المعترض ng لا يعمل. Sniffer لنظام التشغيل Windows Intercepter-NG (تعليمات الاستخدام)

برنامج متعدد الوظائف يسمح لك بالتعرف على جميع الأجهزة الموجودة فيها الشبكة العامةوتحديد عناوين IP وMAC للأجهزة واعتراض حركة المرور واستبدال الملفات التي تم تنزيلها. لن يكلف المستخدم ذو الخبرة أي شيء لقراءة مراسلات البريد الإلكتروني لشخص آخر وتسجيل الدخول إلى حسابه. الشبكة الاجتماعيةباستخدام هذه الأداة.

مميزة

كما هو مذكور أعلاه، فإن Intercepter-NG هو برنامج للتفاعل غير المصرح به مع الأجهزة الأخرى. في بضع نقرات، يمكنك تحديد عنوان IP وعنوان Mac الخاص بالجهاز واعتراض حركة المرور و ملفات تعريف الارتباطأو اقرأ مراسلات شخص آخر عبر الإنترنت أو قم بتسجيل الدخول إلى حساب شخص آخر على إحدى الشبكات الاجتماعية للقيام بأفعالك "القذرة".

يؤكد المستخدمون ذوو الخبرة أن التطبيق يعمل عند توصيله بنقطة واحدة الوصول إلى خدمة الواي فاييمكنك اعتراض حركة مرور الآخرين.

الخصائص

أولاً، يجب أن يكون لديك الحد الأدنى من المعرفة. لا يحتوي التطبيق على تعليمات أو كتب مرجعية أو أوضاع تدريبية. يجب البحث عن المعلومات ذات الصلة في المنتديات المواضيعية.

ثانيا، لكي تعمل الأداة المساعدة، يجب عليك الحصول على حقوق المستخدم المتميز. ومع الأخذ في الاعتبار المخاطر التي ينطوي عليها مثل هذا القرار، فمن المهم الموازنة بين الإيجابيات والسلبيات. وإذا قررت الحصول على حقوق الجذر، فتأكد من تنزيل وتثبيت الأداة المساعدة لإدارة حقوق الوصول، والتي يمكنك من خلالها التحكم في وصول التطبيق إلى حقوق المستخدم الفائق في الوقت الفعلي.

سيسمح لك Intercepter-NG بتحديد عنوان MAC وعنوان IP لأي مستخدم متصل بشبكة عامة. أيضًا، باستخدام البرنامج، يمكنك اعتراض ملفات تعريف الارتباط والصادرة و حركة المرور الواردةلأغراض غير مشروعة.

صفات

Intercepter-NG هو تطبيق متعدد الوظائف يتحول في الأيدي اليمنى إلى أداة لتنفيذ المعاملات غير القانونية. أولاً، يمكن استخدامه لتحديد جميع الأجهزة المتصلة بشبكة عامة. ولا تتضمن البيانات عنوان IP فحسب، بل تتضمن أيضًا عنوان MAC الفريد للجهاز.

ثانيًا، يتيح لك التطبيق اعتراض حركة المرور في الاتجاهين للمستخدم المحدد، وعرض الملفات واستخدامها وحتى استبدالها. وبما أن البرنامج لا تعليمات مفصلةلاستخدام الوظيفة، يجب أن يكون لديك الحد الأدنى من المعرفة. في هذه الحالة، لن تكتشف عنوان IP أو MAC فحسب، بل ستتمكن أيضًا من اعتراض ملفات تعريف الارتباط بسهولة من أجل قراءة مراسلات الآخرين وحتى تنفيذ الإجراءات نيابة عن المستخدم.

الخصائص

• الوصول إلى الجذر. يجب أن يكون الجهاز متجذرًا لاستخدام جميع وظائف التطبيق.
• القدرة على معرفة عنوان IP وMAC لأي مستخدم يستخدم نفس نقطة الوصول التي تستخدمها.
• القدرة على اعتراض ملفات تعريف الارتباط لقراءة المراسلات والإجراءات مع الحسابات.
• القدرة على اعتراض حركة المرور الصادرة والواردة واستبدال الملفات.

تعد الواجهة البسيطة والتشغيل المستقر من الميزات الإضافية للتطبيق التي تجعله شائعًا في الدوائر الضيقة.

وصف Intercepter-NG

Intercepter-NG عبارة عن مجموعة متعددة الوظائف من أدوات الشبكة لمتخصصي تكنولوجيا المعلومات أنواع مختلفة. الهدف الرئيسي هو استعادة البيانات المثيرة للاهتمام من تدفق الشبكة وتنفيذ أنواع مختلفة من هجمات الرجل في الوسط (MiTM). بالإضافة إلى ذلك، يتيح لك البرنامج اكتشاف انتحال ARP (يمكن استخدامه للكشف عن هجمات الرجل في الوسط)، وتحديد أنواع معينة من نقاط الضعف واستغلالها، وبيانات اعتماد تسجيل الدخول بالقوة الغاشمة. خدمات الشبكة. يمكن للبرنامج العمل مع تدفق حركة المرور المباشر وتحليل الملفات باستخدام حركة المرور الملتقطة لاكتشاف الملفات وبيانات الاعتماد.

يقدم البرنامج الوظائف التالية:

• استنشاق كلمات المرور/التجزئة من الأنواع التالية: ICQ، IRC، AIM، FTP، IMAP، POP3، SMTP، LDAP، BNC، SOCKS، HTTP، WWW، NNTP، CVS، TELNET، MRA، DC++، VNC، MYSQL، ORACLE، NTLM ، نصف قطر KRB5
• استنشاق رسائل الدردشة: ICQ، AIM، JABBER، YAHOO، MSN، IRC، MRA
• إعادة بناء الملفات من: HTTP، FTP، IMAP، POP3، SMTP، SMB
• أنواع المسح المختلفة مثل الوضع المختلط، وARP، وDHCP، والبوابة، والمنفذ، والمسح الذكي
• التقاط الحزم والتحليل اللاحق (غير المتصل) / وضع RAW (الخام).
• التقاط حركة المرور عن بعد عبر البرنامج الخفي RPCAP وPCAP عبر IP
• نات، الجوارب، DHCP
• ARP، DNS عبر ICMP، DHCP، SSL، SSLSTRIP، WPAD، SMB Relay، SSH MiTM
• اختطاف SMB (الاعتراض)، ترحيل LDAP، حقن بيانات تحميل MySQL
• مراقبة ARP، قفص ARP، حقن HTTP، استغلال Heartbleed، خفض مستوى Kerberos، Cookie Killer
• انتحال DNS وNBNS وLLMNR
• القوة الغاشمة لخدمات الشبكة المختلفة

الإصدار الرئيسي يعمل على نظام التشغيل Windows، وهو متاح نسخة وحدة التحكملنظام التشغيل Linux ونسخة لنظام Android.

الترخيص: "كما هو"

أوضاع الاعتراض-NG

يحتوي Intercepter-NG على سبعة أوضاع رئيسية تتوافق مع عدد علامات تبويب البرنامج وعدد الأزرار الرئيسية:

هذه هي الأوضاع:

• الرسل
• القيامة
• كلمات المرور
• المسح
• الخام (الخام)

ضع في المقام الأول وضع الرسول(شعار آي سي كيو). حدث هذا لأسباب تاريخية - تم إنشاء Intercepter-NG في الأصل كبرنامج لاعتراض رسائل ICQ وبرامج المراسلة الفورية الأخرى.

وضع القيامة(الشعار الموجود على الزر هو Phoenix) يعني استعادة الملفات من تدفق الشبكة. يمكن أن تكون هذه ملفات صور يتم عرضها على مواقع الويب، بالإضافة إلى ملفات المحفوظات والمستندات المنقولة وأي ملفات أخرى.

عند التحول إلى وضع كلمة المرور(الزر الثالث - سلسلة المفاتيح) سترى بيانات الاعتماد التي تم التقاطها من دفق الشبكة. يتم عرض عناوين الموقع، وتسجيلات الدخول وكلمات المرور المدخلة.

عندما يبدأ البرنامج، فإنه يفتح وضع المسح(الزر الأوسط - الرادار). هذا هو الوضع الأولي لشن الهجمات: يتم إجراء المسح وتحديد الأهداف وتعيين معلمات الشبكة الأخرى في علامة التبويب هذه.

فاتورة غير مدفوعة ميتم(حزمة من أسلاك التصحيح) تحتوي على حقول لإدخال إعدادات الهدف، والتي يتم ملء الكثير منها تلقائيًا أثناء المسح الضوئي في علامة التبويب المسح الضوئي. هناك أيضًا أزرار لشن هجمات MiTM المختلفة.

فاتورة غير مدفوعة دكبيحتوي على بعض إعدادات الشبكة وخادم DHCP.

وضع الخام (الخام)يعرض معلومات أولية حول البيانات المنقولة في دفق الشبكة. يتم تقديم المعلومات في شكل مشابه لـ .

نصائح لاستخدام Intercepter-NG وحل المشكلات:

• يتطلب Intercepter-NG تشغيل WinPcap، لكنه لا يحتاج إلى التثبيت بشكل منفصل لأن Intercepter يأتي مع نسخة محمولة من WinPcap.
• إذا لم تشاهد المحول الخاص بك في قائمة المحولات، فهذا يعني أن WinPcap لا يدعم بطاقتك.
• إذا لم يعمل أي شيء مع بطاقة WiFi، حتى حفر ARP، فاستخدم رمز NIC، الموجود على الجانب الأيسر من قائمة المحولات، للتبديل إلى وضع WiFi. تأكد أيضًا من أن Stealth IP لديه إمكانية الوصول إلى الإنترنت.
• في بعض الحالات النادرة، قد تقوم خدمة BFE (Base Filtering Engine) بحظر منافذ Intercepter المحلية. يتجلى هذا على النحو التالي: يعمل ARP، لكن وظائف MiTM الأخرى لا تعمل (في نظام التشغيل Windows 7 والإصدارات الأحدث). يمكن أيضًا لبرامج مكافحة الفيروسات، مثل Avast، حظرها، حتى إذا تم تعطيل حماية الشبكة في لوحة التحكم. قد يكون السبب الآخر لهذا السلوك هو التشغيل المتزامن لاتصال وخدمة WiFi اتصال بالإنترنتمشاركة.
• يدعم Intercepter تغليف 802.11، لذا يمكنك استخدام عمليات تفريغ PCAP من البرامج و. يتم أيضًا دعم PPPoE وGRE(PP2P) ورؤوس 802.11 الإضافية. هذا لا يعني أن Intercepter يمكنه تحليل البيانات المشفرة، بل يعني أن Intercepter قادر على تجريد رؤوس ethernet\ip من الحزم من هذا النوع وتحليلها.
• بسبب قيود البروتوكول، قد لا يظهر المصدر والوجهة UIN\MAIL\... في علامة تبويب رسالة الدردشة.
• لنسخ البيانات من جدول كلمة المرور، انقر فوق السطر واضغط على ctrl+c.
• لإخفاء نافذة البرنامج، استخدم اختصار لوحة المفاتيح Ctrl+Alt+S. انقر عليه مرة أخرى لتظهر النافذة مرة أخرى.
• يمكن أيضًا تشغيل Intercepter على نظامي التشغيل Win9x (98 و95!)، لكنك تحتاج إلى تثبيت WinPcap 3.1 أو WinPcap 4.0beta2. إصدارات WinPcap الجديدة لا تدعم نظام التشغيل Win9x.
• وضع وحدة التحكم للتحليل دون الاتصال بالإنترنت:

