事情背景
同事甲处于好奇心在内部使用ettercap跑了一圈,没想到跑出了一个明文的企业邮箱账号和密码(并验证有效,为同事乙的),ettercap是一个欺骗嗅探渗透工具,它可以执行arp欺骗攻击捕获网络中的数据。
原因分析
第一反应是企业邮箱采用的是https,怎么可能获取到明文的账号密码呢?还专门确认了一下。
难道说https版本存在漏洞,被ettercap解析了,下面来论证一下:
使用fiddler进行中间人攻击测试:
1.fiddler接到客户端的https请求,fiddler将请求转发给服务器
2.服务器生成公钥证书,返回给fiddler;fiddler拦截下真的公钥证书,并生成伪造的公钥证书给客户端;
3.客户端使用伪造的公钥证书加密共享密钥发送给fiddler,fiddler使用伪造的私钥解密获取共享密钥
4.fiddler将解密后的共享密钥,使用真正的公钥加密发送给服务器端,服务器使用共享密钥与fiddler通信
5.fiddler使用共享密钥与客户端通信
结论:无果,获取的仍是加密的报文,中间人攻击失败。
SSL降级攻击漏洞测试:
在握手过程中这样确认加密协议版本:
1. 由客户端(如浏览器)发送第一个数据包 ClientHello,这个数据包中保存着客户端支持的加密协议版本。
2. 服务器收到这个ClientHello数据包,查看里面客户端支持的加密协议版本,然后匹配服务器自己支持的加密协议版本,从而确认双方应该用的加密协议版本。
3. 服务器发送ServerHello数据包给客户端,告诉客户端要使用什么加密协议版本。
在上述过程中,如果客户端发送给服务器的ClientHello数据包中说自己仅支持某个有漏洞的旧版本加密协议,服务器有两种选择可能:
1. 服务器支持很多版本,其中包括有漏洞的旧版本和新版本(包括了SSLv3.0协议),那么服务器会认可使用有漏洞的旧版本协议,从而告诉客户端使用有漏洞的旧版本。
2. 服务器不支持有漏洞的旧版本,拒绝客户端的这次请求,握手失败。
结论:但该证书显示使用为最新版本SSL协议,不存在降级攻击风险。
千钧一发
突然间想到会不会是跟第三方邮件系统有关,foxmail、outlook……
因为习惯用浏览器登录邮箱,所以下载了个outlook测试,刚打开就发现了猫腻……
默认是不开启SSL加密连接,配置好outlook后,使用wireshark抓到了邮箱明文的账号密码,顿时柳暗花明,屁颠屁颠问了同事乙,果不其然他用的就是outlook,
同时也拓展验证了foxmail默认也不打ssl,可以抓到明文的邮箱用户名和密码。
结论
总结一下,之所以能用ettercap嗅探工具在局域网内轻而易举地拿到邮箱的明文账号和密码,是因为在使用foxmail和outlook第三方软件时没有勾选SSL加密选项(默认不开启),所以希望看过这篇文章的小伙伴们,能受到启发,毕竟办公邮箱还是很重要的,这样裸奔在局域网中不是很好。
网友评论