Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-21 20:23:18 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['generic-methodologies-and-resources/pentesting-network/READ

Browse source
This commit is contained in:
Translator 2024-08-21 08:52:06 +00:00
parent e86486e9cb
commit 3445ea2d42
1 changed files with 31 additions and 31 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

62
generic-methodologies-and-resources/pentesting-network/README.md
View file

@ -20,15 +20,15 @@ Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-s
{% embed url="https://go.intigriti.com/hacktricks" %}
## Discovering hosts from the outside
## Descubriendo hosts desde el exterior
Esta va a ser una **breve sección** sobre cómo encontrar **IPs que responden** desde el **Internet**.\
En esta situación tienes un **rango de IPs** (quizás incluso varios **rangos**) y solo necesitas encontrar **qué IPs están respondiendo**.
En esta situación tienes un **alcance de IPs** (quizás incluso varios **rangos**) y solo necesitas encontrar **qué IPs están respondiendo**.
### ICMP
Esta es la forma **más fácil** y **rápida** de descubrir si un host está activo o no.\
Puedes intentar enviar algunos **paquetes ICMP** y **esperar respuestas**. La forma más sencilla es simplemente enviar una **solicitud de eco** y esperar la respuesta. Puedes hacer eso usando un simple `ping` o usando `fping` para **rangos**.\
Podrías intentar enviar algunos **paquetes ICMP** y **esperar respuestas**. La forma más sencilla es simplemente enviar una **solicitud de eco** y esperar la respuesta. Puedes hacer eso usando un simple `ping` o usando `fping` para **rangos**.\
También podrías usar **nmap** para enviar otros tipos de paquetes ICMP (esto evitará filtros a la solicitud-respuesta de eco ICMP común).
```bash
ping -c 1 199.66.11.4 # 1 echo request to a host
@ -63,7 +63,7 @@ La línea de nmap propuesta anteriormente probará los **1000 puertos UDP princi
### Descubrimiento de puertos SCTP
```bash
#Probably useless, but it's pretty fast, why not trying?
#Probably useless, but it's pretty fast, why not try it?
nmap -T4 -sY -n --open -Pn <IP/range>
```
## Pentesting Wifi
@ -119,7 +119,7 @@ Pero, como estás en la **misma red** que los otros hosts, puedes hacer **más c
* Si **haces ping** a una **dirección de difusión de subred**, el ping debería llegar a **cada host** y podrían **responder** a **ti**: `ping -b 10.10.5.255`
* Haciendo ping a la **dirección de difusión de la red** podrías incluso encontrar hosts dentro de **otras subredes**: `ping -b 255.255.255.255`
* Usa las flags `-PE`, `-PP`, `-PM` de `nmap` para realizar el descubrimiento de hosts enviando respectivamente **eco ICMPv4**, **marca de tiempo** y **solicitudes de máscara de subred:** `nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24`
* Usa las flags `-PE`, `-PP`, `-PM` de `nmap` para realizar el descubrimiento de hosts enviando respectivamente **ICMPv4 echo**, **timestamp**, y **solicitudes de máscara de subred:** `nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24`
### **Wake On Lan**
@ -156,7 +156,7 @@ syn.scan 192.168.1.0/24 1 10000 #Ports 1-10000
Hay 2 opciones para escanear un puerto UDP:
* Enviar un **paquete UDP** y verificar la respuesta _**ICMP unreachable**_ si el puerto está **cerrado** (en varios casos, ICMP será **filtrado** por lo que no recibirás ninguna información si el puerto está cerrado o abierto).
* Enviar un **paquete UDP** y verificar la respuesta _**ICMP unreachable**_ si el puerto está **cerrado** (en varios casos, ICMP será **filtrado**, por lo que no recibirás ninguna información si el puerto está cerrado o abierto).
* Enviar **datagramas formateados** para provocar una respuesta de un **servicio** (por ejemplo, DNS, DHCP, TFTP y otros, como se lista en _nmap-payloads_). Si recibes una **respuesta**, entonces, el puerto está **abierto**.