• لتنشيط الاستنشاق التلقائي تحتاج إلى فتحه settings.cfgوتحرير " تشغيل تلقائي". القيمة الافتراضية هي 0 ، قم بالتغيير إلى رقم الواجهة التي ستشمها.
• يقوم Intercepter بتحويل عمليات تفريغ PCAP ببيانات IP مغلفة خام إلى تغليف Ethernet (إضافة معلومات رأس Ethernet).
• يستطيع المعترض قراءة التنسيق الجديد - pcapng. نظرًا لأن جميع ملفات التقاط pcapng من Wireshark تستخدم فقط نوع "Enhanced Packet Block"، فإن Intercepter يدعم هذا النوع من كتل الحزم فقط. بالإضافة إلى ذلك، فإنه يعرض تعليقات الحزمة.
• في الوضع الخام (RAW)، يمكنك تعيين القواعد الخاصة بك باستخدام مرشحات pcap لتصفية حركة المرور. راجع بناء جملة تصفية pcap للحصول على التفاصيل. مثال:

يعني تلقي الحزم فقط من منفذ TCP 80 من النواة.

ليس المنفذ 80

يعني استبعاد الحزم من المنفذ 80

يمكنك الجمع بين القواعد:

المنفذ 80 وليسالمنفذ 25

• يجب ألا تعمل مع عمليات تفريغ ضخمة في الوضع الخام لأن Intercepter يقوم بتحميل كل حزمة في الذاكرة ولا يستخدمها القرص الصلبكقسم المبادلة (ملف).

نصائح خيار Intercepter-NG

خيارات الشم:

• إذا كنت ستقوم بإجراء تحليل دون الاتصال بالإنترنت لتفريغ pcap، ولتسريع العملية، قم بإلغاء تحديد المربع " حل المضيفين”.
• إذا قمت بتحديد الخيار " قفل على الدرج"، فعند استعادة نافذة من الدرج، سيُطلب منك كلمة مرور. كلمة المرور الافتراضية هي " 4553 ". يمكنك تغييره في الملف settings.cfg. كلمة المرور مشفرة في base64.
• خيار " حفظ الجلسة"يعني أن Intercepter سيحفظ جميع الحزم المستلمة في ملف pcap. يمكن استخدام هذا الملف لتحليل البيانات دون اتصال بالإنترنت. إنه نوع من وظيفة تصدير النتائج.
• إذا قمت بتثبيت منحل، ثم يقوم Intercepter بفتح محول الشبكة في الوضع المختلط. وهذا يعني أنه سيقرأ كافة الحزم، حتى تلك غير المخصصة لواجهة الشبكة تلك. إذا لم يتم تحديد خانة الاختيار، فسيتم قراءة الحزم التي تم إرسالها إلى الواجهة المحددة فقط. بعض بطاقات Wi-Fi لا تدعم هذا الوضع.
• “بيانات فريدة" - عرض تسجيلات الدخول وكلمات المرور الفريدة فقط. أولئك. إظهار تسجيلات الدخول وكلمات المرور التي تم التقاطها مرة واحدة فقط - إذا قام المستخدم بإدخال نفس معلومات تسجيل الدخول وكلمة المرور مرة أخرى، فلن يتم عرضها.
• الحفظ التلقائي- الجميع معلومات نصيةسيتم حفظها كل 10 ثواني.
• بشكل افتراضي، مربع الاختيار هو " عرض الشبكة" وهذا يعني أن كلمات المرور ستظهر كشبكة بيانات. لعرض المعلومات التفصيلية الكاملة، قم بإلغاء تحديد " عرض الشبكة”.
• أقصى.في سير العمل النموذجي، يقوم المتشمم بتحليل المنافذ المحددة مسبقًا المرتبطة ببروتوكولات محددة. إذا قلنا http، فإننا نعني المنفذ 80 (أو 8080 أو أي شيء محدد مسبقًا في قائمة المنافذ المرتبطة ببروتوكول http). أولئك. سيتم تحليل هذه المنافذ فقط. إذا كانت بعض التطبيقات تستخدم منفذًا مختلفًا، مثل 1234، فلن يقوم برنامج الشم بتحليل الحزم التي تمر عبره. في الوضع أقصىسيقوم Intercepter بتحليل كافة حزم TCP دون التحقق من المنافذ. أولئك. حتى إذا كان بعض التطبيقات يستخدم منفذًا غير محدد، فسيستمر برنامج الشم في فحص هذه الحزم. على الرغم من أن هذا يؤدي إلى إبطاء الأداء (يلزم فحص العديد من المنافذ أكثر من المعتاد) وقد يكشف عن بيانات غير صحيحة أو يفتقد البروتوكول الصحيح (على سبيل المثال، يستخدم FTP وPOP3 نفس نوع التفويض)، إلا أنه يوفر القدرة على البحث عن البيانات واعتراضها. بيانات مثيرة للاهتمام على منافذ مجهولة. استخدم هذا الوضع على مسؤوليتك الخاصة، ولا تتفاجأ إذا حدث خطأ ما عند تمكين وضع eXtreme.
• "التقاط فقط" يعني أن Intercepter سيقوم فقط بحفظ الحزم في ملف تفريغ بدون تحليل في الوقت الفعلي. وهذا مفيد لزيادة الأداء عند التقاط الكثير من بيانات الشبكة.
• خيار القيامةيعني تمكين وضع القيامة، الذي يعيد بناء الملفات من البيانات المرسلة في دفق الشبكة.
• منافذ المراسلة الفورية
• HTTP. المنافذ المرتبطة بـ HTTP، راجع وصف الخيار للحصول على التفاصيل أقصى.
• الجوارب
• آي آر سي\بي إن سي

خيارات هجوم رجل في الوسط (MiTM) في Intercepter-NG

• في جميع هجمات MiTM، يستخدم Intercepter انتحالًا (استبدالًا) لعناوين IP\mac (خيار محاكاة ساخرة IP\MAC). إذا كنت تستخدم واجهة واي فاي، فيجب عليك إلغاء تحديد هذا الخيار، نظرًا لأن 99٪ من برامج تشغيل wifi لا تسمح بإرسال حزم باستخدام جهاز Mac مخادع. على الرغم من أنك تكشف عن عنوانك الحقيقي، إلا أنك على الأقل قادر على تنفيذ أي هجمات MiTM عبر واجهة wifi. إنه أفضل من لا شيء. بدلاً من تعطيل الانتحال في الإعدادات، استخدم وضع واي فاي. يمكنك تغيير جهاز Mac الموضح في وضع الخبير.
• دائرة الرقابة الداخلية القاتلتمت إضافته لـ iCloud، وكذلك Instagram وVK. تعمل هذه الوظيفة (iOS Killer) على إعادة تعيين جلسات التطبيقات المحددة وتسمح لك باعتراض إعادة التفويض.
• الرجوع إلى إصدار أقدم من Kerberos
• انتحال HSTS. تجاوز HSTS أثناء شريط SSL. تقنية الالتفافية بسيطة نسبيًا، ولكن هناك بعض الصعوبات في التنفيذ، لذلك لا تتوقع أي نتائج خاصة. دعونا نلقي نظرة على مثال على استخدام Yandex Mail متصفح كروم. إذا ذهبت إلى ya.ru، فسيكون هناك رابط https "تسجيل الدخول إلى البريد" في الزاوية اليمنى العليا، والذي يمكن لشريط SSL التعامل معه بسهولة. بعد ذلك، سيتم فتح نموذج الترخيص، حيث طريقة ما بعديتم نقل البيانات إلى Passport.yandex.ru. حتى بعد تجريد https، سيحدث التفويض عبر SSL، لأنه تم تضمين المضيف Passport.yandex.ru في قائمة Chrome المحملة مسبقًا. من أجل الاستمرار في اعتراض البيانات، نحتاج إلى استبدال اسم المضيف جواز السفر.yandex.ru بشيء آخر حتى لا يكتشف المتصفح أنه يجب زيارة هذا المورد بشكل صارم عبر اتصال آمن. على سبيل المثال، يمكنك استبدال جواز السفر.yandex.ru بـ paszport.yandex.ru، وفي هذه الحالة سيتم إرسال البيانات بنص واضح إلى اسم النطاق الذي تم تغييره. ولكن بسبب مثل هذا المجال - paszport.yandex.ru غير موجود، فأنت بحاجة بالإضافة إلى ذلك إلى القيام بانتحال DNS، أي. عند تحويل paszport.yandex.ru، يجب أن يتلقى العميل عنوان IP الأصلي من Passport.yandex.ru ردًا على ذلك.

