' freak.no - dSploit - Hijacke facebook
freak.no

freak.no (https://freak.no/forum/index.php)
-   Datasikkerhet (https://freak.no/forum/forumdisplay.php?f=118)
-   -   dSploit - Hijacke facebook (https://freak.no/forum/showthread.php?t=294828)

Molekyl 7. januar 2017 17:05

dSploit - Hijacke facebook
 
Brukte dSploit for å få tilgang til andres facebook for noen år siden. Men etterhvert implementerte Facebook Https som mange andre store nettsteder. Har ikke prøvd dSploit etter de gjorde dette, så vet ikke om appen fungerer til MITM angrep.


Noen som har peiling på om dSploit fortsatt fungerer til å hijacke en facebook session på et Wifi nettverk?

Erlpil 7. januar 2017 17:38

Forskjellen på http og https er at trafikken med https er kryptert.
Dette betyr at dataen som sendes mellom klient og server vil være uleselig for en tredjepart. Dette gjør derfor et MITM angrep umulig.

Facebook hadde valget som lot deg velge om du ville bruke http og https tidligere. Dette ser ut til å være fjernet, og alle må bruke https.
Det vil derfor ikke være mulig å hijacke en facebook session slik du beskriver.

Molekyl 7. januar 2017 18:08

Var det jeg mistenkte. Hvilket år var det Facebook gjorde nettstedet til https for absolutt alle?

Erlpil 7. januar 2017 18:13

Denne posten er fra 31. juli 2013.
https://www.facebook.com/notes/faceb...1590414803920/

knutazz 7. januar 2017 22:02

Hvis du er i en situasjon til å utføre mitm angrep prøv å sette opp proxy med ssl bump, hvis du gjør det riktig kan du jo se både brukernavn og passord i klar tekst for alle som kobler seg til og logger inn på facebook på nettverket ditt

vidarlo 7. januar 2017 22:09

Sitat:

Sitat av knutazz (Innlegg 3356851)
Hvis du er i en situasjon til å utføre mitm angrep prøv å sette opp proxy med ssl bump, hvis du gjør det riktig kan du jo se både brukernavn og passord i klar tekst for alle som kobler seg til og logger inn på facebook på nettverket ditt

Facebook bruker HSTS. I tillegg utfører m.a. Chrome pinning, som gjer at sertifikatet må vere signert av eit sertifikat som tidlegare har signert sertifikat for facebook.

I tillegg vil jo brukaren få ei rimelig solid feilmelding. Og om pinning/HSTS slår til så vil ikkje brukaren få til å besøke ei side med ugyldig sertifikat.

Eg prøvde, ved å redirecte facebook.com til ::1, og fekk opp følgjande melding i Chromium:
https://imma.gr/66498xe0cd0.jpg

Eg får ikkje lov til å trykke fortsett. Chrome/Chromium blokkerer tilgangen til facebook totalt - fordi sertifikatet ikkje stemmer. Brukeren kan ikkje overstyre det. You cannot...

knutazz 7. januar 2017 22:16

Jo det er sant at de har HSTS, men så lenge "målet" ikke er så datakyndig så kan man bortforklare de feilmeldingene og samtidig hvis han er på sit eget nettverk og admin kan han jo også sette opp sitt eget sertifikat for å ikke få denne feilmeldingen hvis de bruker noe annet en chrome

har testet dette selv med pfSense og Squid som gateway for nettverket

vidarlo 7. januar 2017 22:20

Sitat:

Sitat av knutazz (Innlegg 3356855)
Jo det er sant at de har HSTS, men så lenge "målet" ikke er så datakyndig så kan man bortforklare de feilmeldingene og samtidig hvis han er på sit eget nettverk og admin kan han jo også sette opp sitt eget sertifikat for å ikke få denne feilmeldingen hvis de bruker noe annet en chrome

Kan du få vedkommande til å skru av HSTS kan du få vedkommande til å installere den trojaneren du vil. Å skru av HSTS er ikkje trivielt, og du får ikkje valget om å klikke 'Proceed' når HSTS er påskrudd. Om sida ikkje presenterer eit gyldig sertifikat er den blokkert.

Om du greier å snakke folk gjennom dette, så kan du be dei installere TotalPWNTrojan_virus_malware4.2.0.exe uten at dei vil blinke.

Det samme gjeld det å installere sertifikat. Greier du å installere rotsertifikatet ditt på ein pc kan du trivielt installere det du vil av malware på samme PC.


Alle tidspunkt er GMT +2. Klokken er nå 18:39.