小試ettercap的MITM***（之二）：測試sslstrip

   (修正了第一次發時的一些錯誤）

   書接上篇。上次講了利用arp欺騙的原理，在內網嗅探明碼發送的用戶名和密碼，這一次再來講說有ssl加密的嗅探。

   利用ettercap，加上sslstrip的輔助，一樣能夠嗅探通過ssl加密的部分https數據。關於https和ssl的詳細原理，能夠查找相關文獻。先介紹一下此次的測試環境，一個是win8 x64的機器，利用電腦自帶的無線網卡接入AP,地址是192.168.1.30（個人筆記本電腦），扮演咱們須要嗅探的對象；扮演***者的是vmware裏安裝的kali linux，利用USB外接的網卡聯網，IP地址192.168.1.106，和被***者（實際上是虛擬機的宿主）在同一個網段；網關是家中的AP（好慘！每天被測試！），地址192.168.1.1。上一篇被***者用的是安卓手機，這一次用的是筆記本電腦，爲了演示方便，其實原理同樣，只要手機上某個程序是經過https協議接入的，都適用。

   利用sslstrip和ettercap嗅探的步驟很簡單，就4步，可參考這一篇文章：http://xiao106347.blog.163.com/blog/static/21599207820131121112420259/

   下面是demo time：

   step 1: 設置iptables規則（關於iptables的語法和做用，鳥哥的書裏介紹的很詳細噢！）

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000

   要查看設置結果用下列命令：

iptables -t nat -L --line-numbers

   要刪除的話，將-A改成-D就能夠了，或是用剛纔--line-numbers顯示出的編號進行刪除。

   運行效果以下：

   step 2:用sslstrip監聽剛纔設置的端口10000。因爲sslstrip運行時常常報錯，但不影響運行效果，爲了界面更加清爽，我習慣將錯誤輸出隱藏(2>/dev/null)，命令行以下：

   sslstrip -l 10000 2>/dev/null

 sslstrip -h能夠顯示一些參數，其中較經常使用的是-f，在瀏覽器標題欄上顯示一個小鎖的圖標；-k，表明kill session，強行切斷用戶當前鏈接，讓他們從新鏈接網站，便於嗅探數據。

   效果以下：

   step 3：設置ettercap進行嗅探，命令和上次同樣：

       ettercap -T -q -i wlan0 -M arp:remote /192.168.1.30/ /192.168.1.1/

   （因爲ettercap會自動設定ip轉發，因此許多網頁上說的 echo "1">/proc/sys/net/ipv4/ip_forward 這個命令沒有必要。）

   效果以下：

   嗅探環境設置完成了。下面，在宿主機器登錄一些經常使用的由https加密的網站，測試sslstrip的嗅探效果。首先是百度，結果證實，在百度首頁上登陸的用戶名和密碼能夠被監測到，並且正常登陸：

   接下來是我常常買東東的電商amazon.cn，沒有幸免：

   接着測試了QQ Mail，Gmail，Sina，tmall,alipay等一些網站，部分嗅探出敏感信息，部分網站瀏覽有問題，看來針對sslstrip的劫持方法進行了規避。其實sslstrip是在2009年DefCon上提出的方法，通過快5年了，應對方法早就成熟，嗅探效果已經大不如從前。

   還測試了一下京東，登陸時若是不選擇安全控件，那麼用戶名和密碼都是明文。選擇安全登陸後，密碼被加密了，強烈建議在能夠安全登陸時務必這樣作。