هذا الإجراء تلقائي ولا يتطلب تدخلاً إضافيًا من المستخدم عند تنفيذ الهجوم. الشيء الوحيد المطلوب هو أولاً إعداد قائمة بالبدائل متنوع\hsts.txt. بشكل افتراضي، هناك العديد من الإدخالات لـ yandex وgmail وfacebook وyahoo. من المهم أن نفهم أن تقنية التجاوز هذه لن تسمح باعتراض الجلسة أو التفويض إذا قام المستخدم بالدخول إلى facebook.com في المتصفح، لأن سيفتح المتصفح على الفور النسخة الآمنة من الموقع. في هذه الحالة، يكون الهجوم ممكنًا فقط إذا تم أخذ الرابط إلى facebook.com من مصدر آخر، على سبيل المثال، عند إدخال facebook في google.com. تشمل المشاكل الرئيسية في تنفيذ الهجوم المنطق غير المتوقع لكيفية عمل مواقع الويب مع نطاقاتها الفرعية وميزات كود الويب التي يمكن أن تلغي أي محاولات لتجاوز HSTS. ولهذا السبب لا ينبغي عليك إضافة أي مواقع إلى القائمة، فحتى النطاقات الموجودة في Intercepter-NG افتراضيًا لها خصائصها الخاصة ولا تعمل دائمًا بشكل صحيح. لا أريد حقاً أن أصنع عكازات لكل مورد؛ ربما سيتم إجراء بعض التحسينات الشاملة في المستقبل، ولكن في الوقت الحالي، كما يقولون، كما هو. فارق بسيط آخر، في التنفيذ الحالي لـ DNS Spoofing، من الضروري ذلك خادم DNSلم يكن في الشبكة المحليةحتى تتمكن من رؤية طلبات DNS إلى البوابة والرد عليها حسب الحاجة.

• IP إلى الأمام. تمكين وضع إعادة توجيه IP النقي. لا تتوفر هجمات MiTM في هذا الوضع، ولكنها تسمح لك ببدء تسميم ARP في المواقف التي لا يمكنك فيها استخدام Stealth IP. يعد هذا ضروريًا عادةً عندما تكون البوابة موجودة القائمة البيضاءأجهزة كمبيوتر شرعية على الشبكة، لذلك لا يمكن لـ NAT العمل بشكل صحيح.
• كوكي القاتل- إعادة تعيين ملفات تعريف الارتباط، وبالتالي إجبار المستخدم على إعادة التفويض - أدخل معلومات تسجيل الدخول وكلمة المرور حتى يتمكن المهاجم من اعتراضهما. تعمل وظيفة Cookie Killer أيضًا مع اتصالات SSL. متوفر باللون الأسود( متنوعات\ssl_bl.txt) والقوائم البيضاء ( Misc\ssl_wl.txt). يمكنهم استبعاد أو، على العكس من ذلك، تحديد عناوين IP أو المجالات التي يجب أو لا ينبغي تطبيق SSL MiTM عليها. عند تحديد منفذ SSL إضافي، ليست هناك حاجة لتحديد نوع القراءة/الكتابة، فقط حدد رقم المنفذ. تتم كتابة كل حركة المرور ل ssl_log.txt.
• الالتقاط عن بعد (RPCAP).يتيح Libpcap إمكانية إعادة توجيه بيانات الشبكة من مضيف إلى آخر من خلال بروتوكول خاص به يسمى RPCAP. أولئك. يمكنك تشغيل البرنامج الخفي rpcap على بوابتك ورؤية كل حركة المرور التي تمر عبرها. بمجرد تشغيل البرنامج الخفي، يمكنك البدء في التقاط حركة المرور عن بعد باستخدام Intercepter. أدخل اسم المضيف أو IP الخاص بالبرنامج الخفي في الحقل المقدم ثم حدد المحول من القائمة. ثم تحتاج إلى تعيين مرشح "ليس عنوان IP المضيف"، واستبدال "IP" بعنوان IP الفعلي المخصص لبطاقة إيثرنت الخاصة بك (وهذا لتجاهل حركة مرور rpcap بينك وبين البرنامج الخفي).
• PCAP عبر IP

ترتبط هذه الوظيفة بالتقاط حركة المرور عن بعد وهي بديل ممتاز لخدمة rpcapd القديمة والتي بها مشكلات. الاسم يتحدث عن نفسه. يحتوي أي نظام يونكس تقريبًا دائمًا على مزيج من tcpdump وnetcat، والذي يمكنك من خلاله تسجيل حركة المرور إلى جهاز الكمبيوتر المتلقي عن بعد. في في هذه الحالةيستطيع Intercepter فتح منفذ تحسبًا لتدفق البيانات بتنسيق libpcap وتحليله في الوقت الفعلي.

لا يوجد فرق جوهري في مصدر حركة المرور، لذلك بالإضافة إلى tcpdump، يمكنك أيضًا استخدام الأداة المساعدة cat لقراءة سجل .pcap الموجود بالفعل.

فيما يلي بعض الأمثلة على الاستخدام، حيث يستمع Intercepter افتراضيًا إلى المنفذ 2002:

Tcpdump -i وجه -w - | نك IP 2002

إذا كنت تخطط لنقل حركة المرور عبر نفس الواجهة التي تلتقط منها، فأنت بحاجة إلى إضافة قاعدة تصفية تستبعد حركة مرور الخدمة بين الخادم وIntercepter:

Tcpdump -iface -w - ليس منفذ 2002 | nc IP 2002 سجل القط.pcap | nc IP 2002 dumpcap -iface -P -w - | نك IP 2002

هذا نظير لـ tcpdump، وهو جزء من ملف -صيشير إلى أنه يجب حفظ الحزم بتنسيق libpcap القياسي بدلاً من تنسيق pcapng الجديد.

طريقة بديلة لإعادة توجيه الحزم دون استخدام netcat:

تكبدمب > /dev/tcp/ip/port

يرمز WPAD إلى "بروتوكول WebProxy Autodiscovering" الذي يتوافق مع ميزة "الكشف التلقائي عن الإعدادات" في المتصفحات الحديثة. تتيح هذه الميزة للمتصفح الحصول على تكوين الوكيل الحالي دون تدخل المستخدم. ويشكل هذا تهديدًا حتى يومنا هذا ويمكن للمهاجم بسهولة إعداد خادم ضار لاعتراض حركة مرور الويب. ويتفاقم الوضع بسبب حقيقة ذلك إنترنت إكسبلورر(وChrome أيضًا) يدعم هذه الميزة افتراضيًا.

عادةً لا يتم تكوين WPAD على الشبكة، لذا فإن السلوك الطبيعي للمتصفحات هو تقديم طلبات NetBios لاسم "WPAD" (تجاوز طريقتي DHCP وDNS). إذا لم يتم تلقي أي استجابة، يستخدم المتصفح ببساطة اتصالاً مباشرًا. ولكن في حالة تلقي استجابة، يحاول المتصفح تنزيل ملف التكوين من http: /ip_of_wpad_host/wpad.dat.

سوف يستجيب Intercepter-NG لكل طلب ويطلب من العملاء استخدام التكوين الخاص به حتى يتمكن من التعرف على حركة المرور عبر الوكيل. يمكنك تكوين التكوين الخاص بك لأي خادم وكيل آخر على الشبكة، أو ببساطة تحديد الخادم الوكيل المدمج. يتيح لك الوكيل المدمج استخدام ميزة حقن HTTP.

خيارات وضع الخبير Intercepter-NG

• مهلة شريط SSL (بالثواني)— المهلة بالثواني SSL Strip
• سم ARP كل (ثانية)- قم بنقش ARP كل... ثانية
• مهلة فحص ARP (بالثواني)- انتهت مهلة فحص ARP
• ذاكرة التخزين المؤقت لنظام أسماء النطاقات (TTL) (بالثواني)- مدى الحياة في ذاكرة التخزين المؤقت DNS
• انتحال ماك— عنوان MAC الذي سيتم استبدال عنوان المهاجم به
• MySQL تحميل حقن البيانات
• LDAP Relay DN: DC=xxx,DC=xxx
• وقف التطفل على طلب NBNS
• قم بإسقاط اتصال SSH بعد المصادقة- إعادة ضبط اتصال SSH بعد الترخيص
• اختطاف الشركات الصغيرة والمتوسطة -> ترحيل الشركات الصغيرة والمتوسطة
• سم ARP التلقائي— في وضع pozon التلقائي، يكفي إضافة مضيف واحد فقط إلى قائمة الأهداف، وسيقوم Intercepter نفسه بمسح الشبكة في فترة زمنية معينة وإضافة أهداف جديدة تلقائيًا.
• إعادة ضبط جدول ARP- إعادة ضبط جدول ARP
• الحمولة المخصصة لـ SMB Hijack (64 كيلو بايت كحد أقصى)
• حمولة مخصصة لـ GP Hijack
• تشغيل شل- إطلاق قذيفة
• قم بتشغيل HTTP NTLM المنتزع

أنواع المسح

المسح هو المرحلة الأولى، أي أن العديد من هجمات MiTM تبدأ به. لإظهار قائمة عمليات الفحص، انتقل إلى علامة التبويب وضع ميتموانقر بزر الماوس الأيمن على الجدول.

• المسح الذكينينغ: فهو يجمع بين مسح ARP واكتشاف البوابة. إلى المعلومات المعتادة حول عناوين IP وMAC، الشركة المصنعة بطاقة الشبكةو نظام التشغيل، يتم إخراج اسم الكمبيوتر. خلال نفس الفترة الزمنية، يمكنك الآن بالإضافة إلى ذلك معرفة اسم NetBIOS أو اسم جهاز iOS. لحل المشكلة الأخيرة، يتم استخدام بروتوكول MDNS، الذي يعمل على أساسه بروتوكول Apple Bonjour، حيث يتم الآن حفظ جميع الأسماء المستلمة في ملف ذاكرة التخزين المؤقت، وإذا لم يتم الحصول على معلومات حول اسم المضيف ديناميكيًا أثناء عمليات الفحص اللاحقة لسبب ما، سيتم أخذه من ذاكرة التخزين المؤقت. بالإضافة إلى ذلك، يُظهر هذا الفحص عنوان IP Stealth ويقوم تلقائيًا بتعيين عنوان IP للبوابة (إذا تم اكتشافه) وStealth IP في الحقول المقابلة في علامة التبويب MiTM، كما يكتشف أيضًا نظام التشغيل بناءً على قيم TTL.
• مسح ARP(مسح ARP): يقوم ببساطة بفحص الشبكة الفرعية من الفئة C المخصصة لمحول إيثرنت المحدد. على سبيل المثال، إذا كان IP الخاص بك هو 192.168.0.10، فسيتم فحص 255 عنوان IP في النطاق 192.168.0.1-255. بدءًا من الإصدار 0.9.5، يقوم البرنامج بفحص قناع الشبكة لفحص جميع الشبكات الفرعية بشكل صحيح.
• اكتشاف DHCP(اكتشاف DHCP): يرسل عمليات بث DHCP-Discovery وينتظر الردود من خوادم DHCP. إذا استجابت أي خوادم، قم بإضافتها إلى القائمة.
• كشف الوعد(اكتشاف غير شرعي لبطاقة الشبكة): يرسل طلبات ARP خاصة إلى الشبكة. من الواضح أن المضيفين المستجيبين هم متشممون. قد تستجيب بعض بطاقات إيثرنت (3COM) أيضًا، أي أنه من الممكن وجود نتائج إيجابية كاذبة.
• اكتشاف البوابة(اكتشاف البوابة): يرسل حزمة SYN عبر جميع الأجهزة المضيفة على الشبكة، وإذا كانت هناك بوابة، فسيتم إرسال الاستجابة مرة أخرى.

