رهگیر ng کار نمی کند. Sniffer for Windows Intercepter-NG (دستورالعمل استفاده)

صفحه اصلی / نصب برنامه ها

برنامه چند منظوره به شما امکان می دهد تمام دستگاه ها را در داخل شناسایی کنید شبکه عمومی، آدرس IP و MAC دستگاه ها را تعیین کنید، ترافیک را رهگیری کنید و فایل های دانلود شده را جایگزین کنید. خواندن مکاتبات ایمیل شخص دیگری و ورود به حساب کاربری برای یک کاربر باتجربه هزینه ای ندارد. شبکه اجتماعیبا استفاده از این ابزار

مشخصه

همانطور که در بالا ذکر شد، Intercepter-NG یک برنامه برای تعامل غیرمجاز با دستگاه های دیگر است. با چند کلیک می توانید آدرس IP و آدرس مک دستگاه را تعیین کنید، ترافیک را رهگیری کنید و کوکی ها، مکاتبات آنلاین شخص دیگری را بخوانید یا به حساب شخص دیگری در یک شبکه اجتماعی وارد شوید تا کارهای "کثیف" خود را انجام دهید.

کاربران با تجربه اطمینان می دهند که برنامه کار می کند، و زمانی که به یک نقطه متصل است دسترسی به وای فایمی توانید ترافیک دیگران را رهگیری کنید.

ویژگی های خاص

در مرحله اول، شما باید حداقل دانش را داشته باشید. این برنامه حاوی دستورالعمل ها، کتاب های مرجع یا حالت های آموزشی نیست. اطلاعات مربوطه باید در انجمن های موضوعی جستجو شود.

ثانیا، برای اینکه برنامه کاربردی عمل کند، باید حقوق ابرکاربر را دریافت کنید. با در نظر گرفتن خطراتی که چنین تصمیمی به همراه دارد، مهم است که جوانب مثبت و منفی را بسنجیم. و اگر تصمیم به دریافت حقوق ریشه دارید، مطمئن شوید که ابزار مدیریت حقوق دسترسی را دانلود و نصب کنید، که با استفاده از آن می توانید دسترسی برنامه ها به حقوق فوق العاده کاربر را در زمان واقعی کنترل کنید.

Intercepter-NG به شما امکان می دهد آدرس MAC و آدرس IP هر کاربر متصل به یک شبکه عمومی را تعیین کنید. همچنین با استفاده از برنامه می توانید کوکی ها، خروجی ها و ترافیک ورودیبرای اهداف غیر قانونی

خصوصیات

Intercepter-NG یک اپلیکیشن چند منظوره است که در دستان درست به ابزاری برای انجام تراکنش های غیرقانونی تبدیل می شود. در مرحله اول، می توان از آن برای شناسایی تمام دستگاه های متصل به یک شبکه عمومی استفاده کرد. داده ها نه تنها آدرس IP، بلکه آدرس MAC منحصر به فرد دستگاه را نیز شامل می شود.

در مرحله دوم، برنامه به شما اجازه می دهد تا ترافیک دو طرفه کاربر انتخاب شده را مشاهده کنید، استفاده کنید و حتی فایل ها را جایگزین کنید. از آنجایی که برنامه ندارد دستورالعمل های دقیقبرای استفاده از عملکرد، باید حداقل دانش را داشته باشید. در این صورت نه تنها به آدرس IP یا MAC پی خواهید برد، بلکه می توانید به راحتی کوکی ها را رهگیری کنید تا مکاتبات دیگران را بخوانید و حتی اقداماتی را از طرف کاربر انجام دهید.

ویژگی های خاص

  • دسترسی ریشه برای استفاده از تمامی قابلیت های برنامه، دستگاه باید روت شده باشد.
  • امکان پیدا کردن آدرس IP و MAC هر کاربری که از نقطه دسترسی مشابه شما استفاده می کند.
  • امکان رهگیری کوکی ها برای خواندن مکاتبات، اقدامات با حساب ها.
  • امکان رهگیری ترافیک خروجی و ورودی، جایگزینی فایل ها.

یک رابط مینیمالیستی و عملکرد پایدار چند ویژگی دیگر برنامه هستند که آن را در محافل باریک محبوب می کنند.

توضیحات Intercepter-NG

Intercepter-NG مجموعه ای چند منظوره از ابزارهای شبکه برای متخصصان فناوری اطلاعات است انواع مختلف. هدف اصلی بازیابی داده های جالب از جریان شبکه و انجام انواع مختلف حملات انسان در وسط (MiTM) است. علاوه بر این، این برنامه به شما امکان می دهد جعل ARP را شناسایی کنید (می تواند برای شناسایی حملات Man-in-the-Middle استفاده شود)، انواع خاصی از آسیب پذیری ها را شناسایی و از آنها سوء استفاده کنید و اعتبارنامه های ورود به سیستم brute force. خدمات شبکه. این برنامه می تواند هم با جریان ترافیک زنده کار کند و هم فایل ها را با ترافیک ضبط شده برای شناسایی فایل ها و اعتبارنامه ها تجزیه و تحلیل کند.

این برنامه توابع زیر را ارائه می دهد:

  • شناسایی رمزهای عبور/هش از انواع زیر: ICQ، IRC، AIM، FTP، IMAP، POP3، SMTP، LDAP، BNC، SOCKS، HTTP، WWW، NNTP، CVS، TELNET، MRA، DC++، VNC، MYSQL، ORACLE، NTL , KRB5 RADIUS
  • اسنیفینگ پیام های چت: ICQ، AIM، JABBER، YAHOO، MSN، IRC، MRA
  • بازسازی فایل ها از: HTTP، FTP، IMAP، POP3، SMTP، SMB
  • انواع مختلف اسکن مانند حالت Promiscuous، ARP، DHCP، Gateway، Port و اسکن هوشمند
  • ضبط بسته و تجزیه و تحلیل بعدی (آفلاین) / حالت RAW (خام).
  • ضبط ترافیک از راه دور از طریق دیمون RPCAP و PCAP Over IP
  • NAT، جوراب، DHCP
  • ARP، DNS روی ICMP، DHCP، SSL، SSLSTRIP، WPAD، رله SMB، SSH MiTM
  • SMB Hijack (رهگیری)، رله LDAP، MySQL LOAD DATA injection
  • ARP Watch, ARP Cage, HTTP injection, Heartbleed exploit, Kerberos Downgrade, Cookie Killer
  • جعل DNS، NBNS، LLMNR
  • نیروی بی رحم خدمات شبکه های مختلف

نسخه اصلی در ویندوز اجرا می شود، موجود است نسخه کنسولبرای لینوکس و یک نسخه برای اندروید.

مجوز: "همانطور که هست"

حالت های Intercepter-NG

Intercepter-NG دارای هفت حالت اصلی است که با تعداد تب های برنامه و تعداد دکمه های اصلی مطابقت دارد:

این حالت ها هستند:

  • پیام رسان ها
  • رستاخیز
  • رمزهای عبور
  • اسکن می کند
  • خام (خام)

در جایگاه اول قرار دهید حالت مسنجر(لوگوی ICQ). این به دلایل تاریخی اتفاق افتاد - Intercepter-NG در ابتدا به عنوان برنامه ای برای رهگیری پیام های ICQ و سایر پیام رسان های فوری ایجاد شد.

حالت رستاخیز(آرم روی دکمه Phoenix است) به معنای بازیابی فایل ها از جریان شبکه است. اینها می توانند فایل های تصاویر مشاهده شده در وب سایت ها، و همچنین فایل های بایگانی های منتقل شده، اسناد و سایر موارد باشند.

هنگام تعویض به حالت رمز عبور(دکمه سوم - زنجیره کلید) اعتبارنامه های گرفته شده از جریان شبکه را خواهید دید. آدرس های سایت، لاگین های وارد شده و رمز عبور نمایش داده می شوند.

وقتی برنامه شروع می شود، باز می شود حالت اسکن(دکمه وسط - رادار). این حالت اولیه برای راه اندازی حملات است: اسکن، انتخاب اهداف و تنظیم سایر پارامترهای شبکه در این برگه انجام می شود.

Tab MiTM(بسته سیم های پچ) شامل فیلدهایی برای وارد کردن تنظیمات هدف است که بسیاری از آنها به طور خودکار در حین اسکن در برگه Scanning پر می شوند. همچنین دکمه هایی برای راه اندازی حملات MiTM مختلف وجود دارد.

Tab DHCPشامل برخی تنظیمات شبکه و سرور DHCP است.

حالت خام (خام)اطلاعات خام در مورد داده های منتقل شده در جریان شبکه را نمایش می دهد. اطلاعات به شکلی مشابه ارائه شده است.