**Nmap** **mezclará ambas** opciones usando "-sV" (los escaneos UDP son muy lentos), pero ten en cuenta que los escaneos UDP son más lentos que los escaneos TCP:
@ -173,7 +173,7 @@ nmap -sU -sV --version-intensity 0 -n -T4 <IP>
```
### SCTP Scan
**SCTP (Stream Control Transmission Protocol)** está diseñado para ser utilizado junto con **TCP (Transmission Control Protocol)** y **UDP (User Datagram Protocol)**. Su principal propósito es facilitar el transporte de datos de telefonía a través de redes IP, reflejando muchas de las características de confiabilidad que se encuentran en **Signaling System 7 (SS7)**. **SCTP** es un componente central de la familia de protocolos **SIGTRAN**, que tiene como objetivo transportar señales SS7 a través de redes IP.
**SCTP (Stream Control Transmission Protocol)** está diseñado para ser utilizado junto con **TCP (Transmission Control Protocol)** y **UDP (User Datagram Protocol)**. Su principal propósito es facilitar el transporte de datos de telefonía a través de redes IP, reflejando muchas de las características de fiabilidad que se encuentran en **Signaling System 7 (SS7)**. **SCTP** es un componente central de la familia de protocolos **SIGTRAN**, que tiene como objetivo transportar señales SS7 a través de redes IP.
El soporte para **SCTP** es proporcionado por varios sistemas operativos, como **IBM AIX**, **Oracle Solaris**, **HP-UX**, **Linux**, **Cisco IOS** y **VxWorks**, lo que indica su amplia aceptación y utilidad en el campo de las telecomunicaciones y redes.
@ -198,7 +198,7 @@ nmap -T4 -p- -sY -sV -sC -F -n -oA SCTAllScan <IP>
### Revelando direcciones IP internas
**Los routers, firewalls y dispositivos de red mal configurados** a veces responden a sondas de red utilizando **direcciones de origen no públicas**. **tcpdump** se puede utilizar para identificar paquetes recibidos de direcciones privadas durante las pruebas. Específicamente, en Kali Linux, los paquetes se pueden capturar en la **interfaz eth2**, que es accesible desde Internet público. Es importante tener en cuenta que si tu configuración está detrás de un NAT o un Firewall, es probable que tales paquetes sean filtrados.
**Los routers, firewalls y dispositivos de red mal configurados** a veces responden a sondas de red utilizando **direcciones de origen no públicas**. **tcpdump** se puede utilizar para identificar paquetes recibidos de direcciones privadas durante las pruebas. Específicamente, en Kali Linux, se pueden capturar paquetes en la **interfaz eth2**, que es accesible desde Internet público. Es importante tener en cuenta que si tu configuración está detrás de un NAT o un Firewall, es probable que tales paquetes sean filtrados.
```bash
tcpdump nt -i eth2 src net 10 or 172.16/12 or 192.168/16
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
@ -218,7 +218,7 @@ sudo tcpdump -i <INTERFACE> udp port 53 #Listen to DNS request to discover what
tcpdump -i <IFACE> icmp #Listen to icmp packets
sudo bash -c "sudo nohup tcpdump -i eth0 -G 300 -w \"/tmp/dump-%m-%d-%H-%M-%S-%s.pcap\" -W 50 'tcp and (port 80 or port 443)' &"
```
Se puede, también, capturar paquetes de una máquina remota a través de una sesión SSH con Wireshark como la GUI en tiempo real.
Se puede, además, capturar paquetes de una máquina remota a través de una sesión SSH con Wireshark como la GUI en tiempo real.
```
ssh user@<TARGET IP> tcpdump -i ens160 -U -s0 -w - | sudo wireshark -k -i -
ssh <USERNAME>@<TARGET IP> tcpdump -i <INTERFACE> -U -s0 -w - 'port not 22' | sudo wireshark -k -i - # Exclude SSH traffic
@ -274,7 +274,7 @@ En los conmutadores modernos, esta vulnerabilidad ha sido corregida.
El **Dynamic Trunking Protocol (DTP)** está diseñado como un protocolo de capa de enlace para facilitar un sistema automático de trunking, permitiendo que los conmutadores seleccionen automáticamente puertos para el modo trunk (Trunk) o modo no trunk. La implementación de **DTP** a menudo se considera indicativa de un diseño de red subóptimo, subrayando la importancia de configurar manualmente los trunks solo donde sea necesario y asegurando una documentación adecuada.