تقنيات هجوم رجل في الوسط (MiTM) في Intercepter-NG

عندما تضغط على الزر تكوين MiTMsيتم فتح مربع الحوار (قبعة ذات عين). هجمات MiTM:

أنه يحتوي على قائمة من التقنيات المدعومة.

SSL MiTM

هذه تقنية انتحال الشهادات الكلاسيكية القديمة. يسمح لك باعتراض البيانات من أي بروتوكول محمي بواسطة SSL. الدعم القياسي: HTTPS، POP3S، SMTPS، IMAPS. اختياريًا، يمكنك تحديد أي منفذ إضافي.

عند اعتراض HTTPS، يتم إنشاء الشهادات بسرعة، ونسخ المعلومات الأصلية من المورد المطلوب. بالنسبة لجميع الحالات الأخرى، يتم استخدام شهادة ثابتة.

وبطبيعة الحال، عند استخدام هذه الوظيفة، لا مفر من التحذيرات من المتصفح وبرامج العميل الأخرى.

لقد أعاد الإصدار الجديد كتابة كود SSL MiTM بالكامل. الآن يعمل بشكل سريع ومستقر. لقد تغيرت أيضًا خوارزمية إنشاء الشهادات، وتمت إضافة سجلات DNS إضافية إليها، وتم توقيع جميع الشهادات بمفتاح واحد ( متنوع\الخادم). وهذا يعني أنه من خلال إضافة هذه الشهادة الموقعة ذاتيًا إلى قائمة الشهادات الموثوق بها على جهاز الكمبيوتر الهدف، سيكون من الممكن الاستماع إلى حركة مرور SSL إلى أي مورد (حيث لا يوجد تثبيت SSL). وظيفة كوكي القاتليعمل الآن لاتصالات SSL. ظهر الأسود ( متنوعات\ssl_bl.txt) والقوائم البيضاء ( Misc\ssl_wl.txt). يمكنهم استبعاد أو، على العكس من ذلك، تحديد عناوين IP أو المجالات التي يجب أو لا ينبغي تطبيق SSL MiTM عليها. عند تحديد منفذ SSL إضافي، لم تعد هناك حاجة لتحديد نوع القراءة/الكتابة؛ يكفي تحديد رقم المنفذ. تتم كتابة كل حركة المرور إلى ssl_log.txt.

قطاع SSL

يعد SSL Strip تقنية "صامتة" لاعتراض اتصالات HTTPS. لفترة طويلةنسخة العمل موجودة فقط ضمن Unix، والآن يمكن تنفيذ إجراءات مماثلة في بيئة NT. النقطة المهمة هي أن المهاجم "في المنتصف"، ويتم تحليل حركة مرور HTTP، ويتم تحديد جميع روابط https:// واستبدالها بـ http://، وبالتالي يستمر العميل في الاتصال بالخادم بطريقة غير محمية وضع. تتم مراقبة جميع طلبات الروابط المستبدلة ويتم تسليم البيانات من مصادر https الأصلية ردًا على ذلك.

لأن لا يتم استبدال أية شهادات، ولا توجد أية تحذيرات. لمحاكاة اتصال آمن، يتم استبدال رمز المفضلة.

د.ن.س.<>ICMP

هذه تقنية جديدة تمامًا، تم ذكرها مسبقًا أو لم يتم تنفيذها. إنه يعتمد على نفس ICMP Redirect MiTM القديم، ولكنه يفتح طريقة جديدة لاستنشاق البيانات. تشبه الخطوة الأولى من هذا الهجوم عملية إعادة توجيه ICMP الكلاسيكية، ولكن هناك اختلاف واحد مهم.

ما يسمى " دخول جديد" هو خادم DNS الخاص بالضحية. سنقوم بالتحكم في جميع طلبات DNS ونقوم ببعض السحر قبل أن تتلقى الضحية الردود.

عندما نحل مشكلة somehost.com، يرسل DNS إلينا ردًا يحتوي على استجابة واحدة أو أكثر من عنوان IP الخاص بـ somehost.com. علاوة على ذلك، قد تحتوي على إجابات "إضافية"، وسنهتم بها أيضًا. بعد اكتمال الجزء الأول من الهجوم، يبدأ الضحية في إرسال جميع طلبات DNS عبر مضيف المهاجم (NAT). عندما يتلقى NAT استجابة من DNS، فإنه يقرأ جميع عناوين IP ثم يرسل رسائل إعادة توجيه ICMP إلى الضحية باستخدام عنوان IP المترجم.

لذلك، بحلول الوقت الذي يرسل فيه NAT استجابة DNS إلى الضحية، يكون جدول التوجيه الخاص به يحتوي بالفعل على إدخالات لجميع العناوين المترجمة التي تشير إلى مضيفنا!

وهذا يعني أننا لن نتعرف على DNS الخاص بالضحية فحسب، بل سنتعرف على كل ما تم حله. سيتم انتحال كل حركة المرور من خلال IP\MAC مزيف.

يتم تنفيذ هذا الجزء من الهجوم على جانب NAT، ولهذا السبب يجب عليك تكوينه بشكل صحيح.

حدد مربع "DNS over ICMP" ثم املأ:

• عنوان IP الخاص بجهاز التوجيه هو عنوان IP الافتراضي للبوابة الذي يستخدمه الضحية.
• عنوان IP الخاص بالعميل هو عنوان IP الخاص بالضحية. يمكنك إضافة أهداف متعددة، لكن تذكر أن تبدأ بإرسال حزمة إعادة توجيه ICMP إلى كل هدف من جهاز Intercepter.

بعد إضافة العملاء، يجب عليك وضع عنوان IP المجاني/غير المستخدم في حقل "البوابة الجديدة" وفي "Stealth IP".

حدد المحول، حيث يجب أن يكون هو نفسه لأننا سنقوم بتوجيه حركة المرور في منطقة إيثرنت واحدة.

ابدأ تشغيل NAT.

يتم تخزين جميع استجابات DNS في قائمة خاصة ويقوم NAT بانتظام (وفقًا للوقت المحدد في الإعدادات) بإعادة إرسال عمليات إعادة توجيه ICMP،

في النهاية عليك القيام بإجراء آخر. لا يمكنك تنظيف جدول توجيه الضحية (كما هو الحال مع تسميم ARP)، لذا يجب عليك إلغاء تحديد "DNS ↔ ICMP" لمنع إرسال عمليات إعادة توجيه ICMP مرة أخرى والانتظار حوالي 10-15 دقيقة. بعد ذلك، لن تتم إضافة أي إدخالات جديدة، ولكن الإدخالات القديمة ستعمل بشكل جيد من خلال NAT حتى تنتهي صلاحيتها.

WPAD MiTM

للحصول على التفاصيل، راجع وصف الخيار. تكوين WPAD (الوكيل: المنفذ).

اختطاف الشركات الصغيرة والمتوسطة

SSH MiTM

يمكنك اعتراض بيانات مصادقة SSH (تسجيل الدخول/كلمة المرور) ورؤية جميع الأوامر التي تمر أثناء جلسة بعيدة. يتم دعم آليتي مصادقة: كلمة المرور والتفاعلية. لاستنشاق بيانات الضحية، نحتاج إلى التصرف مثل sshd حقيقي ونوفر مفاتيح rsa/dsa الخاصة بنا. إذا قام الضحية بتخزين مفتاح المضيف الأصلي مؤقتًا، فستظهر رسالة تحذير، وإذا لم يتم تخزينه مؤقتًا، فلن تكون هناك أي علامات على وجود هجوم من جانب العميل.

بمجرد تسجيل دخول الضحية، يمكنه العمل كالمعتاد، وتنفيذ الأوامر والبرامج الرسومية الزائفة مثل قائد منتصف الليل. يعترض المعترض طلبات WINDOW_CHANGE، لذلك إذا قرر الضحية تغيير حجم النافذة، فسيتم إعادة رسم كل شيء بشكل صحيح ليتناسب مع حجم النافذة الجديد.

يعمل البرنامج مع جلسة عمل عن بعد، لكنه لا يعمل مع SFTP. إذا بدأت الضحية عميل سفتبسيتم اعتراض بيانات المصادقة، ولكن بعد ذلك سيتم تجاهل الاتصال ووضع علامة عليه. ثم عندما يحاول الضحية إعادة الاتصال، سيتمكن من الوصول إلى خادم ssh الأصلي بالإضافة إلى خادم sshd المزيف الخاص بنا.

ومن الضروري الإشارة إلى أن المهاجم يقوم بتسجيل الدخول إلى الخادم البعيد ويترك عنوان IP الخاص به في السجلات. في الوضع الخبير، يمكنك تحديد خيار قطع اتصال ssh بعد تلقي بيانات اعتماد الضحية. سيتم تحديد الاتصال، وفي المحاولة التالية، سيسمح البرنامج بالوصول إلى الخادم الأصلي.

اختطاف جي بي

قدرات إضافية لهجمات رجل في الوسط (MiTM) في Intercepter-NG

توجد أيضًا أزرار استخدام هذه الميزات في القسم خيارات ميتم(النرد ورمز JDownloader والمحقنة والدرع ورمز خطر الإشعاع القائم بذاته):

مغير حركة المرور (تغيير البيانات النصية في تدفق حركة مرور الشبكة)

يمكنك استبدال البيانات ذات الحجم المتساوي فقط دون تغيير طول الحزم. لنفترض أن المتصفح يفتح site.com/file.txt، الذي يحتوي على السلسلة "12345". استجابة لطلب GET، سيعيد الخادم رأس HTTP يشير إلى طول البيانات المرسلة - طول المحتوى: 5. ماذا يحدث إذا استبدلنا "12345" بـ "12356"؟ سيقوم المتصفح بتنزيل 5 بايت فقط، مع تجاهل "6" المضافة، وإذا قمنا بتقليل حجم البيانات عن طريق استبدال "12345" بـ "1234"، فسيستقبل المتصفح 4 بايت فقط وسينتظر بايت واحد آخر من الخادم حتى يتم إغلاق الاتصال بواسطة المهلة. ولهذا السبب تم وضع هذا القيد في الحجم. يمكنك تغيير كل من البيانات النصية والثنائية، ويكون بناء جملة الأنماط الثنائية هو نفسه الموجود في لغة C - "\x01\x02\x03".

إذا كان الاستبدال في حركة مرور HTTP مطلوبًا، فستحتاج في الإعدادات إلى تمكين خيار "تعطيل تشفير HTTP gzip".

انتحال

يسمح لك الانتحال بإعادة توجيه المضيفين إلى عنوان IP معين. يتم دعم بروتوكولات DNS، NBNS، LLMNR.

باستخدام DNS، يمكنك تحديد قناع لإعادة توجيه جميع النطاقات الفرعية أيضًا. عادةً، سيتم إنشاء أزواج domain.com:IP، ولكن لن يتم انتحال النطاقات الفرعية. لإعادة توجيههم جميعًا، أضف * (العلامة النجمية) قبل اسم النطاق: *host.com

التنزيل القسري وحقن JS

يتعلق كلا الابتكارين بوضع حقن HTTP. في اللغة الروسية، يمكن ترجمة "التنزيل القسري" على أنه "التنزيل القسري"، لأن هذا هو بالضبط ما يحدث من جانب الهدف أثناء تصفح الويب. عند الدخول إلى الموقع، يُعرض عليه تنزيل الملف الذي حدده المهاجم اعتمادًا على إعدادات المتصفح، ويمكن تنزيله بشكل مستقل، وسيختار المستخدم بعد ذلك تشغيله أم لا.

كما تفهم، يمكنك إضافة ملف exe بمحتوى عشوائي إلى التنزيل القسري، وسيكون مصدر هذا الملف هو الموقع الموجود فيه في اللحظةتمت زيارتها من قبل المستخدم. مع العلم أن الهدف سيفتح adobe.com، يمكنك إصدار flashplayer.exe وسيتم إدراج مصدر هذا الملف باسم adobe.com أو أحد نطاقاته الفرعية.

بعد الحقن لمرة واحدة، يتم إيقاف التأثير لإعادة الحقن، تحتاج إلى النقر فوق خانة الاختيار المقابلة مرة أخرى.

JS Inject غير موجود بشكل واضح بين عناصر التحكم، لأن في الواقع، هذا هو حقن http الأكثر شيوعًا، ولكن مع اختلاف واحد. عند استبدال ملف بآخر، على سبيل المثال، pics.jpg بملف معين، فهذا هو بالضبط استبدال محتوى بآخر. من المرجح أن يؤدي استبدال البرنامج النصي .js إلى تعطيل تشغيل المورد، لذلك في الإصدار الجديد، لا يستبدل js inject نصًا برمجيًا بآخر، ولكنه يضيفه إلى النص الموجود، مما يضيف القدرة على تقديم تعليمات برمجية إضافية دون التأثير على النص الأصلي .

يجمع وضع FATE بين وظيفتين جديدتين: الموقع المزيف والتحديث المزيف.

الهدف الرئيسي لموقع FAke siTE هو الحصول على بيانات الترخيص من أي مورد ويب، وتجاوز SSL وآليات الأمان الأخرى. يتم تحقيق ذلك عن طريق استنساخ صفحة الترخيص وإنشاء قالب سيتم استضافته على خادم الويب الزائف المدمج. افتراضيًا، يتضمن المعترض قالبًا واحدًا للحسابات.google.com، لأنه تتطلب منك الصفحة الأصلية ملء حقل بتسجيل الدخول ثم كلمة المرور. تم تعديل هذا القالب بشكل طفيف للسماح بتنشيط كلا الحقلين في نفس الوقت. قبل الهجوم، يجب عليك تحديد المجال الذي سيتم استضافة القالب عليه. بعد بدء الهجوم، يتم إدخال إعادة التوجيه إلى المجال المحدد في حركة مرور الهدف وبعد ذلك سيقوم المعترض تلقائيًا بانتحال DNS إلى العناوين المطلوبة. ونتيجة لذلك، سيتم فتح صفحة التفويض المحددة في المتصفح.

الوظيفة FAke updaTE (تحديثات وهمية) تعني ظهور رسائل حول تثبيت “الضحية” برمجةويزعم تنزيل ملف التحديث الذي تمت إضافة الحمولة إليه. قائمة البرامج المدعومة متواضعة للغاية. إذا كنت ترغب في ذلك، يمكنك إضافة القوالب الخاصة بك؛ ويمكن الاطلاع على بنيتها في تحديثات Misc\FATE.

سم ARP (نقش ARP)

جزء من هجوم الرجل في الوسط الكلاسيكي. يبدأ هذا الهجوم بفحص المضيفين. عند اكتشاف المضيفين واختيار بعضهم كأهداف، يبدأ تسمم ARP، ونتيجة لذلك يبدأ المضيفون المهاجمون في إعادة توجيه حركة المرور الخاصة بهم ليس إلى البوابة، ولكن إلى المهاجم. يدرس المهاجم (يشم) حركة المرور هذه، ويقوم بمعالجات أخرى، ويرسلها إلى الخادم الهدف. يستجيب الخادم الهدف للمهاجم (كمصدر الطلب)، ويتم أيضًا استنشاق حركة المرور هذه وتعديلها وإرسالها إلى الضحية. ونتيجة لذلك، لا تحدث أي تغييرات مهمة للضحية - يبدو الأمر كما لو أنه يتبادل البيانات مع خادم بعيد.

ميزات إضافية لـ Intercepter-NG

أزرار البدء وظائف إضافيةالموجود في قسم منفصل من العمود الأيمن في نافذة البرنامج:

أصبح Intercepter-NG الآن خاصًا به الماسح الضوئي للشبكة، الذي حل محل ماسح المنافذ البدائي من الإصدارات السابقة. وظائفها الرئيسية:

1. قم بمسح المنافذ المفتوحة واكتشف البروتوكولات التالية بشكل تجريبي: SSH، Telnet، HTTP\Proxy، Socks4\5، VNC، RDP.
2. تحديد وجود SSL على منفذ مفتوح، وقراءة اللافتات ورؤوس الويب المختلفة.
3. إذا تم اكتشاف وكيل أو سوكس، فتأكد من أنهما مفتوحان للخارج.
4. تحقق من الوصول بدون كلمة مرور إلى خوادم VNC، وتحقق من SSL على HeartBleed. قراءة version.bind من DNS.
5. تحقق من قاعدة البيانات بحثًا عن البرامج النصية الموجودة على خادم الويب والتي من المحتمل أن تكون عرضة لـ ShellShock. تحقق من قاعدة البيانات للحصول على قائمة بالأدلة والملفات التي تحتوي على 200 OK، بالإضافة إلى قائمة بالأدلة من ملف robots.txt.
6. تحديد إصدار نظام التشغيل عبر SMB. إذا كان لديك وصول مجهول، فاحصل على التوقيت المحلي ووقت التشغيل وقائمة الموارد المشتركة و المستخدمين المحليين. يبدأ البحث التلقائي عن كلمة المرور للمستخدمين الذين تم العثور عليهم.
7. حدد من القائمة المضمنة لمستخدمي SSH عن طريق قياس وقت الاستجابة. يبدأ البحث التلقائي عن كلمة المرور للمستخدمين الذين تم العثور عليهم. إذا لم ينتج عن التعداد نتائج (لا يعمل على كافة الإصدارات)، فسيتم تشغيل البحث عن الجذر فقط.
8. القوة الغاشمة التلقائية لـ HTTP Basic وTelnet. نظرًا لخصائص بروتوكول telnet، فمن الممكن حدوث نتائج إيجابية كاذبة.

يمكنك مسح أي هدف، سواء على الشبكة المحلية أو على الإنترنت. يمكنك تحديد قائمة المنافذ للمسح الضوئي: 192.168.1.1:80,443 أو النطاق 192.168.1.1:100-200. يمكنك تحديد نطاق العناوين للفحص: 192.168.1.1-192.168.3.255.

للحصول على نتيجة أكثر دقة، يمكن فحص 3 مضيفين فقط في المرة الواحدة. حرفيًا في اللحظة الأخيرة، تمت إضافة عمليات التحقق من البيانات من شهادات SSL، على سبيل المثال، إذا تمت مصادفة كلمة Ubiquiti وكان المنفذ 22 مفتوحًا، فإنه يبدأ تلقائيًا القوة الغاشمة SSHالمستخدم أوبنت. الأمر نفسه ينطبق على زوج من أجهزة Zyxel مع المستخدم المسؤول. بالنسبة للإصدار الأول من الماسح الضوئي، هناك وظائف كافية وتم تصحيحها بشكل جيد.

استغلال HeartBleed

يختبر ما إذا كان الهدف عرضة لـ HeartBleed. إذا كان الهدف ضعيفًا، فإنه يستغل هذه الثغرة الأمنية ويتلقى جزءًا من المحتوى كبشالمضيف البعيد.

وضع القوة الغاشمة

يتم دعم هجمات القوة الغاشمة (القوة الغاشمة، القوة الغاشمة) لبروتوكولات الشبكة التالية:

• POP3 تلس
• SMTP TLS
• HTTP الأساسي
• مشاركة HTTP
• تلنت
• إم وير

يمكنك ضبط عدد المواضيع التي سيتم التحقق من بيانات الاعتماد فيها.

عند انتهاء المهلة، تتم إعادة تشغيل مؤشر الترابط النشط من نفس المكان وتستمر عملية البحث.

متاح وضع واحد، مما يشير إلى أنه يجب التحقق من كل زوج جديد من تسجيل الدخول: كلمة المرور عند إنشاء اتصال جديد؛ وهذا يسمح بزيادة السرعة بالنسبة لبعض البروتوكولات. يتم حفظ سجل العملية في brute.txt.

وظائف ARP

إلى جانب حفر ARP ومسح ARP، هناك العديد من الوظائف الأخرى المرتبطة ببروتوكول ARP. يتم وضع اثنين منهم في أزرار منفصلة في العمود الأيمن في نافذة البرنامج:

• مشاهدة ARP: خدمة مراقبة ARP الشخصية. يجب أن تبدأ بإجراء فحص ARP لملء قائمة عناوين MAC الموثوقة ("النظيفة"). إذا حاول شخص ما تسميم ذاكرة التخزين المؤقت ARP الخاصة بك، فستظهر رسالة تحذير.
• قفص ARP: يعزل عنوان IP الهدف عن المضيفين المحليين الآخرين عن طريق انتحال إدخالات جدول arp.