نکاتی برای استفاده از Intercepter-NG و حل مسائل:

  • Intercepter-NG برای کار کردن به WinPcap نیاز دارد، اما نیازی به نصب جداگانه ندارد زیرا Intercepter دارای نسخه قابل حمل WinPcap است.
  • اگر آداپتور خود را در لیست آداپتورها نمی بینید، به این معنی است که WinPcap از کارت شما پشتیبانی نمی کند.
  • اگر هیچ چیز با کارت WiFi کار نمی کند، حتی ARP Etching، از نماد NIC که در سمت چپ لیست آداپتورها قرار دارد، استفاده کنید تا به حالت WiFi بروید. همچنین مطمئن شوید که IP Stealth به اینترنت دسترسی دارد.
  • در برخی شرایط نادر، سرویس BFE (موتور فیلتر پایه) ممکن است پورت های Intercepter محلی را مسدود کند. این خود را به صورت زیر نشان می دهد: ARP کار می کند، اما سایر توابع MiTM کار نمی کنند (در ویندوز 7 و بالاتر). برنامه های آنتی ویروس مانند Avast نیز می توانند آنها را مسدود کنند، حتی اگر حفاظت شبکه در کنترل پنل غیرفعال باشد. دلیل دیگر این رفتار ممکن است عملکرد همزمان اتصال و سرویس WiFi باشد اتصال به اینترنتاشتراک گذاری.
  • Intercepter از کپسوله سازی 802.11 پشتیبانی می کند، بنابراین می توانید از pcap dumps از برنامه ها و . هدرهای PPPoE، GRE(PP2P) و 802.11 اضافی نیز پشتیبانی می شوند. این بدان معنا نیست که Intercepter می تواند داده های رمزگذاری شده را تجزیه و تحلیل کند، به این معنی است که Intercepter می تواند هدرهای ethernet\ip را از بسته هایی از این نوع جدا کرده و آنها را تجزیه و تحلیل کند.
  • به دلیل محدودیت های پروتکل، منبع و مقصد UIN\MAIL\... ممکن است در برگه پیام چت نشان داده نشود.
  • برای کپی داده ها از جدول رمز عبور، روی خط کلیک کرده و ctrl+c را فشار دهید.
  • برای مخفی کردن پنجره برنامه، از میانبر صفحه کلید Ctrl+Alt+S استفاده کنید. دوباره روی آن کلیک کنید تا پنجره دوباره ظاهر شود.
  • Intercepter حتی می تواند روی win9x (98 و 95!) اجرا شود، اما شما باید WinPcap 3.1 یا WinPcap 4.0beta2 را نصب کنید. بیلدهای جدید WinPcap از win9x پشتیبانی نمی کنند.
  • حالت کنسول برای تجزیه و تحلیل آفلاین:
./intercepter -t dump.cap
  • برای فعال کردن sniffing خودکار باید باز کنید settings.cfgو ویرایش کنید" autorunمقدار پیش فرض است 0 ، به شماره رابطی که قرار است بو بکشید تغییر دهید.
  • Intercepter تخلیه‌های pcap را با داده‌های IP خام کپسوله‌شده به کپسوله‌سازی اترنت (افزودن اطلاعات هدر اترنت) تبدیل می‌کند.
  • Intercepter می تواند فرمت جدیدی را بخواند - pcapng. از آنجایی که همه فایل‌های ضبط pcapng از Wireshark فقط از نوع «Block Packet Enhanced» استفاده می‌کنند، Intercepter فقط از این نوع بلوک بسته پشتیبانی می‌کند. علاوه بر این، نظرات بسته را نشان می دهد.
  • در حالت خام (RAW) می توانید قوانین خود را با استفاده از فیلترهای pcap برای فیلتر کردن ترافیک تنظیم کنید. برای جزئیات به نحو فیلترینگ pcap مراجعه کنید. مثال:
پورت 80

یعنی فقط بسته ها را از پورت tcp 80 از هسته دریافت کنید.

پورت 80 نیست

به این معنی است که بسته ها را از پورت 80 حذف کنید

می توانید قوانین را ترکیب کنید:

پورت 80 و نهپورت 25

  • شما نباید با Dump های بزرگ در حالت خام کار کنید زیرا Intercepter هر بسته را در حافظه بارگذاری می کند و از آن استفاده نمی کند. هارد دیسکبه عنوان یک پارتیشن swap (فایل).

نکات گزینه Intercepter-NG

گزینه های Sniffer:

  • اگر می‌خواهید تجزیه و تحلیل آفلاین یک pcap dump را انجام دهید، برای سرعت بخشیدن به فرآیند، تیک علامت « را بردارید. هاست ها را حل کنید”.
  • اگر تیک گزینه " روی سینی قفل کنید"، سپس هنگام بازیابی یک پنجره از سینی از شما یک رمز عبور خواسته می شود. رمز عبور پیش فرض " 4553 می توانید آن را در فایل تغییر دهید settings.cfg. رمز عبور در base64 کدگذاری شده است.
  • گزینه " ذخیره جلسه"به این معنی است که Intercepter تمام بسته های دریافتی را در یک فایل pcap ذخیره می کند. این فایل می تواند برای تجزیه و تحلیل داده های آفلاین استفاده شود. این یک نوع تابع صادرات نتیجه است.
  • اگر نصب کنید فحشا، سپس Intercepter آداپتور شبکه را در حالت غیرقانونی باز می کند. این بدان معنی است که تمام بسته ها را می خواند، حتی بسته هایی که برای آن رابط شبکه در نظر گرفته نشده اند. اگر تیک باکس را بردارید، فقط بسته هایی را می خواند که به واسط مشخص شده ارسال می شوند. برخی از کارت های Wi-Fi از این حالت پشتیبانی نمی کنند.
  • داده های منحصر به فرد” - فقط لاگین ها و رمزهای عبور منحصر به فرد را نشان دهید. آن ها فقط یک بار لاگین ها و گذرواژه های ضبط شده را نشان دهید - اگر کاربر دوباره همان لاگین و رمز عبور را وارد کند، نمایش داده نمی شود.
  • ذخیره خودکار- همه اطلاعات متنیهر 10 ثانیه ذخیره می شود.
  • به طور پیش فرض، چک باکس " نمای شبکه" این بدان معنی است که رمزهای عبور به عنوان یک شبکه داده ظاهر می شوند. برای مشاهده اطلاعات کامل و دقیق، علامت « نمای شبکه”.
  • افراطی.در یک گردش کار معمولی، یک sniffer پورت های از پیش تعریف شده مرتبط با پروتکل های خاص را تجزیه و تحلیل می کند. اگر بگوییم http، منظور پورت 80 (یا 8080 یا هر چیزی که در لیست پورت های مرتبط با پروتکل http از پیش تعریف شده است) است. آن ها فقط این پورت ها تجزیه و تحلیل خواهند شد. اگر برخی از برنامه ها از یک پورت متفاوت مانند 1234 استفاده کنند، sniffer بسته هایی را که از آن عبور می کنند تجزیه و تحلیل نمی کند. در حالت افراطی Intercepter تمام بسته های TCP را بدون بررسی پورت ها تجزیه و تحلیل می کند. آن ها حتی اگر برخی از برنامه ها از یک پورت تعریف نشده استفاده کنند، sniffer همچنان این بسته ها را اسکن می کند. اگرچه این کار عملکرد را کاهش می دهد (بسیاری از پورت های بیشتری نسبت به معمول باید بررسی شوند) و ممکن است داده های نادرست را نشان دهد یا پروتکل صحیح را از دست بدهد (به عنوان مثال، FTP و POP3 از یک نوع مجوز استفاده می کنند)، اما توانایی یافتن و رهگیری را فراهم می کند. داده های جالب در مورد پورت های ناشناس از این حالت با مسئولیت خود استفاده کنید، اگر هنگام فعال شدن حالت eXtreme مشکلی پیش بیاید، تعجب نکنید.
  • "فقط ضبط" به این معنی است که Intercepter فقط بسته ها را در یک فایل dump بدون تجزیه و تحلیل بلادرنگ ذخیره می کند. این برای افزایش عملکرد زمانی که شما در حال گرفتن داده های شبکه زیادی هستید مفید است.
  • گزینه رستاخیزبه معنای فعال کردن حالت Resurrection است که فایل‌ها را از داده‌های ارسال شده در جریان شبکه بازسازی می‌کند.
  • پورت های IM
  • HTTP. پورت های مرتبط با HTTP، برای جزئیات بیشتر به توضیحات گزینه مراجعه کنید افراطی.
  • جوراب
  • IRC\BNC

گزینه های حمله Man-in-the-Middle (MiTM) در Intercepter-NG

  • در تمام حملات MiTM، Intercepter از جعل (جایگزینی) آدرس‌های ip\mac (گزینه) استفاده می‌کند جعل IP\MAC). اگر استفاده می کنید رابط Wi-Fi، سپس باید تیک این گزینه را بردارید، زیرا 99٪ از درایورهای وای فای اجازه ارسال بسته با مک جعلی را نمی دهند. اگرچه آدرس واقعی خود را فاش می کنید، حداقل می توانید هر گونه حمله MiTM را از طریق رابط وای فای انجام دهید. از هیچی بهتره به جای غیرفعال کردن جعل در تنظیمات، از آن استفاده کنید حالت WIFI. می توانید مک نشان داده شده در حالت Expert Mode را تغییر دهید.
  • قاتل iOSبرای iCloud و همچنین اینستاگرام و VK اضافه شد. این عملکرد (iOS Killer) جلسات برنامه های مشخص شده را بازنشانی می کند و به شما امکان می دهد مجوز مجدد را متوقف کنید.
  • تنزل رتبه Kerberos
  • جعل HSTS. دور زدن HSTS در طول SSL Strip. تکنیک بای پس نسبتا ساده است، اما مشکلات خاصی در اجرا وجود دارد، بنابراین نباید انتظار نتایج خاصی را داشته باشید. بیایید با استفاده از ایمیل Yandex به مثالی نگاه کنیم مرورگر کروم. اگر به ya.ru بروید، در گوشه سمت راست بالا یک پیوند https "ورود به ایمیل" وجود دارد که SSL Strip به راحتی می تواند آن را اداره کند. بعد، یک فرم مجوز باز می شود، جایی که روش POSTداده ها به passport.yandex.ru منتقل می شود. حتی پس از حذف https، مجوز از طریق SSL رخ می دهد، زیرا میزبان passport.yandex.ru در لیست از پیش بارگذاری شده کروم گنجانده شده است. برای اینکه همچنان داده ها را رهگیری کنیم، باید نام میزبان passport.yandex.ru را با چیز دیگری جایگزین کنیم تا مرورگر تشخیص ندهد که این منبع باید کاملاً از طریق یک اتصال ایمن بازدید شود. به عنوان مثال، می توانید passport.yandex.ru را با passport.yandex.ru جایگزین کنید، در این صورت داده ها به صورت متنی واضح به نام دامنه تغییر یافته ارسال می شوند. اما چون چنین دامنه ای - paszport.yandex.ru وجود ندارد، پس علاوه بر این باید جعل DNS را انجام دهید، یعنی. هنگام تبدیل paszport.yandex.ru، مشتری باید در پاسخ، آدرس IP اصلی را از passport.yandex.ru دریافت کند.

