FHTTP es un kit de pentesting completamente enfocado al protocolo HTTP, es decir, únicamente trabaja utilizando el protocolo HTTP, entre las cosas que implementa esta un proxy (obviamente HTTP) el cual esta enfocado al análisis de los IDS (en este caso: análisis = evasión), pero también nos da una gran cantidad de facilidades para atacar básicamente cualquier cosa que soporte HTTP, esto actuando como un proxy y modificando el trafico que recibe, les daré un ejemplo de las posibilidades que nos da esta herramienta:
Eliminación del SSL (HTTPS), a diferencia de las herramientas publicadas para "romper" el SSL, esta herramienta actúa como proxy editando los links (cambiando el https por http) y agregando un parámetro al final, esto con la finalidad de reconocer en futuras consultas una que tiene que ir por HTTPS de una HTTP, es decir repite la consulta HTTP pasándola por HTTPS (de modo que del navegador a nosotros el trafico va sin cifrado), no es una técnica del todo eficiente pero funciona...
Evasión de portales cautivos, esto es los métodos que utiliza para despistar a los IDS también son validos en gran cantidad de casos contra portales cautivos.
Reglas de evasión y modificación, igual que los IDS tienen reglas para detectar ataques, esta herramienta tiene reglas para diseñar evasiones (o ataques en concreto).
Bueno estas son algunas de las cosas que nos permite hacer esta herramienta, ahora pasemos a lo interesante, el uso...
Esta herramienta se libero con 2 interfaces, de terminal y GTK+, pero realmente la interfaz es tan simple que dudo que necesite muchas explicaciones....
Vamos a ver un poco eso de las reglas de evasión, con el paquete ya se incluyen algunas reglas (inclusive 4 que son de otro modulo, pero se las dejo para que se hagan una idea :P....)
[donde]: [que] => [por que] [<!-- comentario] es decir, donde seria en que parte del paquete HTTP se va a editar, de momento únicamente tenemos los siguientes "dondes":
url
todo
cabeceras
postdata
El "que" seria una cadena (compatible con regex) que indicaría el patrón a remplazar, igual que en las regex de perl tenemos lo siguiente:
todo: ^GET(\s|\t)+ => POST $1 <!-- GET a POST
En este caso remplazaríamos en todo el paquete (esto por que la linea inicial se toma como en la sección de "todo") las lineas que comienzen con GET, tengan espacios o tabulaciones por GET utilizando los mismos separadores que se encontraron ($1), en este caso siempre que vayamos a usar esta clase de valores se tiene que colocar un espacio antes. Y bueno para dejar claro lo que hace esta regla es pasar por POST todas las GET (obviamente no mueve los parámetros GET a POST, únicamente cambia el método).
Nivel 0, solo actúa de proxy (y si le activaste desactivar SSL entonces lo desactiva).
Nivel 1, Se codifican los parámetros en url encode (parámetros de POST).
Nivel 2, Se remplazan los separadores por algun caracter establecido en la variable $ch y se codifican todos los parámetros (GET y POST) y nombres de directorios y archivos con url encode.
Nivel 3, Adicional se utiliza HTTP Request Smuggling.
En resumen es eso...
Ahora finalmente después de esta "pequeña" introducción al funcionamiento de esta herramienta, se las regalo:
https://sourceforge.net/projects/fhttp/files/Evasor.tar.gz/download
dentro van las 2 versiones, la gráfica y la de terminal.
Saludos, cualquier contribución al proyecto es bien recibido.
Fuente: http://hackingtelevision.blogspot.com/2010/12/fhttp-proxy-evasor.html
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario