Moxie Marinspike사람이 Blackhat에서 SSL Strip에 대해서 발표를 했었다.
[sslstrip 동작 방식]
victim <---http---> sslstrip <---- https ----> target
(xp) (backtrack) (gmail)
sslstrip은 중간에 프록시 방식으로 동작하며,
중요한것은 victim과 sslstrip과는 http 통신을 하고
sslstrip과 target과는 https 통신을 한다는 것이다.
이 부분은 상당히 중요하다. 만약 victim과 sslstrip이 https통신을 한다면 victim의 IE에서는 인증서를 확인하라는 팝업창이 뜰 것이다. 물론 일반 사용자들은 그냥 "YES"를 누르겠지만 의심이 많은 사람은 인증서 보기를 클릭해 올바른 인증서인지 확인할 것이다.(실제 확인을 해보면 확인안된 인증라고 나온다.)
하지만 sslstrip이 victim과 http로 통신되기 때문에 이런 창을 나타나지 않는다. 결국 사용자는 아무 의심없이 로그인을 할 것이다.
그럼 공격방법을 간단히 설명하겠다.
[1] bt4에서 arpspoof으로 게이트웨이를 속인다.
[2] ip forwarding을 시킨다.
[3] sslstrip을 실행 시킨다.
[4] ettercap을 실행 시킨다.
[5]xp에서 gmail.google.com을 실행 한다.
아래그림에서 주소 부분을 보면 http로 접속되는 것을 알 수 있다. 이 부분이 sslstrip이 하는 중요한 역할 중 하나이다.
원래 gmail은 아래 그림 처럼 https로 접속이 된다.
로그인을 하면 http로 gmail에 접속이 된다.
[6] bt4에서 ettercap을 확인하면 id, password를 획득할 수 있다.
이 기술에 대한 내용은 동영상으로 까지 나와 있을 정도로 상세히 설명되어 있다.
하지만 몇일을 삽질했다.
http로 gmail에 로그인 창이 뜨고 id, password를 입력하면 스니핑은 되지만,
로그인에 성공하지 못하고 다시 gmail로그인 창으로 돌아 오는 현상이 계속 발생되었다.
google까지 검색해 가면서 원인 분석을 했지만 결국 sslstrip을 업그레이드 하니 성공!!!!!
아~~~ 이런 삽질은 정말 허무하다. ㅠㅠ
'Security > Network' 카테고리의 다른 글
| [SideJacking] hamster, ferret를 통한 sidejacking Testing (0) | 2010.06.22 |
|---|---|
| [arpspoofing] Arpspoof을 통한 dns변조 (0) | 2010.06.21 |