این روش خودکار است و نیازی به مداخله اضافی کاربر در هنگام انجام یک حمله ندارد. تنها چیزی که لازم است این است که ابتدا لیستی از جایگزین ها تهیه کنید misc\hsts.txt. به طور پیش فرض، چندین ورودی برای yandex، gmail، facebook، yahoo وجود دارد. درک این نکته مهم است که اگر کاربر facebook.com را در مرورگر وارد کند، این تکنیک دور زدن اجازه رهگیری جلسه یا مجوز را نمی دهد، زیرا مرورگر بلافاصله نسخه امن سایت را باز می کند. در این حالت، حمله تنها در صورتی امکان پذیر است که پیوند facebook.com از منبع دیگری گرفته شده باشد، مثلاً هنگام ورود فیس بوک به google.com. مشکلات اصلی در اجرای یک حمله شامل منطق غیرقابل پیش بینی نحوه عملکرد وب سایت ها با زیر دامنه های خود و ویژگی های کد وب است که می تواند هرگونه تلاش برای دور زدن HSTS را نفی کند. به همین دلیل است که نباید هیچ سایتی را به لیست اضافه کنید، حتی دامنه های موجود در Intercepter-NG به طور پیش فرض ویژگی های خاص خود را دارند و همیشه به درستی کار نمی کنند. من واقعاً نمی خواهم برای هر منبع عصا بسازم، شاید در آینده پیشرفت های جهانی انجام شود، اما در حال حاضر، همانطور که می گویند. یک نکته ظریف دیگر، در اجرای فعلی برای جعل DNS لازم است که سرور DNSداخل نبود شبکه محلیتا بتوانید درخواست های DNS به گیت وی را ببینید و در صورت نیاز به آنها پاسخ دهید.

  • IP Forward. حالت انتقال IP خالص را فعال می کند. حملات MiTM در این حالت در دسترس نیستند، اما این امکان را به شما می دهد تا در شرایطی که نمی توانید از IP Stealth استفاده کنید، مسمومیت arp را شروع کنید. این معمولاً زمانی ضروری است که دروازه وجود داشته باشد لیست سفیدرایانه های قانونی در شبکه، بنابراین NAT نمی تواند به درستی کار کند.
  • قاتل کوکی- کوکی‌ها را بازنشانی می‌کند، در نتیجه کاربر را مجبور می‌کند تا دوباره مجوز دهد - ورود و رمز عبور را وارد کنید تا مهاجم بتواند آنها را رهگیری کند. تابع Cookie Killer همچنین برای اتصالات SSL کار می کند. موجود در رنگ مشکی ( misc\ssl_bl.txt) و لیست های سفید ( misc\ssl_wl.txt). آن‌ها می‌توانند آدرس‌های IP یا دامنه‌هایی را که SSL MiTM باید یا نباید برای آن‌ها اعمال شود، حذف یا برعکس، کاملاً مشخص کنند. هنگام تعیین پورت ssl اضافی، نیازی به تعیین نوع خواندن/نوشتن نیست، فقط شماره پورت را مشخص کنید. تمام ترافیک به نوشته شده است ssl_log.txt.
  • ضبط از راه دور (RPCAP). Libpcap انتقال داده های شبکه از یک میزبان به میزبان دیگر را از طریق پروتکل خود به نام RPCAP ممکن می سازد. آن ها شما می توانید شبح rpcap را در دروازه خود اجرا کنید و تمام ترافیکی که از آن عبور می کند را مشاهده کنید. هنگامی که دیمون در حال اجرا است، می توانید با استفاده از Intercepter شروع به ضبط ترافیک از راه دور کنید. نام میزبان یا IP دیمون را در فیلد ارائه شده وارد کنید و سپس آداپتور را از لیست انتخاب کنید. سپس باید یک فیلتر «نه میزبان IP» تنظیم کنید، و «IP» را با آدرس IP واقعی اختصاص داده شده به کارت اترنت خود جایگزین کنید (این برای نادیده گرفتن ترافیک rpcap بین شما و دیمون است).
  • PCAP از طریق IP

این تابع مربوط به ضبط ترافیک از راه دور است و جایگزینی عالی برای سرویس قدیمی و مشکل ساز rpcapd است. نام برای خودش صحبت می کند. تقریباً هر یونیکس همیشه ترکیبی از tcpdump و netcat دارد که با آن می توانید ترافیک را به یک رایانه دریافت کننده از راه دور ثبت کنید. در در این مورد Intercepter می تواند یک پورت را با پیش بینی جریان داده در قالب libpcap باز کند و آن را در زمان واقعی تجزیه و تحلیل کند.

هیچ تفاوت اساسی در منبع ترافیک وجود ندارد، بنابراین، علاوه بر tcpdump، می توانید از ابزار cat برای خواندن یک گزارش pcap. از قبل موجود نیز استفاده کنید.

در اینجا چند نمونه از استفاده وجود دارد، به طور پیش فرض Intercepter به پورت 2002 گوش می دهد:

Tcpdump -i face -w - | nc IP 2002

اگر قصد دارید ترافیک را از طریق همان رابطی که از آن عکس می گیرید منتقل کنید، باید یک قانون فیلتر را اضافه کنید که ترافیک سرویس بین سرور و Intercepter را حذف کند:

Tcpdump -i face -w - not port 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

این یک آنالوگ از tcpdump است که بخشی از پرچم است نشان می دهد که بسته ها باید در قالب استاندارد libpcap به جای pcapng جدید ذخیره شوند.

یک راه جایگزین برای ارسال بسته ها بدون استفاده از netcat:

Tcpdump > /dev/tcp/ip/port

WPAD مخفف "WebProxy Autodiscovering Protocol" است که مربوط به ویژگی "تنظیمات شناسایی خودکار" در مرورگرهای مدرن. این ویژگی به مرورگر اجازه می دهد تا بدون دخالت کاربر، پیکربندی پراکسی فعلی را به دست آورد. این یک تهدید حتی امروز است و یک مهاجم به راحتی می تواند یک سرور مخرب برای رهگیری ترافیک وب راه اندازی کند. وضعیت با این واقعیت تشدید می شود که اینترنت اکسپلورر(و کروم نیز) به طور پیش فرض از این ویژگی پشتیبانی می کند.

به طور معمول WPAD در شبکه پیکربندی نشده است، بنابراین رفتار عادی مرورگرها درخواست های NetBios برای نام "WPAD" (با دور زدن روش های DHCP و DNS) است. اگر پاسخی دریافت نشد، مرورگر به سادگی از یک اتصال مستقیم استفاده می کند. اما در صورت دریافت پاسخ، مرورگر سعی می کند فایل پیکربندی را از http: /ip_of_wpad_host/wpad.dat دانلود کند.

Intercepter-NG به هر درخواست پاسخ می دهد و از مشتریان می خواهد که از پیکربندی خود استفاده کنند تا بتواند ترافیک را از طریق پروکسی شناسایی کند. شما می توانید پیکربندی خود را برای هر سرور پراکسی دیگری در شبکه پیکربندی کنید، یا به سادگی سرور پروکسی داخلی را انتخاب کنید. پروکسی داخلی به شما امکان می دهد از ویژگی تزریق HTTP استفاده کنید.

گزینه های حالت خبره Intercepter-NG

  • SSL Strip Timeout (ثانیه)- وقفه در ثانیه نوار SSL
  • ARP Poison هر (ثانیه)- اچ کردن ARP را هر... ثانیه انجام دهید
  • مهلت زمانی اسکن ARP (ثانیه)- پایان زمان اسکن ARP
  • DNS Cache TTL (ثانیه)- طول عمر در کش DNS
  • جعل مک- آدرس MAC که آدرس مهاجم به آن جایگزین خواهد شد
  • MySQL LOAD DATA Injection
  • رله LDAP DN: DC=xxx,DC=xxx
  • توقف نفوذ در درخواست NBNS
  • اتصال SSH را پس از احراز هویت قطع کنید- پس از مجوز، اتصال SSH را بازنشانی کنید
  • SMB Hijack -> SMB Relay
  • Auto ARP Poison— در حالت پوزون خودکار، کافی است تنها 1 میزبان به لیست اهداف اضافه شود و خود Intercepter در یک بازه زمانی مشخص شبکه را اسکن کرده و به طور خودکار اهداف جدید اضافه می کند.
  • جدول ARP را بازنشانی کنید- تنظیم مجدد جدول ARP
  • بار سفارشی برای SMB Hijack (حداکثر 64 کیلوبایت)
  • محموله سفارشی برای GP Hijack
  • شل را اجرا کنید- پوسته پرتاب
  • HTTP NTLM Grabber را اجرا کنید

انواع اسکن

اسکن مرحله اول است، یعنی بسیاری از حملات MiTM با آن شروع می شوند. برای نمایش منوی اسکن ها، به برگه بروید حالت MiTMو روی جدول کلیک راست کنید.

