IT/ㄴ Post-Connection Attack

[Linux] HTTPS 웹사이트 우회하여 접속하기 [bettercap / hstshijack]

TIENE 2023. 7. 8. 20:35
반응형

- HTTP는 평문으로 데이터를 주고 받는 프로토콜이다.

- 따라서, 보안에 취약하기 때문에 HTTPS 프로토콜이 개발되었다.

- HTTP 의 응용 계층과 TCP 전송 계층 사이에 SSL/TLS 의 보안 계층을 추가하여, HTTP 메시지를 암호화하여 스니핑 공격을 방어한다.

 

- 그렇기 때문에, HTTPS 웹사이트 자체에서 스니핑을 하면 암호화되어 그 내용을 볼 수 없다.

- HTTPS로 주고 받는 데이터를 스니핑하기위해서 HTTP로 다운그레이드를 진행하여 평문으로 오가는 데이터를 스니핑 할 수 있다.

 

 

[HTTPS 웹사이트 우회하여 접속하기]


1. HTTP 다운그레이드 공격 전 상태

- 먼저, 공격 전/후 상태를 확인해본다.

- 공격 전은 연결이 보호되고 있음을 보여주고 있다.

- 자물쇠를 눌러보면 볼 수 있다.

 

 

 


2. HTTPS 웹사이트 송/수신 데이터 스니핑 준비

- 먼저, caplet를 수정하여, 명령어를 추가한다.

 - 아래 링크에서 caplet 사용법을 참고하면 된다.

 

[Linux] bettercap의 caplet을 이용하여 ARP Spoofing 해보기

 

[Linux] bettercap의 caplet을 이용하여 ARP Spoofing 해보기

- [Linux] Kail (Bettercap) 로 ARP Spoofing 해보기 를 이어서 진행하는 내용이다. - bettercap에서 지원하는 caplet(Script)를 이용하여 빠르고 간편하게 공격(?) 할 수 있다. [Linux] Kail (Bettercap) 로 ARP Spoofing 해보

a-gyuuuu.tistory.com

 

set net.sniff.local true

- Local에서 나오는 데이터도 모두 캡쳐하는 명령어

- HTTPS 우회 캐블릿을 사용하면 데이터가 마치 우리 컴퓨터로부터 전송되는 것처럼 보인다.

- 그러한 이유로 bettercap은 입력한 패스워드가 내 컴퓨터에 속한 것이라고 생각하고 이 패스워드를 내 화면에 표시하지 않는다.

- 위의 명령어를 입력하여 다운그레이드할 웹사이트에 전송된 사용자 이름과 패스워드를 볼수 있게 된다.

 

 

- 만들어둔 caplet을 실행하여 Spoofing을 시작한다.

- 그리고 hstshijack caplet 또한 시작하여 HTTPS를 HTTP로 다운그레이드할 공격을 마친다.

 

- hstshijack caplet가 실행되면서 관련 정보가 함께 출력된다.

 

 

 


3. 공격 후 상태 확인하기

- HTTPS로의 접속을 한번 했기 때문에 사용중인 웹브라우저의 설정에 진입하여 캐쉬나 기타 쿠키를 지워주는 것이 좋다.

- 해당 캐쉬나 쿠키에 연결 정보가 담겨 있기 때문이다.

 

 

[Chrome] 크롬 인터넷 사용 기록 삭제 및 보안 DNS 끄기

 

[Chrome] 크롬 인터넷 사용 기록 삭제 및 보안 DNS 끄기

[크롬 인터넷 사용 기록 삭제 및 보안 DNS 끄기] 1. 인터넷 사용 기록 삭제하기 - 점 세개 아이콘을 누른 후 [설정]으로 진입한다. 2. [개인 정보 보호 및 보안] - [인터넷 사용 기록 삭제] 로 이동한다

a-gyuuuu.tistory.com

 

 

- 위 절차를 마치고 다시 접속해보면, 안전하지 않다는 경고창이 출력된다.

- HTTPS로의 접속을 다운그레이드하여서 HTTP으로 접속했다.

 

 

 

- 실제로, 다운그레이드가 되었는지 확인해본다.

- Login 창에서 임의의 정보를 넣어 접속을 시도한다.

- 당연히 접속은 불가하다.

 

- bettercap에서 위에서 입력했던 정보가 그대로 출력된다.

- HTTPS 웹사이트를 HTTP로 다운그레이드하여, 입력한 정보가 모두 평문으로 송/수신된 것을 확인할 수 있다.


 

반응형