أمثلة على إطلاق Intercepter-NG

كيفية تشغيل MiTM في Intercepter-NG

ابدأ بالاختيار محول الشبكة (محول الشبكة):

انقر انقر بزر الماوس الأيمنعلى طاولة فارغة وحدد المسح الذكي:

سيتم عرض قائمة الأهداف:

أضف ما تحتاجه كأهداف ( أضف كهدف):

لبدء الاستنشاق، انقر فوق الرمز المقابل:

انتقل إلى علامة التبويب وضع ميتم(هذه كرة أرضية بها أسلاك التصحيح) وانقر فوق الرمز سم ARP(رمز خطر الإشعاع):

في علامة التبويب وضع كلمة المرور(الرمز عبارة عن سلسلة مفاتيح)، ستظهر بيانات الاعتماد التي تم التقاطها:

العمل مع شبكة Wi-Fi والعمل مع Ethernet

لا توجد فروق عند العمل مع شبكة Wi-Fi أو الاتصالات السلكية، ولكن عليك التبديل إليها الوضع المطلوببالضغط على الأيقونة:

التحليل دون اتصال لملفات التقاط pcap

هناك العديد من الخيارات التي يمكنها إبطاء أو تسريع وقت التحليل.

1. في البداية، إذا كنت بحاجة إلى قراءة ملف .pcap كبير، فقم بتعطيل الخيار " حل".
2. إذا كان ملف ‎.pcap الخاص بك يحتوي على ملفات كبيرة وتم تمكين Resurrection، فقد تنخفض السرعة. الحل هو وضع حد أقصى لحجم الملف للاسترداد.
3. إذا لم تكن بحاجة إلى إعادة بناء أي شيء، فقم بتعطيل هذا الخيار في الإعدادات. سوف تزيد السرعة.
4. إذا كنت بحاجة إلى تحليل بروتوكول معين فقط، على سبيل المثال، ICQ\AIM أو HTTP فقط، فقم بتعيين عامل التصفية المناسب " مرشح بي كاب" من الوضع الخام: منفذ TCP xxx، أين xxxهو رقم المنفذ للبروتوكول الخاص بك.
5. يمكنك تحميل أكثر من لقطة واحدة للتحليل. في افتح الحوارحدد عدة ملفات، وسيتم تحليلها جميعًا واحدًا تلو الآخر.

تركيب Intercepter-NG

التثبيت على لينكس كالي

لتثبيت وتشغيل Intercepter-NG في كالي لينكسقم بتشغيل الأوامر التالية:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo cp packet/packet. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Load Intercepter-NG v1. 0 وحذف ملفات دلل wpcap.dll وPacket.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip unzip Intercepter- NG.zip rm wpcap.dll rm Packet.dll سودو النبيذ Intercepter-NG.exe

التثبيت على ويندوز

لتثبيت Intercepter-NG على نظام التشغيل Windows، انتقل إلى الأرشيف المقابل وقم بتنزيله (بدون أحرف م.). البرنامج لا يتطلب التثبيت، فقط قم بفك ضغط الأرشيف وتشغيل الملف .إملف تنفيذى.

التثبيت على أندرويد

لتثبيت Intercepter-NG على نظام Android، انتقل إلى الملف وقم بتنزيله apk. لتشغيل التطبيق بنجاح، حقوق الجذر مطلوبة.

لقطات شاشة Intercepter-NG

ما هو المعترض-NG

دعونا نفكر في جوهر عمل ARP مثال بسيط. الكمبيوتر A (عنوان IP 10.0.0.1) والكمبيوتر B (عنوان IP 10.22.22.2) متصلان عبر شبكة Ethernet. يريد الكمبيوتر "أ" إرسال حزمة بيانات إلى الكمبيوتر "ب"، فهو يعرف عنوان IP الخاص بالكمبيوتر "ب". ومع ذلك، فإن شبكة Ethernet التي يتصلون بها لا تعمل مع عناوين IP. لذلك، من أجل الإرسال عبر Ethernet، يحتاج الكمبيوتر A إلى معرفة عنوان الكمبيوتر B على شبكة Ethernet (عنوان MAC بمصطلحات Ethernet). يتم استخدام بروتوكول ARP لهذه المهمة. باستخدام هذا البروتوكول، يرسل الكمبيوتر "أ" طلب بث موجهًا إلى كافة أجهزة الكمبيوتر الموجودة في نفس مجال البث. جوهر الطلب: "الكمبيوتر الذي يحمل عنوان IP 10.22.22.2، قم بتوفير عنوان MAC الخاص بك إلى الكمبيوتر الذي يحمل عنوان MAC (على سبيل المثال، a0:ea:d1:11:f1:01)." تقوم شبكة Ethernet بتسليم هذا الطلب إلى كافة الأجهزة الموجودة على نفس مقطع Ethernet، بما في ذلك الكمبيوتر B. يستجيب الكمبيوتر B للكمبيوتر A للطلب ويبلغ عن عنوان MAC الخاص به (على سبيل المثال 00:ea:d1:11:f1:11) الآن، بعد إذا تلقى عنوان MAC الخاص بالكمبيوتر B، فيمكن للكمبيوتر A إرسال أي بيانات إليه عبر شبكة Ethernet.

لتجنب الحاجة إلى استخدام بروتوكول ARP قبل كل إرسال للبيانات، يتم تسجيل عناوين MAC المستلمة وعناوين IP المقابلة لها في الجدول لبعض الوقت. إذا كنت بحاجة إلى إرسال البيانات إلى نفس عنوان IP، فليست هناك حاجة لاستقصاء الأجهزة في كل مرة بحثًا عن جهاز MAC المطلوب.

كما رأينا للتو، يتضمن ARP طلبًا واستجابة. تتم كتابة عنوان MAC من الاستجابة إلى جدول MAC/IP. عند تلقي الرد، لا يتم التحقق من صحته بأي شكل من الأشكال. علاوة على ذلك، فهو لا يتحقق حتى مما إذا كان الطلب قد تم تقديمه أم لا. أولئك. يمكنك إرسال استجابة ARP على الفور إلى الأجهزة المستهدفة (حتى بدون طلب)، مع بيانات مخادعة، وستنتهي هذه البيانات في جدول MAC/IP وسيتم استخدامها لنقل البيانات. هذا هو جوهر هجوم انتحال ARP، والذي يُطلق عليه أحيانًا حفر ARP، أو تسميم ذاكرة التخزين المؤقت لـ ARP.

وصف هجوم انتحال ARP

جهازي كمبيوتر (العقدتين) M وN على شبكة إيثرنت المحلية يتبادلان الرسائل. يريد المهاجم X، الموجود على نفس الشبكة، اعتراض الرسائل بين هذه العقد. قبل تطبيق هجوم انتحال ARP على واجهة الشبكة للمضيف M، يحتوي جدول ARP على عنوان IP وMAC للمضيف N. وعلى واجهة الشبكة للمضيف N أيضًا، يحتوي جدول ARP على عنوان IP وMAC للمضيف M .

أثناء هجوم انتحال ARP، ترسل العقدة X (المهاجم) استجابتي ARP (بدون طلب) - إلى العقدة M والعقدة N. تحتوي استجابة ARP للعقدة M على عنوان IP الخاص بـ N وعنوان MAC الخاص بـ X. تحتوي استجابة ARP للعقدة N على عنوان IP M وعنوان MAC X.

نظرًا لأن أجهزة الكمبيوتر M و N تدعم ARP التلقائي، فإنها بعد تلقي استجابة ARP، تقوم بتغيير جداول ARP الخاصة بها، والآن يحتوي جدول ARP M على عنوان MAC X المرتبط بعنوان IP N، ويحتوي جدول ARP N على عنوان MAC X، منضمة إلى عنوان IP M.

وهكذا، اكتمل هجوم انتحال ARP، والآن تمر جميع الحزم (الإطارات) بين M وN عبر X. على سبيل المثال، إذا أراد M إرسال حزمة إلى الكمبيوتر N، فإن M يبحث في جدول ARP الخاص به، ويجد إدخالاً باستخدام عنوان IP الخاص بالمضيف N، حدد عنوان MAC من هناك (ويوجد بالفعل عنوان MAC للعقدة X) وينقل الحزمة. تصل الحزمة إلى الواجهة X، ويتم تحليلها بواسطتها، ثم يتم توجيهها إلى العقدة N.

المشاهدات: 2890

مقدمة

بكل سرور أود أن أقدم الإصدار الجديد من Intercepter-NG 0.9.10، والذي في رأيي،
يوسع بشكل كبير نطاق الأداة. لن يتم تقديم هذه المراجعة في شكل قائمة جافة.
الابتكارات، بل كوصف لناقلات الهجوم الجديدة إلى جانب عدد من التفاصيل الفنية وعناصر قصة الاختراق. فلنبدأ...

مسح الشبكة

كما هو الحال دائمًا، تم إجراء العديد من التصحيحات والتحسينات الطفيفة بحيث لا فائدة من الإدراج.
يعرف أي شخص يستخدم الأداة غالبًا أن أحد الأوضاع الرئيسية هو وضع فحص الشبكة، وعلى وجه الخصوص، وظيفة Smart Scan. تمت إضافة عرض اسم الكمبيوتر إلى المعلومات المألوفة بالفعل حول عناوين IP وMAC والشركة المصنعة لبطاقة الشبكة ونظام التشغيل.
خلال نفس الفترة الزمنية، يمكنك الآن بالإضافة إلى ذلك معرفة اسم NetBIOS أو اسم جهاز iOS.
لحل المشكلة الأخيرة، يتم استخدام بروتوكول MDNS، الذي يعمل على أساسه بروتوكول Apple Bonjour، حيث يتم الآن حفظ جميع الأسماء المستلمة في ملف ذاكرة التخزين المؤقت، وإذا لم يتم الحصول على معلومات حول اسم المضيف ديناميكيًا أثناء عمليات الفحص اللاحقة لسبب ما، سيتم أخذها من ذاكرة التخزين المؤقت، يمكننا أيضًا أن نذكر ظهور وظيفة Auto ARP Poison، والتي يتم تمكينها في إعدادات الخبير، في وضع السم التلقائي، يكفي إضافة مضيف واحد فقط إلى قائمة الأهداف سيقوم Intercepter بمسح الشبكة نفسها في فترة زمنية معينة وإضافة أهداف جديدة تلقائيًا.