  • اسکن هوشمند ning: اسکن ARP و کشف دروازه را ترکیب می کند. به اطلاعات معمول در مورد آدرس های IP و MAC، سازنده کارت شبکهو سیستم عامل، نام کامپیوتر خروجی است. در همان بازه زمانی، اکنون می‌توانید علاوه بر این، نام Netbios یا نام دستگاهی که iOS را اجرا می‌کند، پیدا کنید. برای حل دومی، از پروتکل MDNS استفاده می شود که بر اساس آن پروتکل Bonjour اپل کار می کند، اکنون همه نام های دریافتی در یک فایل کش ذخیره می شوند و اگر در طول اسکن های بعدی به دلایلی اطلاعات مربوط به نام میزبان به صورت پویا به دست نیامد. علاوه بر این، این اسکن IP Stealth را نشان می دهد و IP دروازه را به طور خودکار در قسمت های مربوطه در تب MiTM تعیین می کند.
  • اسکن ARP(اسکن ARP): به سادگی زیرشبکه کلاس C اختصاص داده شده به آداپتور اترنت انتخاب شده را بررسی می کند. به عنوان مثال، اگر IP شما 192.168.0.10 باشد، 255 آدرس IP در محدوده 192.168.0.1-255 بررسی می شود. با شروع از نسخه 0.9.5، برنامه ماسک شبکه را برای اسکن صحیح همه زیرشبکه ها بررسی می کند.
  • کشف DHCP(DHCP Discovery): پخش های DHCP-Discovery را ارسال می کند و منتظر پاسخ می ماند سرورهای DHCP. اگر سرورها پاسخ دادند، آنها را به لیست اضافه می کند.
  • تشخیص نوید(کارت شبکه کشف بی بند و بار): درخواست های ویژه ARP را به شبکه ارسال می کند. میزبان های پاسخ دهنده بدیهی است که sniffers هستند. برخی از کارت‌های اترنت (3COM) نیز ممکن است پاسخ دهند، یعنی ممکن است مثبت کاذب باشد.
  • کشف دروازه(کشف دروازه): یک بسته SYN را از طریق تمام میزبان های شبکه ارسال می کند، اگر دروازه وجود داشته باشد، یک پاسخ ارسال می شود.

تکنیک‌های حمله Man-in-the-Middle (MiTM) در Intercepter-NG

وقتی دکمه را فشار می دهید MiTMs را پیکربندی کنیدکادر محاوره ای (کلاه با چشم) باز می شود حملات MiTM:

این شامل لیستی از تکنیک های پشتیبانی شده است.

SSL MiTM

این یک تکنیک قدیمی جعل گواهینامه کلاسیک است. به شما امکان می دهد داده ها را از هر پروتکل محافظت شده توسط SSL رهگیری کنید. به طور استاندارد پشتیبانی می شود: HTTPS، POP3S، SMTPS، IMAPS. به صورت اختیاری، می توانید هر پورت اضافی را مشخص کنید.

هنگام رهگیری HTTPS، گواهی‌ها در جریان تولید می‌شوند و اطلاعات اصلی را از منبع درخواستی کپی می‌کنند. برای سایر موارد، از گواهی استاتیک استفاده می شود.

به طور طبیعی، هنگام استفاده از این قابلیت، هشدارهای مرورگر و سایر نرم افزارهای مشتری اجتناب ناپذیر است.

نسخه جدید به طور کامل کد SSL MiTM را بازنویسی کرده است. اکنون سریع و پایدار کار می کند. الگوریتم تولید گواهی ها نیز تغییر کرده است، رکوردهای DNS اضافی به آنها اضافه شده است و همه گواهی ها با یک کلید امضا می شوند ( متفرقه\سرور). این بدان معناست که با افزودن این گواهی خودامضا به لیست موارد مورد اعتماد در رایانه هدف، امکان گوش دادن به ترافیک SSL به هر منبعی (جایی که SSL Pinning وجود ندارد) وجود خواهد داشت. تابع قاتل کوکیاکنون برای اتصالات SSL کار می کند. سیاه ظاهر شد ( misc\ssl_bl.txt) و لیست های سفید ( misc\ssl_wl.txt). آن‌ها می‌توانند آدرس‌های IP یا دامنه‌هایی را که SSL MiTM باید یا نباید برای آن‌ها اعمال شود، حذف یا برعکس، کاملاً مشخص کنند. هنگام تعیین پورت ssl اضافی، دیگر نیازی به تعیین نوع خواندن/نوشتن نیست، فقط کافی است شماره پورت را مشخص کنید. تمام ترافیک در ssl_log.txt نوشته شده است.

نوار SSL

SSL Strip یک تکنیک "بی صدا" برای رهگیری اتصالات HTTPS است. برای مدت طولانینسخه کار فقط تحت یونیکس وجود داشت، اکنون اقدامات مشابهی را می توان در محیط NT انجام داد. نکته این است: مهاجم "در وسط" است، ترافیک HTTP تجزیه و تحلیل می شود، همه پیوندهای https:// شناسایی می شوند و با http:// جایگزین می شوند، بنابراین مشتری به صورت محافظت نشده به برقراری ارتباط با سرور ادامه می دهد حالت همه درخواست‌ها برای پیوندهای جایگزین شده نظارت می‌شوند و داده‌های منابع اصلی https در پاسخ ارائه می‌شوند.

چون هیچ گواهی تعویض نشده است و هیچ هشداری وجود ندارد. برای شبیه سازی اتصال ایمن، نماد فاویکون جایگزین می شود.

D.N.C.<>ICMP

این یک تکنیک کاملاً جدید است که قبلاً ذکر شده یا اجرا نشده است. این سیستم بر روی همان MiTM قدیمی ICMP Redirect ساخته شده است، اما راه جدیدی را برای شناسایی داده ها باز می کند. مرحله اول این حمله شبیه به تغییر مسیر ICMP کلاسیک است، اما یک تفاوت مهم وجود دارد.

به اصطلاح " ورودی جدید" سرور DNS قربانی است. ما می‌خواهیم کنترل تمام درخواست‌های DNS را در دست بگیریم و قبل از اینکه قربانی پاسخ‌ها را دریافت کند، جادویی انجام می‌دهیم.

وقتی Somehost.com را حل می کنیم، DNS یک پاسخ حاوی یک یا چند پاسخ از IP Somehost.com برای ما ارسال می کند. علاوه بر این، ممکن است حاوی پاسخ‌های «اضافی» باشد و ما می‌خواهیم از آن‌ها نیز مراقبت کنیم. پس از تکمیل قسمت اول حمله، قربانی شروع به ارسال تمام درخواست های DNS از طریق میزبان مهاجم (NAT) می کند. هنگامی که NAT پاسخی از DNS دریافت می کند، تمام IP ها را می خواند و سپس پیام های تغییر مسیر ICMP را با IP ترجمه شده برای قربانی ارسال می کند.

بنابراین تا زمانی که NAT یک پاسخ DNS را به قربانی ارسال می کند، جدول مسیریابی آن از قبل دارای ورودی هایی برای تمام آدرس های ترجمه شده است که به میزبان ما اشاره می کنند!

این بدان معنی است که ما نه تنها DNS قربانی، بلکه هر چیزی را که حل شده است، استشمام خواهیم کرد. تمام ترافیک از طریق IP\MAC جعلی جعل می شود.

این قسمت از حمله در سمت NAT انجام می شود، به همین دلیل باید آن را به درستی پیکربندی کنید.

کادر «DNS over ICMP» را علامت بزنید و آن را پر کنید:

  • IP روتر IP دروازه پیش فرضی است که قربانی استفاده می کند.
  • IP مشتری، IP قربانی است.

پس از افزودن کلاینت ها، باید IP رایگان/بدون استفاده را در قسمت "New Gateway" و در "Stealth IP" قرار دهید.

آداپتور را انتخاب کنید، آنها باید یکسان باشند زیرا ما می خواهیم ترافیک را در یک منطقه اترنت هدایت کنیم.

NAT را راه اندازی کنید.

تمام پاسخ های DNS در یک لیست خاص ذخیره می شوند و NAT به طور منظم (طبق زمان تعیین شده در تنظیمات) تغییر مسیرهای ICMP را دوباره ارسال می کند.

در پایان باید یک اقدام دیگر انجام دهید. شما نمی توانید جدول مسیریابی قربانی را ضدعفونی کنید (مانند مسمومیت ARP)، بنابراین باید علامت "DNS ↔ ICMP" را بردارید تا از ارسال مجدد تغییر مسیرهای ICMP جلوگیری کنید و حدود 10-15 دقیقه صبر کنید. پس از این، هیچ ورودی جدیدی اضافه نخواهد شد، اما موارد قدیمی تا زمانی که منقضی شوند، از طریق NAT به خوبی کار می کنند.

WPAD MiTM

برای جزئیات، به توضیحات گزینه مراجعه کنید. پیکربندی WPAD (PROXY:PORT).

SMB Hijack

SSH MiTM

می‌توانید داده‌های احراز هویت SSH (ورود به سیستم/رمز عبور) را رهگیری کنید و تمام دستورات را در طول یک جلسه از راه دور مشاهده کنید. 2 مکانیسم احراز هویت پشتیبانی می شود: رمز عبور و تعاملی. برای شناسایی اطلاعات قربانی باید مانند یک sshd واقعی عمل کنیم و کلیدهای rsa/dsa خود را ارائه کنیم. اگر کلید میزبان اصلی توسط قربانی ذخیره شود، یک پیام هشدار ظاهر می شود، اگر در حافظه پنهان نباشد، هیچ نشانه ای از حمله در سمت مشتری وجود نخواهد داشت.

