用MITMf替换HTTPS站点上的图像？

Question

我使用MITMf来替换HTTP上的图像，一切都很好。但是，我怎样才能取代像Google或Facebook这样使用HTTPS的网站上的图片呢？

我的实际命令：

sudo python mitmf.py -i wlan0 --spoof --arp --hsts --gateway 192.168.1.254 --target 192.168.1.43 --imgrand --img-dir /home/pi/spof/better/MITMf/img/

Answer 1

对于像google和facebook这样的网站，有几个浏览器预先加载了HSTS (强制HTTPS)和HPKP (证书/公钥钉扎)设置。这意味着浏览器知道只有https才能访问这些站点，以及证书的外观。这意味着剥离SSL和HSTS报头(即您的--hsts选项)不会对这些站点起作用。它只适用于浏览器还不知道HTTPS是强制性的站点。

您需要的是在中间执行真正的SSL人员，在中间有一个HTTPS连接，从浏览器连接到中间的代理，从代理连接到真正的服务器。在这种情况下，到客户端的HTTPS连接是由代理创建的证书签名的，相关的代理CA需要在browser/OS中显式地设置为受信任的CA。

但是，从丝裂上看，我不认为它提供了在中间执行实际SSL人员的选项，它只能执行SSL剥离(即降级为普通HTTP)，这对预加载的HSTS/HPKP没有帮助。因此，您需要使用其他工具，如米特姆代理。

Answer 2

使用HTTPS的全部目的是防止这种破坏连接完整性的攻击。您需要执行一个SSL MiTM并破坏SSL。然而，破坏SSL将意味着用户的浏览器将提示用户在SSL中出现这种中断，您需要依赖于用户忽略这些错误。另外，请记住，由于HSTS、Certificate Pre Loading, and Pinning等机制的存在，打破SSL的难度越来越大。