Hola a todos, aunque llevo tiempo siguiendo este foro hoy he decidido poner en un hilo una cuestión que me trae de cabeza.

Llevo tiempo usando sslstrip para monitorizar las conexiones SSL y junto con arpspoof pues perfecto de la siguiente manera:


Después miro el archivo.log de sslstrip y listo ahí aparecen los usuarios y contraseñas, pero con un problema. Aparecen, si no tiene iniciada la sesión en la página. Si ya ha iniciado la sesión me aparecen caracteres raros de "id" (secuencia de números).

¿Como puedo obligarle a cerrar la sesión para que tenga que logearse de nuevo?. Con ettercap lo he hecho pero el problema es que ettercap no funciona nada bien con el sslstrip en backtrak. Me da el famoso error "send l3 error".

Gracias a todos.

Bueno, se me olvidaba, ya que estas utilizando dsniff, puedes jugar un poco tambien con otras utilidades incluidas como por ejemplo tcpnice y tcpkill, de esa forma podras "matar" la conexión del usuario y el sitio web con el que interactua, obligandole de esta a autenticarse nuevamente...

Otra opcion, puede ser acceder al router y resetearlo, aunque no se si se le quedara guardada la cookie con la sesion, en ese intervalo de tiempo tan pequeño.

Reseteando el router tampoco conseguirás nada...
La razón? la sesión se mantiene porque el servicio al que esta conectado el usuario es una cuenta de correo como gmail, o algo parecido, que para mantener la sesión almacena una cookie en el navegador del usuario, a efectos prácticos, resetear el router o matar la conexión es exactamente lo mismo. Por otro lado, casi todas las cookies son temporales, así que tienes dos opciones, dejar el tcpkill hasta que la cookie de la sesión expire (lo que te puede llevar tiempo), o la otra opción es como te dije anteriormente, trastear un poco más con dsniff, existe otra utilidad en ese paquete que se llama dnsspoof que es justo para controlar la navegación de un usuario cuando solicita un dominio, por ejemplo "gmail.com", y en lugar de resolver la dirección IP real, resuelve una que el atacante indica, esa seria la solución que realmente te vendría bien. Sin embargo, a donde redirigirlo? para ello yo utilizaría SET y clonaría el sitio web al que trata de conectarse la víctima, con eso ya tienes el vector de ataque completo! te lo resumo en los siguientes pasos:

1. Envenenas como lo has hecho hasta el momento.
2. Inicias el servicio de DNSSPOOF apuntando a una dirección que controlarás con SET.
3. Inicias el "Site Cloner" de SET con un Java Attack por certificado.
4. Capturas los datos ingresados por la victima (login y clave)

Lo siento si ahora he excluido SSLStrip del proceso, pero en esta ocasión no te será útil para lo que quieres hacer, si una conexión SSL/TLS ya ha sido establecida, SSLStrip es inutilizado completamente, ya no servirá absolutamente para nada, lo mejor es lo que te he comentado anteriormente.
Para mayor información sobre SET, puedes leer esta serie de tutoriales:

http://thehackerway.com/2011/09/12/conceptos-basicos-y-avanzados-de-set-social-engineer-toolkit-%e2%80%93-parte-i/

http://thehackerway.com/2011/09/14/conceptos-basicos-y-avanzados-de-set-social-engineer-toolkit-%e2%80%93-spear-phishing-%e2%80%93-parte-ii/

http://thehackerway.com/2011/09/16/conceptos-basicos-y-avanzados-de-set-social-engineer-toolkit-%e2%80%93-web-attack-vectors-%e2%80%93-parte-iii/

http://thehackerway.com/2011/09/19/conceptos-basicos-y-avanzados-de-set-social-engineer-toolkit-%e2%80%93-web-attack-vectors-%e2%80%93-parte-iv/

Son los introductorios, si sigues las siguientes partes y profundizaras aun más en su uso. Con los pasos que te he indicado, creo que conseguirás tu objetivo, te lo digo porque ya lo he probado en el pasado variassss veces y nunca me ha fallado...
Un Saludo.

Muchas gracias por vuestro interes.
Voy a leerme la información que me has pasado adastra y de ese modo hacer pruebas con DNSSPOOF. Gracias porque además estoy aprendiendo bastante con todo ello.

Esta tarde pruebo zosemu y os comento. No se si resultará.

Os tengo informados.