هنگامی که قربانی وارد سیستم می شود، می تواند طبق معمول کار کند، دستورات و برنامه های شبه گرافیکی مانند فرمانده نیمه شب را اجرا کند. Intercepter درخواست‌های WINDOW_CHANGE را رهگیری می‌کند، بنابراین اگر قربانی تصمیم بگیرد اندازه پنجره را تغییر دهد، همه چیز به درستی برای متناسب با اندازه پنجره جدید ترسیم می‌شود.

این برنامه با یک جلسه از راه دور کار می کند، اما با SFTP کار نمی کند. اگر قربانی شروع کند کلاینت SFTP، داده های احراز هویت رهگیری می شوند، اما پس از آن اتصال حذف و علامت گذاری می شود. سپس وقتی قربانی سعی می کند دوباره وصل شود، علاوه بر sshd جعلی ما، به سرور اصلی ssh نیز دسترسی خواهد داشت.

لازم به ذکر است که مهاجم به سرور راه دور وارد می شود و آدرس IP خود را در لاگ ها می گذارد. در حالت خبره می توانید پس از دریافت اعتبار قربانی، گزینه قطع اتصال ssh را انتخاب کنید. اتصال علامت گذاری می شود و در تلاش بعدی برنامه اجازه دسترسی به سرور اصلی را می دهد.

جی.پی

قابلیت های اضافی برای حملات انسان در وسط (MiTM) در Intercepter-NG

دکمه های استفاده از این ویژگی ها نیز در قسمت قرار دارند گزینه های MiTM(تاس، نماد JDownloader، سرنگ، سپر و نماد خطر تشعشع آزاد):

تغییر دهنده ترافیک (تغییر داده های متنی در جریان ترافیک شبکه)

شما می توانید فقط داده هایی با اندازه مساوی را بدون تغییر طول بسته ها جایگزین کنید. فرض کنید مرورگر site.com/file.txt را باز می کند که شامل رشته "12345" است. در پاسخ به درخواست GET، سرور یک هدر HTTP را برمی‌گرداند که طول داده‌های ارسال شده را نشان می‌دهد - طول محتوا: 5. اگر «12345» را با «12356» جایگزین کنیم چه اتفاقی می‌افتد؟ مرورگر فقط 5 بایت دانلود می کند و "6" اضافه شده را کنار می گذارد و اگر با جایگزینی "1234" با جایگزینی "12345" حجم داده ها را کاهش دهیم، مرورگر فقط 4 بایت دریافت می کند و برای 1 بایت دیگر از سرور منتظر می ماند تا اینکه اتصال با مهلت زمانی بسته می شود. به همین دلیل این محدودیت اندازه ایجاد شد. می توانید هم متن و هم داده های باینری را تغییر دهید، نحو الگوهای باینری مانند C - "\x01\x02\x03" است.

اگر نیاز به جایگزینی در ترافیک HTTP است، در تنظیمات باید گزینه «غیرفعال کردن کدگذاری HTTP gzip» را فعال کنید.

جعل

Spoofing به شما امکان می دهد هاست ها را به یک IP مشخص هدایت کنید. پروتکل های DNS، NBNS، LLMNR پشتیبانی می شوند.

با DNS می توانید یک ماسک برای تغییر مسیر همه زیر دامنه ها نیز مشخص کنید. معمولاً جفت‌های domain.com:IP ایجاد می‌شوند، اما زیر دامنه‌ها جعل نمی‌شوند. برای تغییر مسیر همه آنها، * (ستاره) را قبل از نام دامنه اضافه کنید: *host.com

دانلود اجباری و JS Inject

هر دو نوآوری مربوط به حالت تزریق HTTP است. در روسی، دانلود اجباری می تواند به عنوان "دانلود اجباری" ترجمه شود، زیرا این دقیقاً همان چیزی است که در سمت هدف در طول وب گردی اتفاق می افتد. هنگام ورود به سایت، پیشنهاد می شود فایلی را که مهاجم مشخص کرده است، دانلود کنید، بسته به تنظیمات مرورگر، می توان آن را به تنهایی دانلود کرد و کاربر انتخاب می کند که آیا آن را اجرا کند یا خیر.

همانطور که متوجه شدید، می توانید یک فایل exe با محتوای دلخواه به دانلود اجباری اضافه کنید و منبع این فایل سایتی خواهد بود که در در حال حاضربازدید شده توسط کاربر با دانستن اینکه هدف قرار است adobe.com را باز کند، می توانید flashplayer.exe را صادر کنید و منبع این فایل به عنوان adobe.com یا یکی از زیر دامنه های آن درج می شود.

پس از یک بار تزریق، اجبار برای تزریق مجدد خاموش می شود، باید دوباره روی کادر مربوطه کلیک کنید.

JS Inject به صراحت در میان کنترل ها وجود ندارد، زیرا در واقع، این رایج ترین تزریق http است، اما با یک تفاوت. هنگامی که یک فایل را با فایل دیگری جایگزین می کنید، به عنوان مثال، pictures.jpg با یک فایل مشخص، این دقیقاً جایگزینی یک محتوا با محتوای دیگر است. جایگزینی یک اسکریپت js به احتمال زیاد می تواند عملکرد منبع را مختل کند، بنابراین در نسخه جدید js inject یک اسکریپت را با اسکریپت دیگری جایگزین نمی کند، بلکه آن را به اسکریپت موجود اضافه می کند و امکان معرفی کد اضافی را بدون تأثیر بر روی کد اصلی اضافه می کند. .

حالت FATE دو عملکرد جدید را ترکیب می کند: FAke siTE و FAke update.

هدف اصلی سایت FAke بدست آوردن داده های مجوز از هر منبع وب، دور زدن SSL و سایر مکانیسم های امنیتی است. این امر با شبیه سازی صفحه مجوز و ایجاد الگویی که بر روی سرور شبه وب داخلی میزبانی می شود به دست می آید. به طور پیش فرض، رهگیر شامل یک الگو برای accounts.google.com است، زیرا صفحه اصلی از شما می خواهد که یک فیلد را با یک ورود و سپس یک رمز عبور پر کنید. این الگو کمی تغییر یافته است تا هر دو فیلد به طور همزمان فعال باشند. قبل از حمله باید دامنه ای که قالب روی آن میزبانی می شود را مشخص کنید. پس از شروع حمله، یک تغییر مسیر به دامنه انتخاب شده به ترافیک هدف تزریق می شود و متعاقباً رهگیر به طور خودکار جعل DNS را به آدرس های مورد نیاز انجام می دهد. در نتیجه، صفحه مجوز انتخاب شده در مرورگر باز می شود.

عملکرد به روز رسانی جعلی (به روز رسانی جعلی) به معنای ظاهر شدن پیام هایی در مورد نصب "قربانی" است. نرم افزارو ظاهراً در حال بارگیری یک فایل به روز رسانی که بارگذاری به آن اضافه شده است. لیست نرم افزارهای پشتیبانی شده بسیار کم است. در صورت تمایل، می‌توانید الگوهای خود را اضافه کنید که می‌توان آن‌ها را در به‌روزرسانی‌های misc\FATE مشاهده کرد.

ARP Poison (ARP Etching)

بخشی از حمله کلاسیک Man-in-the-Middle. این حمله با اسکن میزبان ها شروع می شود. هنگامی که میزبان ها کشف می شوند و برخی از آنها به عنوان هدف انتخاب می شوند، مسمومیت ARP شروع می شود، در نتیجه میزبان های مورد حمله شروع به ارسال ترافیک خود نه به دروازه، بلکه به مهاجم می کنند. مهاجم این ترافیک را مطالعه می کند (بو می کشد)، دستکاری های دیگری را انجام می دهد و آن را به سرور مورد نظر ارسال می کند. سرور هدف به مهاجم پاسخ می دهد (به عنوان منبع درخواست)، این ترافیک نیز بو داده، اصلاح شده و به قربانی ارسال می شود. در نتیجه، هیچ تغییر قابل توجهی برای قربانی رخ نمی دهد - گویی او در حال تبادل داده با یک سرور راه دور است.

ویژگی های اضافی Intercepter-NG

دکمه های شروع توابع اضافیدر یک بخش جداگانه از ستون سمت راست در پنجره برنامه قرار دارد:

Intercepter-NG اکنون خود را دارد اسکنر شبکه، که جایگزین پورت اسکنر اولیه از نسخه های قبلی شد. توابع اصلی آن:

  1. پورت های باز را اسکن کنید و پروتکل های زیر را به صورت اکتشافی شناسایی کنید: SSH، Telnet، HTTP\Proxy، Socks4\5، VNC، RDP.
  2. وجود SSL را در یک پورت باز، خواندن بنرها و هدرهای مختلف وب تعیین کنید.
  3. اگر پروکسی یا سوکس شناسایی شد، بررسی کنید که به بیرون باز باشند.
  4. دسترسی بدون رمز عبور به سرورهای VNC را بررسی کنید، SSL را در HeartBleed بررسی کنید. نسخه.bind را از DNS بخوانید.
  5. پایگاه داده را برای اسکریپت های موجود در وب سرور که به طور بالقوه در برابر ShellShock آسیب پذیر هستند بررسی کنید. پایگاه داده را برای لیستی از دایرکتوری ها و فایل ها با OK 200 و همچنین فهرستی از دایرکتوری ها از robots.txt بررسی کنید.
  6. تعیین نسخه سیستم عامل از طریق SMB. اگر دسترسی ناشناس دارید، زمان محلی، زمان آپدیت، فهرست منابع مشترک و کاربران محلی. جستجوی خودکار رمز عبور برای کاربران پیدا شده شروع می شود.
  7. با اندازه گیری زمان پاسخ، از لیست داخلی کاربران SSH تعیین کنید. جستجوی خودکار رمز عبور برای کاربران پیدا شده شروع می شود. اگر شمارش نتایجی را به همراه نداشته باشد (در همه نسخه ها کار نمی کند)، جستجو فقط برای ریشه راه اندازی می شود.
  8. نیروی بی رحم خودکار برای HTTP Basic و Telnet. با توجه به ویژگی های پروتکل telnet، مثبت کاذب امکان پذیر است.