Por defecto, los puertos de los conmutadores están configurados para operar en modo Dynamic Auto, lo que significa que están listos para iniciar el trunking si son solicitados por un conmutador vecino. Surge una preocupación de seguridad cuando un pentester o atacante se conecta al conmutador y envía un marco DTP Desirable, obligando al puerto a entrar en modo trunk. Esta acción permite al atacante enumerar VLANs a través del análisis de marcos STP y eludir la segmentación de VLAN configurando interfaces virtuales.
Por defecto, los puertos de los conmutadores están configurados para operar en modo Dynamic Auto, lo que significa que están listos para iniciar el trunking si un conmutador vecino lo solicita. Surge una preocupación de seguridad cuando un pentester o atacante se conecta al conmutador y envía un marco DTP Desirable, obligando al puerto a entrar en modo trunk. Esta acción permite al atacante enumerar VLANs a través del análisis de marcos STP y eludir la segmentación de VLAN al configurar interfaces virtuales.
La presencia de DTP en muchos conmutadores por defecto puede ser explotada por adversarios para imitar el comportamiento de un conmutador, obteniendo así acceso al tráfico a través de todas las VLANs. El script [_**dtpscan.sh**_](https://github.com/commonexploits/dtpscan) se utiliza para monitorear una interfaz, revelando si un conmutador está en modo Default, Trunk, Dynamic, Auto o Access—siendo este último la única configuración inmune a ataques de VLAN hopping. Esta herramienta evalúa el estado de vulnerabilidad del conmutador.
@ -339,7 +339,7 @@ sudo dhclient -v eth0.30
```
#### Automatic VLAN Hopper
El ataque discutido de **Dynamic Trunking y la creación de interfaces virtuales para descubrir hosts dentro** de otras VLANs se **realiza automáticamente** con la herramienta: [**https://github.com/nccgroup/vlan-hopping---frogger**](https://github.com/nccgroup/vlan-hopping---frogger)
El ataque discutido de **Dynamic Trunking y creación de interfaces virtuales para descubrir hosts dentro** de otras VLANs se **realiza automáticamente** con la herramienta: [**https://github.com/nccgroup/vlan-hopping---frogger**](https://github.com/nccgroup/vlan-hopping---frogger)
#### Double Tagging
@ -372,7 +372,7 @@ El ataque se ejecuta creando un **paquete que lleva la dirección IP del cliente
**Pasos Clave del Ataque:**
1. **Creación de un Paquete:** Se crea un paquete especialmente diseñado para incluir la dirección IP del cliente objetivo pero con la dirección MAC del router.
1. **Creación de un Paquete:** Se crea un paquete especialmente para incluir la dirección IP del cliente objetivo pero con la dirección MAC del router.
2. **Explotación del Comportamiento del Router:** El paquete creado se envía al router, que, debido a la configuración, redirige el paquete al cliente objetivo, eludiendo el aislamiento proporcionado por las configuraciones de VLAN privada.
### VTP Attacks
@ -413,7 +413,7 @@ yersinia stp -attack 3
```
#### **Ataque STP TCP**
Cuando se envía un TCP, la tabla CAM de los switches se eliminará en 15s. Luego, si estás enviando continuamente este tipo de paquetes, la tabla CAM se reiniciará continuamente (o cada 15 segundos) y cuando se reinicia, el switch se comporta como un hub.
Cuando se envía un TCP, la tabla CAM de los switches se eliminará en 15s. Luego, si estás enviando continuamente este tipo de paquetes, la tabla CAM se reiniciará continuamente (o cada 15 segundos) y cuando se reinicie, el switch se comporta como un hub.
```bash
yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen
@ -421,7 +421,7 @@ yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen
#### **Ataque de Raíz STP**
El atacante simula el comportamiento de un switch para convertirse en la raíz STP de la red. Luego, más datos pasarán a través de él. Esto es interesante cuando estás conectado a dos switches diferentes.\
Esto se hace enviando paquetes BPDUs CONF que dicen que el valor de **prioridad** es menor que la prioridad real del switch raíz actual.
Esto se hace enviando paquetes BPDUs CONF diciendo que el valor de **prioridad** es menor que la prioridad real del switch raíz actual.
```bash
yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root
@ -506,7 +506,7 @@ Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds
**DoS**
**Se pueden realizar dos tipos de DoS** contra servidores DHCP. El primero consiste en **simular suficientes hosts falsos para usar todas las direcciones IP posibles**.\
Este ataque solo funcionará si puedes ver las respuestas del servidor DHCP y completar el protocolo (**Discover** (Comp) --> **Offer** (servidor) --> **Request** (Comp) --> **ACK** (servidor)). Por ejemplo, esto **no es posible en redes Wifi**.
Este ataque funcionará solo si puedes ver las respuestas del servidor DHCP y completar el protocolo (**Discover** (Comp) --> **Offer** (servidor) --> **Request** (Comp) --> **ACK** (servidor)). Por ejemplo, esto **no es posible en redes Wifi**.
Otra forma de realizar un DoS de DHCP es enviar un **paquete DHCP-RELEASE utilizando como código fuente cada IP posible**. Entonces, el servidor pensará que todos han terminado de usar la IP.
```bash
@ -528,8 +528,8 @@ A continuación se presentan las opciones de comando para configurar el servidor
* **IP del router/puerta de enlace original**: Usa `-r 10.0.0.1` para especificar la dirección IP del router o puerta de enlace legítima.
* **IP del servidor DNS primario**: Usa `-p 10.0.0.100` para establecer la dirección IP del servidor DNS malicioso que controlas.
* **IP del servidor DNS secundario**: Opcionalmente, usa `-s 10.0.0.1` para establecer una IP de servidor DNS secundario.
* **Máscara de red local**: Usa `-n 255.255.255.0` para definir la máscara de red para la red local.
* **Interfaz para tráfico DHCP**: Usa `-I eth1` para escuchar tráfico DHCP en una interfaz de red específica.
* **Máscara de red de la red local**: Usa `-n 255.255.255.0` para definir la máscara de red para la red local.
* **Interfaz para tráfico DHCP**: Usa `-I eth1` para escuchar el tráfico DHCP en una interfaz de red específica.
* **Dirección de configuración WPAD**: Usa `-w “http://10.0.0.100/wpad.dat”` para establecer la dirección para la configuración WPAD, ayudando en la interceptación de tráfico web.
* **Suplantar la IP de la puerta de enlace predeterminada**: Incluye `-S` para suplantar la dirección IP de la puerta de enlace predeterminada.
* **Responder a todas las solicitudes DHCP**: Incluye `-R` para hacer que el servidor responda a todas las solicitudes DHCP, pero ten en cuenta que esto es ruidoso y puede ser detectado.
@ -547,7 +547,7 @@ Aquí hay algunas de las tácticas de ataque que se pueden utilizar contra imple
* Ataque al servidor RADIUS con contenido EAP malformado _\*\*_(exploits)
* Captura de mensajes EAP y cracking de contraseñas offline (EAP-MD5 y PEAP)
* Forzar la autenticación EAP-MD5 para eludir la validación del certificado TLS
* Inyectar tráfico de red malicioso al autenticar usando un hub o similar
* Inyectar tráfico de red malicioso al autenticar utilizando un hub o similar
Si el atacante está entre la víctima y el servidor de autenticación, podría intentar degradar (si es necesario) el protocolo de autenticación a EAP-MD5 y capturar el intento de autenticación. Luego, podría realizar fuerza bruta utilizando:
```
@ -574,7 +574,7 @@ Tenga en cuenta que RIPv2 admite autenticación MD5 mientras que RIPng no incluy
### EIGRP Attacks
**EIGRP (Enhanced Interior Gateway Routing Protocol)** es un protocolo de enrutamiento dinámico. **Es un protocolo de vector de distancia.** Si no hay **autenticación** y configuración de interfaces pasivas, un **intruso** puede interferir con el enrutamiento de EIGRP y causar **envenenamiento de tablas de enrutamiento**. Además, la red EIGRP (en otras palabras, el sistema autónomo) **es plana y no tiene segmentación en zonas**. Si un **atacante inyecta una ruta**, es probable que esta ruta **se propague** por todo el sistema autónomo de EIGRP.
