Shellsec

Fuld version: Phishing
Du ser lige nu en skrabet udgave af vores indhold. Se den fulde version med ordentlig formatering.
Hej ShellSec. Min første post her på jeres forum, som er yderst interessant.

Jeg har fundet noget motivation i og med at jeg studerer på et studie, hvor vi programmerer web mv.
Derfor har jeg fundet det lidt interessant, at bevæge sig lidt ud mod kanten Wink

Har som sagt ikke den store erfaring, så jeg tænker jeg vil prøve med noget phishing til at starte med.
Simple sider, eksempelvis Facebook, Google eller har i et tredje bud?
Har fundet nogle gamle guides herinde, som er lidt forældet. Den ene nævner noget om at phishe på eget netværk - er der fordele/ulemper ved det? Man kunne evt. åbne sit trådløse netværk i 24 timer og så fetche Facebook i disse timer eksempelvis, da folk i de andre lejligheder formentlig ville logge på dér.

Hvis ikke target skal være på eget netværk, hvad er så den nemmeste løsning at få til at se mest troværdig ud?

Mvh m8n
Første løsning du snakkede om lyder mere som et MITM-netværk, og du ville få meget lidt ud af dette, pga SSL til at kryptere forespørgslerne imellem facebook og brugeren.
Det du kan gøre er at lave et mitm angreb, på eget netværk ville være bedst til at teste.
Du kan ikke opfange folks login til det rigtige facebook da det er krypteret, men det behøver heller ikke at være den rigtige side de logger ind på.
Du kan lave et DNS Spoof på dit trådløse netværk så alle der skrive f.eks. "facebook.com" i adresse feltet vil blive redirected til din egen webserver. hvor du her har klonet siden, dette kan gøres med SET (Social Engineering Toolkit). Når de logger ind på den "fake" facebook får du oplysningerne, og de bliver sendt videre til den rigtige facebook hvor de automatisk er logget ind.

Kig på værktøjet MITMF og dnsspoof (som jeg tror er en del af MITMF), og SET.

Dette er også meget nemt "ude i det fri", da alt du skal gøre her er at lave et evil twin AP. Altså på f.eks. barresso, sidder du med din bærbare og har lavet et WIFI adgangspunkt med samme navn. Folk tror de logger på barresso, men i stedet logger de på dit WIFI. Dette fungere endnu bedre med et 3g modem så de rent faktisk kan komme på nettet fra dit wifi.
Du kan også køre sslStrip når du laver et MITM. Jeg har dog erfaret det oftest kræver en clearet browser cache for at tvinge targets over på http.
(15-10-2016, 14:07)EdgeX Skrev: [ -> ]Du kan også køre sslStrip når du laver et MITM. Jeg har dog erfaret det oftest kræver en clearet browser cache for at tvinge targets over på http.

Det er nemlig her HSTS kommer ind i billedet. Det er noget fanden har opfundet. :P
(15-10-2016, 14:07)EdgeX Skrev: [ -> ]Du kan også køre sslStrip når du laver et MITM. Jeg har dog erfaret det oftest kræver en clearet browser cache for at tvinge targets over på http.

Som Malcolm skriver, så kan det ikke rigtigt lade sig gøre på grund af HSTS, som også bruges på Shellsec.
Derudover kan certificate pinning også komme i vejen i forhold til DNS spoofing. Der er heldigvis kommet nogle nogenlunde løsninger på mange MitM trusler.

EDIT: Jeg fandt lige hvad jeg tror er den bedste forklaring af HPKP (HTTP Public Key Pinning), jeg nogensinde har læst.
https://noncombatant.org/2015/05/01/abou...y-pinning/
(15-10-2016, 14:36)MalcolmXI Skrev: [ -> ]Det er nemlig her HSTS kommer ind i billedet. Det er noget fanden har opfundet. :P

Det havde jeg ikke hørt om før. Er det alment benyttet endnu? Jeg synes f.eks. ikke CSP er noget der er at finde særlig mange steder endnu.
Er det korrekt forstået at HSTS bliver konfigureret på layer 7?
(16-10-2016, 07:07)Doctor Blue Skrev: [ -> ]Derudover kan certificate pinning også komme i vejen i forhold til DNS spoofing. Der er heldigvis kommet nogle nogenlunde løsninger på mange MitM trusler.

Gør certifikater sig gældende når dnsspoof i princippet bare får routeren til at svare med en lokalt hosted web server, der behøver vel ikke at være et certifikat indblandet, ingen https eller noget.
Det ville selvfølgeligt fjerne den lille grønne lås i browseren men den ville ikke smide en advarsel, eller hvad?
(16-10-2016, 09:19)duckman Skrev: [ -> ]Gør certifikater sig gældende når dnsspoof i princippet bare får routeren til at svare med en lokalt hosted web server, der behøver vel ikke at være et certifikat indblandet, ingen https eller noget.
Det ville selvfølgeligt fjerne den lille grønne lås i browseren men den ville ikke smide en advarsel, eller hvad?

HSTS fortæller browseren at den ikke under nogen omstændigheder må tilgå siden uden HTTPS med et gyldigt certifikat. Det er ikke engang noget man kan omgå som bruger. Måske hvis man roder tilstrækkeligt meget rundt i nogle debugging indstillinger, men ellers ikke.
Citer:Failing secure connection establishment on any warnings or errors (per Section 8.4 ("Errors in Secure Transport Establishment")) should be done with "no user recourse". This means that the user should not be presented with a dialog giving her the option to proceed.
Citer:If a web application issues an HSTS Policy, then it is implicitly opting into the "no user recourse" approach, whereby all certificate errors or warnings cause a connection termination, with no chance to "fool" users into making the wrong decision and compromising themselves.
https://tools.ietf.org/html/rfc6797#section-12.1

Hvis du bruger HSTS er der stadig ikke noget der forhindrer dig i f.eks. at erstatte det med et andet gyldigt certifikat for domænet (Udover de fleste CA-ers domæne-/identitetsverifikation). Hvis du pinner dit certifikat og bruger HSTS er der ingen vej udenom. Browseren vil nægte at gå ind på siden uden HTTPS på grund af HSTS, og vil heller ikke gøre det hvis certifikatet ikke matcher sidens PKP police.
Risikoen for at det sker er dog utroligt lille, da det kræver at der opstår en fejl hos en trusted CA eller noget i den retning. Det kan dog være smart for virksomheder, der installerer sine egne CA-certifikater på deres maskiner til interne sider, idet deres CA måske kan være nem at kompromittere.
Tak for alle jeres svar! Nu har jeg i hvert fald lidt at gå ud fra Smile Skal nok lige have læst op på tingene før jeg går igang, har aldrig hørt om HSTS, MITM og hvad i ellers nævner :)

Men ellers tusind tak for udgangspunket!