Атака Man-In-The-Middle на PokerStars (перехват ssl трафика покерного клиента)

Discussion in 'Песочница' started by justcoolgeo, 2 Jun 2015.

  1. justcoolgeo

    justcoolgeo New Member

    Joined:
    2 Jun 2015
    Messages:
    10
    Likes Received:
    1
    Reputations:
    0
    Привет форумчане!
    Прочел блог на хабре http://habrahabr.ru/post/213397/
    Хочу сделать ssl (tcp) proxy для перехвата трафика, но загвоздка в следующем, клиент PokerStars коннектится на сервак 77.87.178.74:26002, на этом серваке отключен ping!!!

    Вопрос к знатокам:
    1. как мне узнать его dns имя?
    2. или как-нибудь можно замутить атаку MitM ssl(tcp) без dns имени?

    Заранее спасибо!!!
     
  2. Mister_Bert0ni

    Mister_Bert0ni Reservists Of Antichat

    Joined:
    10 May 2015
    Messages:
    142
    Likes Received:
    190
    Reputations:
    57
    Если я не ошибаюсь то MITM актуальна в одном сегменте сети...Если все было так просто то все бы были богачами))
     
    kaskad likes this.
  3. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,066
    Likes Received:
    1,565
    Reputations:
    40
    неее. mitm не только арп спуф, речь наверное может идти о том как попасть в сессию
     
  4. frank

    frank Member

    Joined:
    8 May 2015
    Messages:
    200
    Likes Received:
    95
    Reputations:
    28
    1. у этого сервера может и не быть днс имени, т.е. ситуация, когда идет обращение на покер стар, сервак к которому обращаются является просто балансировщиком нагрузки и он редеректит на другие фронты, которые уже и обрабатывают запросы.А так, сервис whois вам в помощь...по ip вытаскиваете всю информацию.

    2. про проксю посередине или MITM. уже частично я объяснял тонкость вот тут
    PHP:
    http:/threads/425286/#post-3853231
    если нужно что-то про митм подробнее, спрашивайте.
    И про не которые заблуждения, прокся не обязательно должна быть в одной локале с жертвой (в одной подсети), но так проще конечно.

    Дружище BabaDook, и все-таки согласись, что арп спуфинг, это не митм как таковой :) А просто разновидность и даже скорее способ достижения man-in-the-middle :) Ваше мнение , сэр? :)
     
  5. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,582
    Likes Received:
    1,310
    Reputations:
    1,557
    Можно использовать ProxyCap и Fiddler/Charles. Но клиент может не использовать http(s), а работать по своему собственному протоколу. Также может использоваться Certificate Pinning для защиты от подмены сертификата и перехвата трафа, в этом случае придется патчить клиент.
     
    frank likes this.
  6. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    А будет ли в этом смысл? Маловероятно, что сервер слепо доверяет данным клиента.
    Для начала хорошо бы wireshark/tcpdump'ом снять трафик, попробовать его проанализировать и от это уже отталкиваться для организации 'mitm'.
     
  7. justcoolgeo

    justcoolgeo New Member

    Joined:
    2 Jun 2015
    Messages:
    10
    Likes Received:
    1
    Reputations:
    0

    Уважаемый frank, на счет dns имени - у любой тачки хоть у сервера, хоть у обычного АРМ есть имя!
    Просто стоит защита, например, я работаю в организации у которой есть корпоративная сеть между 55-ти организациями, так вот
    когда проходили переаттестацию по степени защищенности нам настроили VipNet Coordinator HW 1000 так, чтобы web-сервер из локальной сети не пинговался!
    Ведь ping - это просто посылается сообщение hello на сервак на определённый порт, на которое сервак в свою очередь здоровается и
    в итоге замеряется скорость обмена...

    А сервер PokerStars не культурный - не здоровается в ответ :)
     
  8. frank

    frank Member

    Joined:
    8 May 2015
    Messages:
    200
    Likes Received:
    95
    Reputations:
    28
    Это да...или понять хотя бы, а реально завернуть трафик жертвы на себя :) (ну так, отбросим остальные тех аспекты. как SSL, отличные от HTTP(s) протоколы, дампинг SSL, Certificate Pinning). А в целом все эти достаточно давно существующие ресурсы типа pokerstar очень хорошо закрыты.
     
  9. justcoolgeo

    justcoolgeo New Member

    Joined:
    2 Jun 2015
    Messages:
    10
    Likes Received:
    1
    Reputations:
    0
    Уважаемый ZodiaX, можете подробнее описать какую информацию я могу получить wireshark/tcpdump'ом?

    У меня есть Kali linux и wireshark, если я не ошибаюсь, я использовал для хака соседской вафельки :)
     
  10. frank

    frank Member

    Joined:
    8 May 2015
    Messages:
    200
    Likes Received:
    95
    Reputations:
    28
    :) Имя машины в сети и публичное днс имя это разные вещи. :) А HW1000 просто у вас скорее всего стоит сетевым интерфейсом в режиме 3 или выше, Эти режимы блокируют icmp запросы, если не создавать правила исключения. По факту это просто аттестованый на требования фсб и фстэк фаервол с функцией маршрутизации и шифрования(если используется режим полутунель) Я знаю что такое випнетовский координатор, работал с ними :) Я вообще очень хорошо знаю линейку по и железа випнет :) и не только випнета :) ну а раз между 55-ти организациями и випнет, не ПФР часом ли или РЖД ? :)
     
    justcoolgeo likes this.
  11. frank

    frank Member

    Joined:
    8 May 2015
    Messages:
    200
    Likes Received:
    95
    Reputations:
    28
    Ааааа точно... у вас тоже решался когда то вопрос випнет или континет :) и вроде даже как, для защиты ваших веб ресурсов, ну по крайне мере в ряде регионов, WAF Imperva закупалась... хотя инфа может быть устаревшая :)
     
  12. justcoolgeo

    justcoolgeo New Member

    Joined:
    2 Jun 2015
    Messages:
    10
    Likes Received:
    1
    Reputations:
    0
  13. frank

    frank Member

    Joined:
    8 May 2015
    Messages:
    200
    Likes Received:
    95
    Reputations:
    28
    Можно и в этой статье пошагово человек описал как :). Только он приводил пример все-таки своей машины, к которой он имеет доступ и может на ней проводить любые настройки фактически.
     
  14. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    Вы получите дамп трафика из которого уже приблизительно будет видно, используется ли ssl/tls или что-то другое.

    Без dns для перенаправления трафика можно попробовать использовать netsh/iptables.

    ps: все АПКШ СЗИ отечественного производства редкое УГ;)
     
  15. frank

    frank Member

    Joined:
    8 May 2015
    Messages:
    200
    Likes Received:
    95
    Reputations:
    28
    зато STERRa умеет на L2 работать :) наконец то :) ... Хотя вроде как инфотекс тоже год назад анонсировал это :) Но в целом согласен! Настраивается порой не тревиально, работает пока не трогаешь и не дышишь в ту сторону.
     
  16. justcoolgeo

    justcoolgeo New Member

    Joined:
    2 Jun 2015
    Messages:
    10
    Likes Received:
    1
    Reputations:
    0
    Ладно, допустим я перенаправил трафик с клиента PokerStars на localhost (127.0.0.1)

    А что мне тогда в сертификате указывать, какой домен? :)
    CN=*.playdata.co.uk - это можно заменить на *.* ?

    например:
    makecert -n CN=MyCA -cy authority -a sha1 -sv “MyCA.pvk” -r “MyCA.cer” //Создаём сертификат ЦА
    certmgr -add -all -c “MyCA.cer” -s -r LocalMachine Root //Добавляем в довереные коневые центры сертификаты
    makecert -n CN=*.playdata.co.uk -ic MyCA.cer -iv MyCA.pvk -a sha1 -sky exchange -pe -sr currentuser -ss my SslServer.cer
    //Создаём серверный сертификат
     
  17. frank

    frank Member

    Joined:
    8 May 2015
    Messages:
    200
    Likes Received:
    95
    Reputations:
    28
    можно...это просто будет означать что сертификат распространяется на любые доменные имена 4 уровня для данного домена playdata.co.uk

    Но, корневик который с генерируете, MyCA должен быть в доверенном корневом на машине, иначе браузер будет блокировать.

    UPD сразу не обратил внимание, у вас второй строкой экспорт в машину стоит :)
     
  18. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    ничего не говори про С-Терру... с этими железками я года три "развлекался":confused:
    если не учитывать утечку памяти в корневом процессе, ежемесячные перезагрузки и потерю пакетов на длинных каналах (что для UDP/ipsec критично) в остальном нормальные железки:)
    А, забыл еще процедуру обновления с разворотом вм и загрузкой по сети..

    Попробуйте перехватить поля сертификата в сессии, сразу будет понятно какой серт генерить.
     
    frank likes this.
  19. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,066
    Likes Received:
    1,565
    Reputations:
    40
    Интересная конечно тема. Всё никак руки не доходили до инъекции сертификата
     
  20. frank

    frank Member

    Joined:
    8 May 2015
    Messages:
    200
    Likes Received:
    95
    Reputations:
    28
    Ну zodiaX выше писал сделать tcpdump запроса к серверу, а потом тем же шарком посмотреть.. вы клиента трафик хотите попробовать перехватить? или все-таки через браузерное подключение?

    UPD хотя... можно и не заморачиваться. Если рассматривать классическую цепочку user->proxy->server. То мы можем любой SSL серт испоьзовать между user->proxy вне зависимости какой он идет реально, с этим реальным будет работать прокси, мы собираем расшифрованный трафик на прокси в обе стороны. Ну это конечно если работаем через браузер. а не через клиента. у которого могут быт вшиты настройки проверки валидности сертификата.
     
    BabaDook likes this.