وضع القوة الغاشمة

يضيف هذا الوضع دعم TLS لـ بروتوكولات SMTPوPOP3، بالإضافة إلى ترخيص TELNET بالقوة الغاشمة.
الآن، عند انتهاء المهلة، تتم إعادة تشغيل مؤشر الترابط النشط من نفس المكان وتستمر عملية البحث.
ظهر الوضع الفردي، مما يشير إلى أنه يجب فحص كل زوج جديد من LPs من خلال إنشاء اتصال جديد، بالنسبة لبعض البروتوكولات، يسمح هذا بزيادة السرعة. يتم حفظ سجل العملية في ملف brute.txt.

مغير حركة المرور

لقد تم تقديم طلبات لتنفيذ وظيفة استبدال حركة المرور أكثر من مرة ولم تمر دون أن يلاحظها أحد، لكن لا ينبغي أن تبتهج في وقت مبكر.
على السؤال المضاد: "لماذا تحتاج هذه الفرصة بالضبط؟" وجد بعض المستخدمين صعوبة في الإجابة أو قالوا إن تغيير الكلمات في حركة مرور الويب كان مزحة. ولكي لا أشرح لكل جوكر لماذا لا ترقى النتيجة دائمًا إلى مستوى التوقعات، يمكنك فقط استبدال البيانات ذات الحجم المتساوي دون تغيير طول الحزم. لا يتعلق القيد على الإطلاق بمشاكل التنفيذ الفني، ولا توجد صعوبات في تقسيم إطارات إيثرنت مع إعادة حساب حقول TCP المقابلة. كل ذلك يعود إلى بروتوكولات التطبيق. لنلقِ نظرة على مثال باستخدام HTTP.

لنفترض أن المتصفح يفتح site.com/file.txt، الذي يحتوي على السلسلة "12345". استجابة لطلب GET، سيعيد الخادم رأس HTTP يشير إلى طول البيانات المرسلة - طول المحتوى: 5. ماذا يحدث إذا استبدلنا "12345" بـ "12356"؟ سيقوم المتصفح بتنزيل 5 بايت فقط، مع تجاهل "6" المضافة، وإذا قمنا بتقليل حجم البيانات عن طريق استبدال "12345" بـ "1234"، فسيستقبل المتصفح 4 بايت فقط وسينتظر بايت واحد آخر من الخادم حتى يتم إغلاق الاتصال بواسطة المهلة. ولهذا السبب تم وضع هذا القيد في الحجم. يمكنك تغيير كل من البيانات النصية والثنائية؛ بناء جملة الأنماط الثنائية هو نفسه الموجود في لغة C - "x01x02x03".
إذا كان الاستبدال في حركة مرور HTTP مطلوبًا، فستحتاج في الإعدادات إلى تمكين خيار "تعطيل تشفير HTTP gzip".

انتحال HSTS

كما وعدت، ظهرت تجاوز HSTSعند إجراء قطاع SSL. تقنية الالتفافية بسيطة نسبيًا، ولكن هناك بعض الصعوبات في التنفيذ، لذلك لا تتوقع أي نتائج خاصة. لنفكر في مثال على Yandex Mail باستخدام متصفح Chrome. إذا ذهبت إلى ، ففي الزاوية اليمنى العليا سيكون هناك رابط https "تسجيل الدخول إلى البريد"، والذي يمكن لـ SSL Strip التعامل معه بسهولة. بعد ذلك، سيتم فتح نموذج ترخيص، حيث يتم نقل البيانات إلى طريقة POST. حتى بعد تجريد https، سيحدث التفويض عبر SSL، لأنه تم تضمين المضيف Passport.yandex.ru في قائمة Chrome المحملة مسبقًا. من أجل الاستمرار في اعتراض البيانات، نحتاج إلى استبدال اسم المضيف جواز السفر.yandex.ru بشيء آخر حتى لا يكتشف المتصفح أنه يجب زيارة هذا المورد بشكل صارم عبر اتصال آمن. على سبيل المثال، يمكنك استبدال جواز السفر.yandex.ru بـ paszport.yandex.ru، وفي هذه الحالة سيتم إرسال البيانات بنص واضح إلى اسم النطاق الذي تم تغييره. ولكن بسبب مثل هذا المجال - paszport.yandex.ru غير موجود، فأنت بحاجة بالإضافة إلى ذلك إلى القيام بانتحال DNS، أي. عند حل paszport.yandex.ru، يجب أن يتلقى العميل عنوان IP الأصلي من Passport.yandex.ru ردًا على ذلك. هذا الإجراء تلقائي ولا يتطلب تدخلاً إضافيًا من المستخدم عند تنفيذ الهجوم. الشيء الوحيد المطلوب هو إنشاء قائمة بالبدائل أولاً في ملف Mischsts.txt. بشكل افتراضي، هناك العديد من الإدخالات لـ yandex وgmail وfacebook وyahoo. من المهم أن نفهم أن تقنية التجاوز هذه لن تسمح باعتراض الجلسة أو التفويض إذا قام المستخدم بالدخول إلى facebook.com في المتصفح، لأن سيفتح المتصفح على الفور النسخة الآمنة من الموقع. في هذه الحالة، يكون الهجوم ممكنًا فقط إذا تم أخذ الرابط إلى facebook.com من مصدر آخر، على سبيل المثال عند إدخال facebook في . تشمل المشاكل الرئيسية في تنفيذ الهجوم المنطق غير المتوقع لكيفية عمل المواقع مع نطاقاتها الفرعية وميزات كود الويب التي يمكن أن تلغي أي محاولات
تجاوز HSTS. ولهذا السبب لا ينبغي عليك إضافة أي مواقع إلى القائمة، فحتى النطاقات الموجودة في Intercepter-NG افتراضيًا لها خصائصها الخاصة ولا تعمل دائمًا بشكل صحيح. لا أريد حقاً أن أصنع عكازات لكل مورد؛ ربما سيتم إجراء بعض التحسينات الشاملة في المستقبل، ولكن في الوقت الحالي، كما يقولون، كما هو.
فارق بسيط آخر، في التنفيذ الحالي، من أجل تنفيذ انتحال DNS، من الضروري ألا يكون خادم DNS موجودًا على الشبكة المحلية، بحيث يكون من الممكن رؤية طلبات DNS إلى البوابة والرد عليها حسب الحاجة.

من المهم ملاحظة أن الإصدار الجديد قد أدى إلى تحسين عمل شريط SSL نفسه بشكل كبير.

التنزيل القسري وحقن JS

يتعلق كلا الابتكارين بوضع حقن HTTP. في اللغة الروسية، يمكن ترجمة "التنزيل القسري" على أنه "التنزيل القسري"، لأن هذا هو بالضبط ما يحدث من جانب الهدف أثناء تصفح الويب. عند الدخول إلى الموقع، يُعرض عليه تنزيل الملف الذي حدده المهاجم اعتمادًا على إعدادات المتصفح، ويمكن تنزيله بشكل مستقل، وسيختار المستخدم بعد ذلك تشغيله أم لا.
كما تفهم، يمكنك إضافة ملف exe بمحتوى عشوائي إلى التنزيل القسري، وسيكون مصدر هذا الملف هو الموقع الذي يزوره المستخدم حاليًا. مع العلم أن الهدف سيفتح adobe.com، يمكنك إصدار flashplayer.exe وسيتم إدراج مصدر هذا الملف باسم adobe.com أو أحد نطاقاته الفرعية.
بعد الحقن لمرة واحدة، يتم إيقاف التأثير لإعادة الحقن، تحتاج إلى النقر فوق خانة الاختيار المقابلة مرة أخرى.

JS Inject غير موجود بشكل واضح بين عناصر التحكم، لأن في الواقع، هذا هو حقن http الأكثر شيوعًا، ولكن مع اختلاف واحد. عند استبدال ملف بآخر، على سبيل المثال، pics.jpg بملف معين، فهذا هو بالضبط استبدال محتوى بآخر. من المرجح أن يؤدي استبدال البرنامج النصي .js إلى تعطيل تشغيل المورد، لذلك في الإصدار الجديد، لا يستبدل js inject نصًا برمجيًا بآخر، ولكنه يضيفه إلى النص الموجود، مما يضيف القدرة على تقديم تعليمات برمجية إضافية دون التأثير على النص الأصلي .

SSL MiTM

نحن نقترب تدريجياً من المنتجات الجديدة الأكثر إثارة للاهتمام. لقد أعاد الإصدار الجديد كتابة كود SSL MiTM بالكامل. الآن يعمل بشكل سريع ومستقر. لقد تغيرت أيضًا خوارزمية إنشاء الشهادات؛ وتمت إضافة سجلات DNS إضافية إليها، وتم توقيع جميع الشهادات بمفتاح واحد (miscserver). وهذا يعني أنه من خلال إضافة هذه الشهادة الموقعة ذاتيًا إلى قائمة الشهادات الموثوق بها على جهاز الكمبيوتر الهدف، سيكون من الممكن الاستماع إلى حركة مرور SSL إلى أي مورد (حيث لا يوجد تثبيت SSL). تعمل ميزة Cookie Killer الآن مع اتصالات SSL. ظهرت القوائم السوداء (miscssl_bl.txt) والقوائم البيضاء (miscssl_wl.txt). يمكنهم استبعاد أو، على العكس من ذلك، تحديد عناوين IP أو المجالات التي يجب أو لا ينبغي تطبيق SSL MiTM عليها. عند تحديد منفذ SSL إضافي، لم يعد من الضروري تحديد نوع القراءة والكتابة؛ يكفي تحديد رقم المنفذ. تتم كتابة كل حركة المرور إلى ssl_log.txt.

اختطاف سياسة المجموعة

ميزة قاتلة أخرى في Intercepter-NG. على الرغم من أنني لم أكتشف هذه التقنية، إلا أن هذا هو أول تنفيذ علني وكامل لهذا الهجوم. وصف تفصيليمتاح و.

مرة أخرى، قامت SMB بإفساد Microsoft، لأنه بفضل هذه الثغرة الأمنية، يمكنك الوصول إلى أي جهاز كمبيوتر في المجال (باستثناء وحدة تحكم المجال) في غضون ساعة ونصف تقريبًا. ما هي النقطة؟

كل 90+ رقم عشوائي من 0 إلى 30 دقيقة، يطلب عضو المجال سياسات المجموعة من DC. يحدث هذا عبر SMB، عن طريق فتح عنوان الشبكة DCSYSVOLDdomain.namePoliciesUUIDgpt.ini.