شما می توانید هر هدفی را هم در شبکه محلی و هم در اینترنت اسکن کنید. می توانید لیستی از پورت ها را برای اسکن مشخص کنید: 192.168.1.1: 80،443 یا محدوده 192.168.1.1: 100-200. می توانید محدوده آدرس را برای اسکن مشخص کنید: 192.168.1.1-192.168.3.255.

برای نتیجه دقیق تر، تنها 3 میزبان را می توان در یک زمان اسکن کرد. به معنای واقعی کلمه در آخرین لحظه، بررسی های مربوط به داده های گواهینامه های SSL اضافه شد، به عنوان مثال، اگر کلمه Ubiquiti مواجه شد و پورت 22 باز بود، آنگاه brute force SSHکاربر ubnt. همین امر در مورد یک جفت سخت افزار Zyxel با کاربر ادمین نیز صدق می کند. برای اولین نسخه اسکنر عملکرد کافی وجود دارد و به خوبی اشکال زدایی شده است.

HeartBleed Exploit

آزمایش می کند که آیا هدف در برابر HeartBleed آسیب پذیر است یا خیر. اگر هدف آسیب پذیر باشد، از این آسیب پذیری سوء استفاده می کند و بخشی از محتوا را دریافت می کند RAMمیزبان راه دور

حالت Bruteforce

حملات Brute force (brute force، brute force) برای پروتکل های شبکه زیر پشتیبانی می شوند:

  • POP3 TLS
  • SMTP TLS
  • HTTP Basic
  • پست HTTP
  • TELNET
  • VMware

می توانید تعداد رشته هایی را که اعتبارنامه ها در آنها بررسی می شود را تعیین کنید.

هنگامی که یک بازه زمانی رخ می دهد، موضوع فعال از همان مکان دوباره راه اندازی می شود و روند جستجو ادامه می یابد.

موجود است حالت تک، که نشان می دهد هر جفت ورود: رمز عبور جدید باید با ایجاد یک اتصال جدید برای برخی از پروتکل ها بررسی شود و این امکان افزایش سرعت را فراهم می کند. گزارش عملیات ذخیره می شود brute.txt.

توابع ARP

علاوه بر اچ کردن ARP و اسکن ARP، چندین عملکرد دیگر مرتبط با پروتکل ARP وجود دارد. دو مورد از آنها در دکمه های جداگانه در ستون سمت راست در پنجره برنامه قرار می گیرند:

  • ARP Watch: سرویس مانیتورینگ ARP شخصی ساخته شده است. شما باید با انجام یک اسکن ARP برای پر کردن لیست آدرس‌های MAC قابل اعتماد ("تمیز") شروع کنید. اگر کسی سعی کند حافظه پنهان arp شما را مسموم کند، یک پیام هشدار ظاهر می شود.
  • قفس ARP: آدرس IP مورد نظر را با جعل ورودی های جدول arp از سایر میزبان های محلی جدا می کند.

نمونه های پرتاب Intercepter-NG

نحوه اجرای MiTM در Intercepter-NG

با یک انتخاب شروع کنید آداپتور شبکه (آداپتور شبکه):

کلیک کنید کلیک راست کنیدروی یک جدول خالی و انتخاب کنید اسکن هوشمند:

لیستی از اهداف نمایش داده خواهد شد:

موارد مورد نیاز خود را به عنوان هدف اضافه کنید ( به عنوان هدف اضافه کنید):

برای شروع بو کشیدن، روی نماد مربوطه کلیک کنید:

به برگه بروید حالت MiTM(این یک کره با پچ کورد است) و روی نماد کلیک کنید ARP Poison(نماد خطر تشعشع):

در برگه حالت رمز عبور(نماد یک جاکلیدی است)، اعتبارنامه های ضبط شده ظاهر می شوند:

کار با وای فای و کار با اترنت

هنگام کار با Wi-Fi یا اتصالات سیمی تفاوتی وجود ندارد، اما باید به آن تغییر دهید حالت مورد نظربا کلیک بر روی نماد:

تجزیه و تحلیل آفلاین فایل های ضبط pcap

گزینه های زیادی وجود دارد که می تواند زمان تجزیه و تحلیل را کند یا تسریع کند.

  1. برای شروع، اگر نیاز به خواندن یک فایل pcap بزرگ دارید، گزینه " را غیرفعال کنید. حل کند".
  2. اگر pcap شما حاوی فایل‌های بزرگ باشد و Resurrection فعال باشد، ممکن است سرعت کاهش یابد. راه حل این است که برای بازیابی حداکثر اندازه فایل را محدود کنید.
  3. اگر نیازی به بازسازی چیزی ندارید، این گزینه را در تنظیمات غیرفعال کنید. سرعت افزایش خواهد یافت.
  4. اگر فقط نیاز به تجزیه و تحلیل یک پروتکل خاص دارید، به عنوان مثال، ICQ\AIM یا فقط HTTP، سپس فیلتر مناسب را تنظیم کنید. فیلتر pcap"از حالت خام: پورت tcp xxx، کجا xxxشماره پورت پروتکل شما است.
  5. می توانید بیش از یک عکس را برای تجزیه و تحلیل بارگیری کنید. در گفتگو را باز کنیدچندین فایل را انتخاب کنید، همه آنها یک به یک تجزیه و تحلیل می شوند.

نصب Intercepter-NG

نصب بر روی لینوکس کالی

برای نصب و اجرای Intercepter-NG در کالی لینوکسدستورات زیر را اجرا کنید:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt نصب libpcap-dev sudo dpkg --add-architecture i386 sudo آپدیت apt sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo cp packet. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # v1 Intercepter-NG 0 و حذف کنید فایل های dll wpcap.dll و Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip unzip Intercepter- NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

نصب روی ویندوز

برای نصب Intercepter-NG در ویندوز، به آرشیو مربوطه رفته و آن را دانلود کنید (بدون حروف C.E.). این برنامه نیازی به نصب ندارد، فقط آرشیو را باز کرده و فایل را اجرا کنید exe.

نصب در اندروید

برای نصب Intercepter-NG در اندروید به ادامه مطلب بروید و فایل را دانلود کنید apk. برای راه اندازی موفقیت آمیز برنامه، حقوق ریشه مورد نیاز است.

اسکرین شات های Intercepter-NG

Intercepter-NG چیست؟

بیایید ماهیت عملکرد ARP را در نظر بگیریم مثال ساده. کامپیوتر A (آدرس IP 10.0.0.1) و کامپیوتر B (آدرس IP 10.22.22.2) توسط یک شبکه اترنت متصل می شوند. کامپیوتر A می خواهد یک بسته داده به کامپیوتر B بفرستد و آدرس IP کامپیوتر B را می داند. با این حال، شبکه اترنت که آنها به آن متصل هستند با آدرس های IP کار نمی کند. بنابراین، برای انتقال از طریق اترنت، کامپیوتر A باید آدرس کامپیوتر B را در شبکه اترنت بداند (آدرس MAC در اصطلاح اترنت). برای این کار از پروتکل ARP استفاده می شود. با استفاده از این پروتکل، کامپیوتر A یک درخواست پخش را به همه رایانه‌های موجود در حوزه پخش یکسان ارسال می‌کند. اصل درخواست: "رایانه با آدرس IP 10.22.22.2، آدرس MAC خود را به رایانه دارای آدرس MAC ارائه دهید (به عنوان مثال، a0:ea:d1:11:f1:01)." شبکه اترنت این درخواست را به همه دستگاه‌های موجود در یک بخش اترنت ارائه می‌کند، از جمله رایانه B. رایانه B به رایانه A به درخواست پاسخ می‌دهد و آدرس MAC آن را گزارش می‌کند (به عنوان مثال 00:ea:d1:11:f1:11). آدرس MAC کامپیوتر B را دریافت کرد، کامپیوتر A می تواند هر داده ای را از طریق شبکه اترنت به آن منتقل کند.

برای جلوگیری از نیاز به استفاده از پروتکل ARP قبل از ارسال هر داده، مک آدرس های دریافتی و آدرس های IP مربوط به آنها برای مدتی در جدول ثبت می شوند. اگر نیاز به ارسال داده به همان IP دارید، دیگر نیازی به نظرسنجی دستگاه ها در هر بار جستجوی MAC مورد نظر نیست.

همانطور که دیدیم، ARP شامل یک درخواست و یک پاسخ است. آدرس MAC از پاسخ در جدول MAC/IP نوشته می شود. وقتی پاسخی دریافت می شود، به هیچ وجه صحت آن بررسی نمی شود. علاوه بر این، حتی بررسی نمی کند که آیا درخواست انجام شده است یا خیر. آن ها شما می توانید بلافاصله یک پاسخ ARP را با داده های جعلی به دستگاه های مورد نظر (حتی بدون درخواست) ارسال کنید و این داده ها در جدول MAC/IP قرار می گیرند و برای انتقال داده ها استفاده می شوند. این ماهیت حمله ARP-spoofing است که گاهی اوقات ARP Etching، ARP cache Poisoning نامیده می شود.

