولی در ویندوز برای این کار باید تنظیمات خاصی را انجام داد و از یک ابزار جالب هم برای این کار استفاده کرد … در ضمن ، چونکه این SSLstrip رو با Python نوشتن ، پس اگه ویندوزی هستین باید مفسر Python رو نصب کنین و اگه لینوکسی که اکثر لینوکس ها خودشون این مفسر رو دارن … حالا بر روی سیستم هکر ، باید برنامه SSLstrip همراه با مکانیزم Port Forwarding همراه با یه جعل کننده مثله Arpspoof داشته باشیم …. Arpspoof هم که می دونین ابزاری هست که در مباحث ARP Cache Poisoning کار میکنه که در اینجا به علت طولانی شدن بیش از حد مطلب ، از توضیحاتش صرف نظر می کنم و فقط باهاش کار می کنیم … به عنوان تمرین خودتون برین در موردش تحقیق کنین ، خیلی ساختار و نحوه ی عملکرد جالبی داره … حالا در مرحله اول اگه در ویندوز هستین ، باید قابلیت Port Forwarding رو فعال کنین … برای این کار ابتدا توسط Run دستور regedit رو بزنین تا وارد تنظیمات رجیستری ویندوز بشیم … حالا وارد آدرس زیر بشین :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
حالا مقداری از نوع REG_DWORD با نام IPEnableRouter بسازید و مقدارش رو ۱ قرار بدید … حالا کافی هست که از توی Task Manager ، پروسه explorer.exe رو End Task کنین و بعدش دو باره همین رو Run کنین تا تنظیماتی که در رجیستری انجام دادین اعمال بشه … اگر هم که در لینوکس هستین که خودش این سیستم Port Forwarding رو در حالت Default داره و احتیاجی نیست کاری انجام بدین مگر اینکه خودتون قبلا دستی این سیستم رو غیر فعال کرده باشین … حالا باید سیستم رو طوری تنظیم کنیم که اطلاعات HTTP که برای سیستم قربانی در پورت ۸۰ در حال رد و بدل هستن رو برای پورت ۱۰۰۰۰ تغییر مسیر بدیم ، چراکه SSLstrip از این پورت ۱۰۰۰۰ استفاده می کنه … برای این کار در لینوکس تنظیمات ipTables رو به صورت زیر تغییر می دیم :
sudo iptables -t nat -A PREROUTING -p tcp –destination -port 80 -j REDIRECT –to-port 10000
حالا این کار رو در ویندوز با استفاده از ابزاری به نام Prot Forward که با جاوا نوشته شده انجام می دیم که البته شما باید Java RunTime رو روی سیستم خودتون نصب کرده باشین … برای تنظیمات این ابزار به صورت زیر عمل می کنیم :
C:\>java -classpath commons-logging.jar;portforward.jarorg.enterprisepower.net.portforward.
Forwarder 80 localhost:10000
خوب حالا باید کاری کنیم که سیستم قربانی ، به اشتباه سیستم هکر رو به عنوان Default Gateway خودش در نظز بگیره که اون مباحث پر شدن ARP Cache سیستم قربانی با MAC آدرس های جعلی پیش می آد که ابنجا نمی خوام بحث رو زیاد باز کنم ، فقط همین رو بگم که با دستور زیر ، این اتفاق می افته و سیستم قربانی ، کامپیوتر هکر رو به عنوان Default Gateway در نظر می گیره … در زیر ، آدرس ۱۹۲٫۱۶۸٫۱٫۱۰ مال خود سیستم قربانی و آدرس ۱۹۲٫۱۶۸٫۱٫۱ مربوط به Default Gateway حقیقی هستش …
arpspoof –t 192.168.1.10 192.168.1.1
حالا باید خود برنامه SSLstrip رو اجرا کنیم که میشه :
python sslstrip.py -f lock.ico
راستی ، این برنامه SSLstrip یه Log File هم داره که در پوشه خود برنامه هست و تمام اطلاعات رو براتون ثبت می کنه … حالا به نظرتون چه اتفاقی می افته مثلا اگه کاربر قربانی ، بره تو gmail ؟ … به عکس زیر دقت کنین تا متوجه بشین چه چیزهایی توی Log File ها برای ما ذخیره میشه !!! …
Password in Log File
حال کردین یا نه ؟ کف کردین یا نه ؟ بیهوش شدین یا نه ؟ اصلا چیزی شدین یا نه ؟! نکنه قبلا این رو بلد بودین و من بیچاره این همه متن تایپ کردم برای هیچی ها ؟؟ حالا دیدین بعضی ها و بعضی جاها چطوری ایمیل های مردم رو نگاه می کنن ؟ اصلا خودتون هم خبر ندارین چه اتفاقی داره می افته … البته در یک سطح خیلی بالا ، از یه روش دیگه استفاده می کنن که اگه اون رو هم بگم ، بازم این سایت فیلتر میشه !!! … حالا یه سوال … چطوری از اینکه هک بشیم توسط این روش جلوگیری کنیم ؟ تا اونجایی که می تونین سعی کنین سایت هایی که ورودی اطلاعات اونها توسط HTTPS رو خودتون هنگام تایپ آدری سایت ، دقیقا بنویسین : https://www.gmail.com … نه اینکه فقط یه gmail بنویسی و Ctrl+Enter بزنی که خودش به صورت اتوماتیک به https://www.gmail.com عمل Redirect رو انجام بده … این Redirect شدن خیلی خطرناک هستش … هالا هی بگین وحید بده !!! .. هی بگین دیر به دیر مطلب می زاره !! … بابا من مطلب هایی براتون می زارم که تو هیچ انجمنی درست و حسابی در موردش حرف نمی زنن … ایشالله که خوشتون اومده باشه … راستی ، در زیر همه ی ابزار ها رو قرار میدم ، نرین دنبالش بگردین ، وقت گرانمایه تون هدر بره !!! … فعلا صفای هر چی بی مرامه …. کوچیک همه ، وحید
==================================
:: پاورقی :: اولا فکر نکنین من دوباره می رم وتا زمان نا معلومی پیدام نمیشه … به زودی یه مطلب چرت و پرت دیگه براتون می نویسم خفن … در ضمن ، مطلب بالا رو هم که دیدین ، در Black Hat 2009 معرفی شده و توضیحات کاملترش اونجا هست ، اگه حوصله داشتین و خواستین که مطالعات تکمیلی انجام بدین !!! ، خودتون برین دنبالش توی قسمت Presentation سایت Black Hat …. دوما حتما بعضی از دوستان دیدن که یک روز سایت بنده بالا می اومد ولی هیچ اطلاعاتی رو نشون نمی داد … طبق معمول یکی از این دوستان مثلا هکر ، خواسته بود قدرت هکری خودشون رو نشون بده و باز هم از طریق یه Share Host بیاد Database این سایت ما رو خالی کنه … بابا به خدا ابن یه WordPress ساده هست ، فقط برای این که چهار تا چرت و پرت روش بزارم و با دوستان کپ و گفتی داشته باشم … هیچ ادعایی هم توش نیست … فکر کنم در طول چند وقت گذشته ، هیچ وب سایت امنیتی در ایران به اندازه این سایت به درد نخور من هک نشده باشه !!!! جدیدا این دوستان هکر علاقه زیادی به هک کردن سایت من پیدا کردن !!! … در ضمن ، بابا انجمن امنیتی خوب ایرانی میشناسین به ما هم معرفی کنین تا بیاییم دور هم جمع باشیم و حال کنیم … راستی ، من می خوام در مورد این OpenBSD لامسب شروع کنم به تحقیق و مطالعه ، اگه کسی پایه هست بگه تا باهم قرار بزاریم و شروع کنیم … سایه عالی مستدام !!! ….