**EIGRP (Enhanced Interior Gateway Routing Protocol)** es un protocolo de enrutamiento dinámico. **Es un protocolo de vector de distancia.** Si no hay **autenticación** y configuración de interfaces pasivas, un **intruso** puede interferir con el enrutamiento de EIGRP y causar **envenenamiento de tablas de enrutamiento**. Además, la red EIGRP (en otras palabras, el sistema autónomo) **es plana y no tiene segmentación en zonas**. Si un **atacante inyecta una ruta**, es probable que esta ruta **se propague** por todo el sistema EIGRP autónomo.
Atacar un sistema EIGRP requiere **establecer un vecindario con un enrutador EIGRP legítimo**, lo que abre muchas posibilidades, desde reconocimiento básico hasta diversas inyecciones.
@ -584,15 +584,15 @@ Atacar un sistema EIGRP requiere **establecer un vecindario con un enrutador EIG
[eigrp-attacks.md](eigrp-attacks.md)
{% endcontent-ref %}
[**Coly**](https://code.google.com/p/coly/) tiene capacidades para interceptar transmisiones de EIGRP (Enhanced Interior Gateway Routing Protocol). También permite la inyección de paquetes, que se pueden utilizar para alterar configuraciones de enrutamiento.
[**Coly**](https://code.google.com/p/coly/) tiene capacidades para interceptar transmisiones EIGRP (Enhanced Interior Gateway Routing Protocol). También permite la inyección de paquetes, que pueden ser utilizados para alterar configuraciones de enrutamiento.
### OSPF
En el protocolo Open Shortest Path First (OSPF), **la autenticación MD5 se emplea comúnmente para garantizar una comunicación segura entre enrutadores**. Sin embargo, esta medida de seguridad puede ser comprometida utilizando herramientas como Loki y John the Ripper. Estas herramientas son capaces de capturar y descifrar hashes MD5, exponiendo la clave de autenticación. Una vez que se obtiene esta clave, se puede utilizar para introducir nueva información de enrutamiento. Para configurar los parámetros de ruta y establecer la clave comprometida, se utilizan las pestañas _Injection_ y _Connection_, respectivamente.
En el protocolo Open Shortest Path First (OSPF) **la autenticación MD5 se emplea comúnmente para asegurar la comunicación entre enrutadores**. Sin embargo, esta medida de seguridad puede ser comprometida utilizando herramientas como Loki y John the Ripper. Estas herramientas son capaces de capturar y descifrar hashes MD5, exponiendo la clave de autenticación. Una vez que se obtiene esta clave, se puede utilizar para introducir nueva información de enrutamiento. Para configurar los parámetros de ruta y establecer la clave comprometida, se utilizan las pestañas _Inyección_ y _Conexión_, respectivamente.
* **Capturando y Descifrando Hashes MD5:** Herramientas como Loki y John the Ripper se utilizan para este propósito.
* **Configurando Parámetros de Ruta:** Esto se realiza a través de la pestaña _Injection_.
* **Estableciendo la Clave Comprometida:** La clave se configura en la pestaña _Connection_.
* **Configurando Parámetros de Ruta:** Esto se realiza a través de la pestaña _Inyección_.
* **Estableciendo la Clave Comprometida:** La clave se configura en la pestaña _Conexión_.
### Other Generic Tools & Sources
@ -664,7 +664,7 @@ Los navegadores comúnmente emplean el **protocolo Web Proxy Auto-Discovery (WPA
* Por **DNS**, que implica buscar un nombre de host etiquetado como _wpad_ dentro del dominio local.
* A través de **Microsoft LLMNR y NBT-NS**, que son mecanismos de respaldo utilizados en casos donde las búsquedas DNS no tienen éxito.
La herramienta Responder se aprovecha de este protocolo actuando como un **servidor WPAD malicioso**. Utiliza DHCP, DNS, LLMNR y NBT-NS para engañar a los clientes y hacer que se conecten a él. Para profundizar en cómo se pueden suplantar servicios utilizando Responder [consulta esto](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).
La herramienta Responder aprovecha este protocolo actuando como un **servidor WPAD malicioso**. Utiliza DHCP, DNS, LLMNR y NBT-NS para engañar a los clientes y hacer que se conecten a él. Para profundizar en cómo se pueden suplantar servicios utilizando Responder [verifica esto](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).