شرح حمله ARP-spoofing

دو کامپیوتر (گره) M و N در یک شبکه محلی اترنت پیام‌ها را مبادله می‌کنند. مهاجم X، واقع در همان شبکه، می خواهد پیام های بین این گره ها را رهگیری کند. قبل از اینکه حمله جعل ARP بر روی رابط شبکه میزبان M اعمال شود، جدول ARP حاوی آدرس IP و MAC میزبان N است. همچنین در رابط شبکه میزبان N، جدول ARP شامل آدرس IP و MAC میزبان M است. .

در طول یک حمله جعل ARP، گره X (مهاجم) دو پاسخ ARP (بدون درخواست) ارسال می کند - به گره M و گره N. پاسخ ARP به گره M شامل آدرس IP N و آدرس MAC X است. پاسخ ARP به گره N شامل آدرس IP M و آدرس MAC X است.

از آنجایی که کامپیوترهای M و N از ARP خود به خود پشتیبانی می کنند، پس از دریافت پاسخ ARP، جداول ARP خود را تغییر می دهند و اکنون جدول ARP M حاوی آدرس MAC X متصل به آدرس IP N و جدول ARP N حاوی آدرس MAC X است. متصل به آدرس IP M.

بنابراین، حمله ARP-spoofing کامل می‌شود و اکنون تمام بسته‌ها (فریم‌ها) بین M و N از X عبور می‌کنند. برای مثال، اگر M بخواهد بسته‌ای را به کامپیوتر N بفرستد، سپس M در جدول ARP خود نگاه کند، یک ورودی پیدا می‌کند. با آدرس IP میزبان N، آدرس MAC را از آنجا انتخاب می کند (و آدرس MAC گره X از قبل وجود دارد) و بسته را ارسال می کند. بسته به رابط X می رسد، توسط آن تجزیه و تحلیل می شود و سپس به گره N ارسال می شود.

بازدید: 2890

مقدمه

با کمال میل می خواهم نسخه جدید Intercepter-NG 0.9.10 را ارائه کنم که به نظر من،
به طور قابل توجهی دامنه ابزار را گسترش می دهد. این بررسی در قالب یک لیست خشک ارائه نخواهد شد.
نوآوری ها، بلکه به عنوان توصیفی از بردارهای حمله جدید همراه با تعدادی از جزئیات فنی و عناصر داستان هک است. بیایید شروع کنیم ...

اسکن شبکه

مثل همیشه اصلاحات و اصلاحات جزئی زیادی انجام شده است که ذکر آنها فایده ای ندارد.
هر کسی که اغلب از این ابزار استفاده می کند می داند که یکی از حالت های اصلی حالت اسکن شبکه و به ویژه عملکرد اسکن هوشمند است. به اطلاعات آشنای قبلی در مورد آدرس های IP و MAC، سازنده کارت شبکه و سیستم عامل، نمایش نام کامپیوتر اضافه شده است.
در همان بازه زمانی، اکنون می‌توانید علاوه بر این، نام Netbios یا نام دستگاهی که iOS را اجرا می‌کند، پیدا کنید.
برای حل دومی، از پروتکل MDNS استفاده می شود که بر اساس آن پروتکل Bonjour اپل کار می کند، اکنون همه نام های دریافتی در یک فایل کش ذخیره می شوند و اگر در طول اسکن های بعدی به دلایلی اطلاعات مربوط به نام میزبان به صورت پویا به دست نیامد. در اینجا می توان به عملکرد Auto ARP Poison نیز اشاره کرد که در حالت اتوماتیک poison فعال است، کافی است فقط 1 میزبان به لیست اهداف اضافه شود Intercepter خود شبکه را در یک بازه زمانی مشخص اسکن می کند و به طور خودکار اهداف جدید اضافه می کند.

حالت Bruteforce

این حالت پشتیبانی TLS را اضافه می کند پروتکل های SMTPو POP3 و همچنین مجوز brute force TELNET.
اکنون، زمانی که یک بازه زمانی رخ می دهد، موضوع فعال از همان مکان مجددا راه اندازی می شود و روند جستجو ادامه می یابد.
Single Mode ظاهر شده است، که نشان می دهد هر جفت LP جدید باید با ایجاد یک اتصال جدید بررسی شود، برای برخی از پروتکل ها این امکان افزایش سرعت را فراهم می کند. گزارش عملیات در brute.txt ذخیره می شود.

تعویض کننده ترافیک

بیش از یک بار درخواست هایی برای اجرای عملکرد جایگزینی ترافیک وجود داشته است و مورد توجه قرار نگرفته است، اما نباید زودتر از موعد خوشحال شوید.
در پاسخ به سوال متقابل: "چرا دقیقاً به این فرصت نیاز دارید؟" برخی از کاربران پاسخ دادن به آن را مشکل یافتند یا گفتند که تغییر کلمات در ترافیک وب یک شوخی است. و برای اینکه به همه جوکرها توضیح ندهید که چرا نتیجه همیشه انتظارات را برآورده نمی کند، فقط می توانید داده های با اندازه مساوی را بدون تغییر طول بسته ها جایگزین کنید. این محدودیت به هیچ وجه مربوط به مشکلات پیاده سازی فنی نیست. همه چیز به پروتکل های برنامه برمی گردد. بیایید به یک مثال با HTTP نگاه کنیم.

فرض کنید مرورگر site.com/file.txt را باز می کند که شامل رشته "12345" است. در پاسخ به درخواست GET، سرور یک هدر HTTP را برمی‌گرداند که طول داده‌های ارسال شده را نشان می‌دهد - طول محتوا: 5. اگر «12345» را با «12356» جایگزین کنیم چه اتفاقی می‌افتد؟ مرورگر فقط 5 بایت دانلود می کند و "6" اضافه شده را کنار می گذارد و اگر با جایگزینی "1234" با جایگزینی "12345" حجم داده ها را کاهش دهیم، مرورگر فقط 4 بایت دریافت می کند و برای 1 بایت دیگر از سرور منتظر می ماند تا اینکه اتصال با مهلت زمانی بسته می شود. به همین دلیل این محدودیت اندازه ایجاد شد. شما می توانید هم متن و هم داده های باینری را تغییر دهید.
اگر نیاز به جایگزینی در ترافیک HTTP است، در تنظیمات باید گزینه «غیرفعال کردن کدگذاری HTTP gzip» را فعال کنید.

جعل HSTS

همانطور که قول داده بود ظاهر شد بای پس HSTSهنگام اجرای SSL Strip. تکنیک بای پس نسبتا ساده است، اما مشکلات خاصی در اجرا وجود دارد، بنابراین نباید انتظار نتایج خاصی را داشته باشید. بیایید یک مثال در Yandex Mail با استفاده از مرورگر کروم در نظر بگیریم. اگر به آن بروید، در گوشه سمت راست بالا یک پیوند https "ورود به نامه" وجود دارد که SSL Strip به راحتی می تواند آن را مدیریت کند. سپس یک فرم مجوز باز می شود که در آن داده ها به روش POST منتقل می شوند. حتی پس از حذف https، مجوز از طریق SSL رخ می دهد، زیرا میزبان passport.yandex.ru در لیست از پیش بارگذاری شده کروم گنجانده شده است. برای اینکه همچنان داده ها را رهگیری کنیم، باید نام میزبان passport.yandex.ru را با چیز دیگری جایگزین کنیم تا مرورگر تشخیص ندهد که این منبع باید کاملاً از طریق یک اتصال ایمن بازدید شود. به عنوان مثال، می توانید passport.yandex.ru را با passport.yandex.ru جایگزین کنید، در این صورت داده ها به صورت متنی واضح به نام دامنه تغییر یافته ارسال می شوند. اما چون چنین دامنه ای - paszport.yandex.ru وجود ندارد، پس علاوه بر این باید جعل DNS را انجام دهید، یعنی. هنگام حل مشکل paszport.yandex.ru، مشتری باید در پاسخ آدرس IP اصلی را از passport.yandex.ru دریافت کند. این روش خودکار است و نیازی به مداخله اضافی کاربر در هنگام انجام یک حمله ندارد. تنها چیزی که لازم است این است که ابتدا لیستی از جایگزین ها را در mischsts.txt ایجاد کنید. به طور پیش فرض، چندین ورودی برای yandex، gmail، facebook، yahoo وجود دارد. درک این نکته مهم است که اگر کاربر facebook.com را در مرورگر وارد کند، این تکنیک دور زدن اجازه رهگیری جلسه یا مجوز را نمی دهد، زیرا مرورگر بلافاصله نسخه امن سایت را باز می کند. در این مورد، حمله تنها در صورتی امکان پذیر است که پیوند به facebook.com از منبع دیگری گرفته شده باشد، برای مثال هنگام ورود فیس بوک به . مشکلات اصلی در اجرای یک حمله شامل منطق غیرقابل پیش‌بینی نحوه عملکرد سایت‌ها با زیردامنه‌ها و ویژگی‌های کد وب است که می‌تواند هر گونه تلاشی را نفی کند.
دور زدن HSTS به همین دلیل است که نباید هیچ سایتی را به لیست اضافه کنید، حتی دامنه های موجود در Intercepter-NG به طور پیش فرض ویژگی های خاص خود را دارند و همیشه به درستی کار نمی کنند. من واقعاً نمی خواهم برای هر منبع عصا بسازم، شاید در آینده پیشرفت های جهانی انجام شود، اما در حال حاضر، همانطور که می گویند.
یک نکته دیگر، در پیاده سازی فعلی، برای انجام DNS Spoofing، لازم است سرور DNS در شبکه محلی نباشد تا بتوان درخواست های DNS را به دروازه مشاهده کرد و در صورت نیاز به آنها پاسخ داد.