محتوى هذا الملفالتالي:

الإصدار=12345

هذا الرقم هو نسخة نسبية من التيار سياسات المجموعة. إذا مع آخر تحديثلم يتغير الإصدار، ثم تتوقف عملية الحصول على سياسات المجموعة، ولكن إذا كان الإصدار مختلفًا، فيجب تحديثها. في هذه المرحلة، يطلب العميل CSEs النشطة (ملحقات جانب العميل) من المجال، والتي تتضمن العديد من البرامج النصية لتسجيل الدخول، ومهام المجدول، وما إلى ذلك. وبطبيعة الحال، يمكن للمهاجم الذي يقف في المنتصف أن يحل محل إحدى المهام التي تولدها وحدة التحكم في شكل ملف. في هذه الحالة، ستكون العملية بسيطة تمامًا، ولكن يتم تعطيل جميع محركات البحث المخصصة هذه بشكل افتراضي والشيء الوحيد الذي يمكن القيام به هو تعديل السجل، لأنه عند تحديث سياسات المجموعة، يطلب العميل ملفًا آخر - GptTmpl.inf، والذي من خلاله يمكنك إضافة أو حذف إدخال. قرر مؤلفو كلا المقالين استخدام طريقة معروفة - AppInit_Dll - لتوضيح تنفيذ التعليمات البرمجية. قمنا بتعيين مفتاح التسجيل المطلوب لتحميل ملف dll الخاص بنا من مسار الشبكة، وبعد ذلك نفذت العملية التي تم إنشاؤها حديثًا في النظام تعليمات برمجية عشوائية. لكن هذه الطريقة مناسبة فقط كدليل على المفهوم، لأن AppInit_Dll تم تعطيله افتراضيًا لسنوات عديدة. وفي هذا الصدد، تم تعيين المهمة لإيجاد طريقة أخرى لتنفيذ التعليمات البرمجية عن بعد، دون الحاجة إلى انتظار إعادة التشغيل، كما هو الحال مع إضافة التشغيل التلقائي إلى مفتاح التشغيل.

بذلت محاولات عديدة لتحقيق الهدف المنشود بشكل أو بآخر، دون جدوى، حتى واحدة رجل طيب(thx man) لم يقترح مفتاح تسجيل مثيرًا للاهتمام ولم أكن أعرف عنه شيئًا من قبل.

يمكنك إضافة مصحح أخطاء إلى المفتاح لأي ملف exe. على سبيل المثال، قم بالإشارة إلى أنه يجب فتح calc.exe عبر c:pathdebuger.exe وبمجرد تشغيل الآلة الحاسبة، سيتم فتح مصحح الأخطاء أولاً، في سطر الأوامروالذي سيكون المسار إلى الحساب. لقد بدا هذا بالفعل حلاً جاهزًا تقريبًا، لأنه كان من الممكن تنفيذ التعليمات البرمجية دون إعادة التشغيل، وإن كان ذلك في ظل ظروف معينة، كنت راضيًا عن القيود المفروضة على حتمية مشاركة المستخدم في عملية الوصول، أي بدلاً من الآلة الحاسبة، كان من الممكن تنفيذ التعليمات البرمجية من خلال الاتصال بـ IE أو Chrome أو أي تطبيق آخر، ولكن ظهرت مشكلة جديدة. إذا لم يكن لدى المستخدم المهاجم حقوق إدارية، فحتى بعد تلقي الصدفة، لم تكن هناك طريقة لحذف مصحح الأخطاء الذي تمت إضافته مسبقًا إلى السجل، مما يعني أنه بعد توقف الهجوم أو عند إعادة التشغيل، توقف التطبيق المستغل عن العمل، لأن المخادع عنوان الشبكةنظرًا لأن debuger.exe لم يعد موجودًا.
كان من الضروري إيجاد طريقة ليس فقط للحصول على الوصول إلى Shell، ولكن دائمًا مع حقوق المسؤول. حذف جميع الصعوبات اللاحقة، سأصف النتيجة. بعد تلقي سياسات المجموعة، يجب على النظام تطبيقها لهذا الغرض، ويتم استدعاء ملف Svchost وإنشاء عملية Taskhost.exe جديدة بحقوق النظام. من خلال العمل كمصحح أخطاء لـ Taskhost.exe، قتلنا عصفورين بحجر واحد - لم نتلق قذيفة تتمتع بحقوق النظام فحسب، بل تلقيناها أيضًا على الفور، دون أي تدخل يدوي من المستخدم. الهجوم مؤتمت بالكامل، ويمكنك تحديد مجموعة من الأهداف مرة واحدة وفي غضون ساعة ونصف إلى ساعتين يمكنك الحصول على مجموعة كاملة من جلسات القصف النشطة بأقصى قدر من الحقوق. ليس عليك حتى أن تكون عضوًا في المجال للقيام بذلك. الشيء الوحيد الضروري هو تمكين الوصول إلى الشبكة: دع أذونات الجميع تنطبق على المستخدمين المجهولين. عند الاختبار، حتى لا تنتظر ساعة ونصف، فقط قم بتشغيل gpupdate من وحدة التحكم. تم اختباره على نظام التشغيل Windows 78.1 المصحح في المجالات التي تحتوي على خوادم 2008R22012R2.

ما هي تدابير الحماية؟ أصدرت Microsoft تصحيحًا لـ MS15-011، يقدم ما يسمى UNC Hardened Access، والذي يتطلب الإعدادات اليدوية. هناك عبارة مثيرة للاهتمام في النشرة الإخبارية:

"قد يكون المستخدمون الذين تم تكوين حساباتهم بحيث تتمتع بحقوق مستخدم أقل على النظام أقل تأثراً من المستخدمين الذين يعملون بحقوق مستخدم إدارية."

وكما أصبح واضحًا بالفعل، فإن التهديد مرتفع بنفس القدر بالنسبة لأي مستخدم.

على الرغم من كل إمكانات GP Hijacking، يبدو لي أن ابتكارًا آخر في هذا الإصدار يستحق اهتمامًا خاصًا...

حَلوَى

ما سنناقشه في النهاية لا يمكن أن يسمى وظيفة جديدة. بل هو ناقل هجوم يفتح متى مشاركةعدد من الحلول الموجودة بالفعل في Intercepter-NG.

يتم التركيز في هذه الحالة على الشبكات اللاسلكيةو الأجهزة المحمولة، وخاصة تشغيل iOS - iPhone و iPad. يعلم الجميع أن سم ARP الأساسي لهذه الأجهزة لا يعطي شيئًا عمليًا. ربما يكون اعتراض ملفات تعريف الارتباط من المواقع المفتوحة في المتصفح هو الشيء الوحيد الذي يمكنك الاعتماد عليه، لأن... في معظم الحالات، يعمل المستخدم من خلال تطبيقات خاصة من خدمات مختلفة، حيث يتم الاتصال بالخادم عبر SSL. حتى إذا حاولت تنفيذ SSL MiTM، فلن ينجح أي شيء؛ ستتوقف التطبيقات ببساطة عن العمل بشهادة غير موثوقة. لذلك، يُعتقد أن الهواتف والأجهزة اللوحية محمية بشكل افتراضي بشكل جيد من اعتراض الشبكة.

لكن تخيل الموقف التالي، حيث يجلس المستخدم العادي تطبيق انستقراموينظر من خلال الخلاصة.
وفجأة يتوقف التطبيق عن العمل ويشكو من عدم الاتصال، ويقوم المستخدم بفتح instagram.com في المتصفح، حيث ينبثق تنبيه مع النص "لمتابعة العمل على instagram.com، قم بتثبيت شهادة جديدة Security" وبعد إغلاق الرسالة يظهر على الشاشة طلب تثبيت شهادة جديدة. مزيد من التطويرتعتمد الأحداث بالطبع على المستخدم، ولكن احتمال استمراره في تثبيت الشهادة المقترحة مرتفع جدًا، لأن الموقف معقول تمامًا: توقف التطبيق عن العمل، وذهب إلى الموقع، ورأى تحذيرًا بشأن التحديث المطلوب، وتم التحديث - نجح كل شيء، على الرغم من أن المهاجم قام في الواقع بتأطير شهادتك ويقرأ الآن كل حركة مرور SSL. يتيح لك تطبيق Forced Download وJS Inject وSSL MiTM المستقر تنفيذ سيناريو مماثل في وقت قصير جدًا:

1. قم بإدخال .js مع التنبيه("الرجاء تثبيت شهادة جديدة لـ %domain%.");
سيتم ملء قالب %domain% باسم الموقع الذي حدث فيه الحقن.

2. فرض تنزيل Miscserver.crt - شهادة الجذرفي اعتراض-NG.

3. قم بتمكين SSL MiTM (وكذلك شريط SSL للحقن).

4. بعد شن الهجوم على جهاز الهدف، ستتوقف اتصالات SSL عن العمل، وسيتم إصدار تنبيه بشهادة في المتصفح.

يطرح سؤال طبيعي: ما يجب فعله بحركة مرور SSL، بخلاف الاعتراض السلبي للجلسات المنشأة بالفعل. يأتي ملف تعريف الارتباط Killer للإنقاذ، والذي يعمل بشكل صحيح، على سبيل المثال، في تطبيق Facebook.
يحتوي نظام iOS أيضًا على الكأس المقدسة الخاصة به - iCloud، ولكن إعادة تعيين ملفات تعريف الارتباط لن تساعد في إعادة ضبط الجلسة. تمت إضافته خصيصًا لـ iCloud، وكذلك Instagram وVK وظيفة دائرة الرقابة الداخلية Killer، الذي يعيد تعيين جلسات التطبيقات المحددة ويسمح لك باعتراض إعادة التفويض. لا يمكن تنفيذ هذه الخدعة باستخدام AppStore، لأن... يبدو أن تثبيت SSL يُستخدم هناك. تم اختبار هذا المتجه على نظامي التشغيل iOS 56 و8.4.

كانت الخطط هي إضافة القدرة على إنشاء معالجات بشكل مستقل باستخدام LUA أو من خلال مكون DLL الإضافي، ولكن بناءً على رد فعل المستخدمين، لا أحد لديه أي اهتمام حقيقي. نسخة جديدةمن المرجح أن يكون ذلك في العام المقبل، وربما سيتم إصدار تحديث وظيفي لبرنامج Intercepter-NG لنظام Android في الخريف. الأسئلة والتعليقات وطلبات الميزات هي موضع ترحيب دائمًا. هذا كل شيء.

يتم عرض عرض توضيحي للوظائف الجديدة في الفيديو.

اتصالات المشروع.