### [Spoofing SSDP y dispositivos UPnP](spoofing-ssdp-and-upnp-devices.md)
@ -700,7 +700,7 @@ mitm6
### sslStrip
Básicamente, lo que hace este ataque es que, en caso de que el **usuario** intente **acceder** a una página **HTTP** que está **redirigiendo** a la versión **HTTPS**. **sslStrip** **mantendrá** una **conexión HTTP con** el **cliente y** una **conexión HTTPS con** el **servidor** para que pueda **esnifar** la conexión en **texto plano**.
Básicamente, lo que hace este ataque es que, en caso de que el **usuario** intente **acceder** a una página **HTTP** que está **redireccionando** a la versión **HTTPS**. **sslStrip** **mantendrá** una **conexión HTTP con** el **cliente y** una **conexión HTTPS con** el **servidor** para que pueda **esnifar** la conexión en **texto plano**.
```bash
apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
@ -713,10 +713,10 @@ Más información [aquí](https://www.blackhat.com/presentations/bh-dc-09/Marlin
### sslStrip+ y dns2proxy para eludir HSTS
La **diferencia** entre **sslStrip+ y dns2proxy** contra **sslStrip** es que **redirigirán** por ejemplo _**www.facebook.com**_ **a** _**wwww.facebook.com**_ (note la **extra** "**w**") y establecerán la **dirección de este dominio como la IP del atacante**. De esta manera, el **cliente** se **conectará** a _**wwww.facebook.com**_ **(el atacante)**, pero detrás de escena **sslstrip+** **mantendrá** la **conexión real** a través de https con **www.facebook.com**.
La **diferencia** entre **sslStrip+ y dns2proxy** contra **sslStrip** es que **redirigirán** por ejemplo _**www.facebook.com**_ **a** _**wwww.facebook.com**_ (note la **extra** "**w**") y establecerán la **dirección de este dominio como la IP del atacante**. De esta manera, el **cliente** se **conectará** a _**wwww.facebook.com**_ **(el atacante)** pero tras bambalinas **sslstrip+** **mantendrá** la **conexión real** a través de https con **www.facebook.com**.
El **objetivo** de esta técnica es **evitar HSTS** porque _**wwww**.facebook.com_ **no será** guardado en la **caché** del navegador, por lo que el navegador será engañado para realizar **la autenticación de facebook en HTTP**.\
Tenga en cuenta que para realizar este ataque, la víctima debe intentar acceder inicialmente a [http://www.faceook.com](http://www.faceook.com) y no a https. Esto se puede hacer modificando los enlaces dentro de una página http.
Tenga en cuenta que para realizar este ataque la víctima debe intentar acceder inicialmente a [http://www.faceook.com](http://www.faceook.com) y no a https. Esto se puede hacer modificando los enlaces dentro de una página http.
Más información [aquí](https://www.bettercap.org/legacy/#hsts-bypass), [aquí](https://www.slideshare.net/Fatuo\_\_/offensive-exploiting-dns-servers-changes-blackhat-asia-2014) y [aquí](https://security.stackexchange.com/questions/91092/how-does-bypassing-hsts-with-sslstrip-work-exactly).
@ -750,9 +750,9 @@ sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FI
sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 openssl-connect:[SERVER]:[PORT],verify=0
```
A veces, si el cliente verifica que la CA es válida, podrías **servir un certificado de otro nombre de host firmado por una CA**.\
Otra prueba interesante es **servir un certificado del nombre de host solicitado pero autofirmado**.
Otra prueba interesante es servir un **certificado del nombre de host solicitado pero autofirmado**.
Otras cosas a probar son intentar firmar el certificado con un certificado válido que no sea una CA válida. O usar la clave pública válida, forzar el uso de un algoritmo como Diffie-Hellman (uno que no necesite descifrar nada con la verdadera clave privada) y cuando el cliente solicite una prueba de la verdadera clave privada (como un hash), enviar una prueba falsa y esperar que el cliente no verifique esto.
Otras cosas a probar son intentar firmar el certificado con un certificado válido que no sea una CA válida. O usar la clave pública válida, forzar el uso de un algoritmo como Diffie-Hellman (uno que no necesite descifrar nada con la verdadera clave privada) y cuando el cliente solicite una prueba de la verdadera clave privada (como un hash) enviar una prueba falsa y esperar que el cliente no verifique esto.
## Bettercap
```bash
@ -831,8 +831,8 @@ Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-s
<summary>Support HackTricks</summary>
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Comparte trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}