Eliminación del SSL (HTTPS), a diferencia de las herramientas publicadas para "romper" el SSL, esta herramienta actúa como proxy editando los links (cambiando el https por http) y agregando un parámetro al final, esto con la finalidad de reconocer en futuras consultas una que tiene que ir por HTTPS de una HTTP, es decir repite la consulta HTTP pasándola por HTTPS (de modo que del navegador a nosotros el trafico va sin cifrado), no es una técnica del todo eficiente pero funciona...
Evasión de portales cautivos, esto es los métodos que utiliza para despistar a los IDS también son validos en gran cantidad de casos contra portales cautivos.
Reglas de evasión y modificación, igual que los IDS tienen reglas para detectar ataques, esta herramienta tiene reglas para diseñar evasiones (o ataques en concreto).
Bueno estas son algunas de las cosas que nos permite hacer esta herramienta, ahora pasemos a lo interesante, el uso...
Esta herramienta se libero con 2 interfaces, de terminal y GTK+, pero realmente la interfaz es tan simple que dudo que necesite muchas explicaciones....
Vamos a ver un poco eso de las reglas de evasión, con el paquete ya se incluyen algunas reglas (inclusive 4 que son de otro modulo, pero se las dejo para que se hagan una idea :P....)
[donde]: [que] => [por que] [<!-- comentario] es decir, donde seria en que parte del paquete HTTP se va a editar, de momento únicamente tenemos los siguientes "dondes":
- url
- todo
- cabeceras
- postdata
El "que" seria una cadena (compatible con regex) que indicaría el patrón a remplazar, igual que en las regex de perl tenemos lo siguiente:
todo: ^GET(\s|\t)+ => POST $1 <!-- GET a POST
En este caso remplazaríamos en todo el paquete (esto por que la linea inicial se toma como en la sección de "todo") las lineas que comienzen con GET, tengan espacios o tabulaciones por GET utilizando los mismos separadores que se encontraron ($1), en este caso siempre que vayamos a usar esta clase de valores se tiene que colocar un espacio antes. Y bueno para dejar claro lo que hace esta regla es pasar por POST todas las GET (obviamente no mueve los parámetros GET a POST, únicamente cambia el método).
Nivel 0, solo actúa de proxy (y si le activaste desactivar SSL entonces lo desactiva).
Nivel 1, Se codifican los parámetros en url encode (parámetros de POST).
Nivel 2, Se remplazan los separadores por algun caracter establecido en la variable $ch y se codifican todos los parámetros (GET y POST) y nombres de directorios y archivos con url encode.
Nivel 3, Adicional se utiliza HTTP Request Smuggling.
En resumen es eso...
Ahora finalmente después de esta "pequeña" introducción al funcionamiento de esta herramienta, se las regalo:
https://sourceforge.net/projects/fhttp/files/Evasor.tar.gz/download
dentro van las 2 versiones, la gráfica y la de terminal.
Saludos, cualquier contribución al proyecto es bien recibido.
2 comentarios:
saludos amigo me parece interesante esta herramienta no hay algun manual y no existe posibilidad de que este programa corra bajo windowS?
UNEXPO: http://sourceforge.net/apps/mediawiki/fhttp/index.php?title=Main_Page checa la nueva versión, en ese wiki esta (mas o menos) documentada, en teoría debería de correr en windows con ActivePerl (o con cygwin instalando perl y demás dependencias).
Publicar un comentario en la entrada