توجه به این نکته ضروری است که نسخه جدید کار خود SSL Strip را به میزان قابل توجهی بهبود بخشیده است.

دانلود اجباری و JS Inject

هر دو نوآوری مربوط به حالت تزریق HTTP است. در روسی، دانلود اجباری می تواند به عنوان "دانلود اجباری" ترجمه شود، زیرا این دقیقاً همان چیزی است که در سمت هدف در طول وب گردی اتفاق می افتد. هنگام ورود به سایت، پیشنهاد می شود فایلی را که مهاجم مشخص کرده است، دانلود کنید، بسته به تنظیمات مرورگر، می توان آن را به تنهایی دانلود کرد و کاربر انتخاب می کند که آیا آن را اجرا کند یا خیر.
همانطور که متوجه شدید، می توانید یک فایل exe با محتوای دلخواه را به دانلود اجباری اضافه کنید و منبع این فایل سایتی خواهد بود که کاربر در حال حاضر از آن بازدید می کند. با دانستن اینکه هدف قرار است adobe.com را باز کند، می توانید flashplayer.exe را صادر کنید و منبع این فایل به عنوان adobe.com یا یکی از زیر دامنه های آن درج می شود.
پس از یک بار تزریق، اجبار برای تزریق مجدد خاموش می شود، باید دوباره روی کادر مربوطه کلیک کنید.

JS Inject به صراحت در میان کنترل ها وجود ندارد، زیرا در واقع، این رایج ترین تزریق http است، اما با یک تفاوت. هنگامی که یک فایل را با فایل دیگری جایگزین می کنید، به عنوان مثال، pictures.jpg با یک فایل مشخص، این دقیقاً جایگزینی یک محتوا با محتوای دیگر است. جایگزینی یک اسکریپت js به احتمال زیاد می تواند عملکرد منبع را مختل کند، بنابراین در نسخه جدید js inject یک اسکریپت را با اسکریپت دیگری جایگزین نمی کند، بلکه آن را به اسکریپت موجود اضافه می کند و امکان معرفی کد اضافی را بدون تأثیر بر روی کد اصلی اضافه می کند. .

SSL MiTM

ما به تدریج به جالب ترین محصولات جدید نزدیک می شویم. نسخه جدید به طور کامل کد SSL MiTM را بازنویسی کرده است. اکنون سریع و پایدار کار می کند. الگوریتم تولید گواهینامه ها نیز تغییر کرده است. این بدان معناست که با افزودن این گواهی خودامضا به لیست موارد مورد اعتماد در رایانه هدف، امکان گوش دادن به ترافیک SSL به هر منبعی (جایی که SSL Pinning وجود ندارد) وجود خواهد داشت. ویژگی Cookie Killer اکنون برای اتصالات SSL کار می کند. لیست های سیاه (miscssl_bl.txt) و لیست های سفید (miscssl_wl.txt) ظاهر شدند. آن‌ها می‌توانند آدرس‌های IP یا دامنه‌هایی را که SSL MiTM باید یا نباید برای آن‌ها اعمال شود، حذف یا برعکس، کاملاً مشخص کنند. هنگام تعیین پورت ssl اضافی، دیگر نیازی به تعیین نوع خواندنی نیست، فقط کافی است شماره پورت را مشخص کنید. تمام ترافیک در ssl_log.txt نوشته شده است.

ربودن خط مشی گروهی

یکی دیگر از ویژگی های قاتل در Intercepter-NG. علیرغم اینکه این تکنیک توسط من کشف نشده است، این اولین اجرای عمومی و کاملاً کاربردی این حمله است. توضیحات مفصلموجود و .

یک بار دیگر، SMB مایکروسافت را خراب کرد، زیرا به لطف این آسیب پذیری، در حدود یک ساعت و نیم می توانید به هر رایانه ای در دامنه (به جز کنترل کننده دامنه) دسترسی پیدا کنید. نکته چیست؟

هر 90+ عدد تصادفی از 0 تا 30 دقیقه، یک عضو دامنه از DC خط‌مشی‌های گروه را درخواست می‌کند. این از طریق SMB، با باز کردن آدرس شبکه DCSYSVOLdomain.namePoliciesUUIDgpt.ini اتفاق می‌افتد.

محتوا این فایلزیر


نسخه=12345

این عدد نسخه نسبی فعلی است سیاست های گروه. اگر با آخرین به روز رسانینسخه تغییر نکرده است، سپس روند دریافت خط مشی های گروه متوقف می شود، اما اگر نسخه متفاوت است، باید به روز شوند. در این مرحله، کلاینت CSE های فعال (پسوندهای سمت مشتری) را از دامنه درخواست می کند که شامل اسکریپت های مختلف لاگین، وظایف زمان بندی و غیره می شود. طبیعتاً یک مهاجم که در وسط قرار می گیرد، می تواند جایگزین یکی از وظایفی شود که توسط کنترلر در قالب یک فایل ایجاد می شود. در این شرایط، عملیات کاملاً ساده خواهد بود، اما همه این CSE ها به طور پیش فرض غیرفعال هستند و تنها کاری که می توان انجام داد اصلاح رجیستری است، زیرا هنگام به روز رسانی خط مشی های گروه، کلاینت فایل دیگری را درخواست می کند - GptTmpl.inf، که از طریق آن می توانید یک ورودی را اضافه یا حذف کنید. نویسندگان هر دو مقاله تصمیم گرفتند از یک روش شناخته شده - AppInit_Dll - برای نشان دادن اجرای کد استفاده کنند. ما کلید رجیستری مورد نیاز را برای بارگیری dll از مسیر شبکه تنظیم کردیم، پس از آن فرآیند ایجاد شده جدید در سیستم کد دلخواه را اجرا کرد. اما این روش تنها به عنوان اثبات مفهوم مناسب است، زیرا AppInit_Dll سال هاست که به طور پیش فرض غیرفعال شده است. در این راستا، وظیفه یافتن راه دیگری برای اجرای کد از راه دور، بدون نیاز به منتظر ماندن برای راه‌اندازی مجدد، پیدا شود، همانطور که در مورد اضافه کردن autorun به کلید Run وجود دارد.

تلاش های زیادی برای رسیدن به هدف مورد نظر به هر طریقی انجام شد که هیچ فایده ای نداشت تا اینکه یکی شد مرد خوب(thx man) کلید رجیستری خیلی جالبی را پیشنهاد نکرد که قبلاً چیزی در مورد آن نمی دانستم.

می توانید برای هر فایل exe. یک دیباگر به کلید اضافه کنید. برای مثال، مشخص کنید که calc.exe باید از طریق c:pathdebuger.exe باز شود و به محض راه‌اندازی ماشین‌حساب، ابتدا اشکال‌زدا باز می‌شود. خط فرمانکه راه حلی برای calc خواهد بود در فرآیند دسترسی، یعنی به جای یک ماشین حساب می توانید کد را از طریق تماس با اینترنت اکسپلورر یا کروم یا هر برنامه دیگری اجرا کنید، اما ظاهر شد مشکل جدید. اگر کاربر مورد حمله از حقوق مدیریتی برخوردار نبود، حتی پس از دریافت پوسته، هیچ راهی برای حذف اشکال زدایی که قبلاً به رجیستری اضافه شده بود وجود نداشت، به این معنی که پس از توقف حمله یا هنگام راه اندازی مجدد، برنامه سوء استفاده شده از کار افتاد، زیرا جعل شده آدرس شبکهاز آنجایی که debuger.exe دیگر وجود نداشت.
لازم بود راهی برای دسترسی نه تنها به پوسته بلکه همیشه با حقوق مدیر پیدا شود. با حذف تمام مشکلات بعدی، نتیجه را شرح خواهم داد. پس از دریافت خط مشی های گروه، سیستم باید آنها را اعمال کند، svchost فراخوانی می شود و یک فرآیند taskhost.exe جدید با حقوق SYSTEM ایجاد می کند. با عمل به عنوان یک دیباگر برای taskhost.exe، ما دو پرنده را با یک سنگ کشتیم - ما نه تنها پوسته ای با حقوق SYSTEM دریافت کردیم، بلکه آن را بلافاصله و بدون دخالت دستی کاربر دریافت کردیم. این حمله کاملاً خودکار است. برای این کار حتی لازم نیست عضو دامنه باشید. تنها چیزی که لازم است فعال کردن دسترسی به شبکه است: اجازه دهید مجوزهای همه برای کاربران ناشناس اعمال شود. هنگام تست برای اینکه یک ساعت و نیم صبر نکنید فقط gpupdate را از کنسول اجرا کنید. تست شده بر روی ویندوز 78.1 وصله شده در دامنه هایی با سرورهای 2008R22012R2.

اقدامات حفاظتی چیست؟ مایکروسافت یک پچ برای MS15-011 منتشر کرده است که به اصطلاح UNC Hardened Access را معرفی می کند که به آن نیاز دارد. تنظیمات دستی. جمله جالبی در خبرنامه آمده است:

«کاربرانی که حساب‌هایشان به گونه‌ای پیکربندی شده است که حقوق کاربر کمتری در سیستم داشته باشند، نسبت به کاربرانی که با حقوق کاربر اداری کار می‌کنند، کمتر تحت تأثیر قرار خواهند گرفت».

همانطور که قبلاً مشخص شده است، تهدید برای هر کاربری به همان اندازه زیاد است.

با وجود تمام پتانسیل GP Hijacking، به نظر من یک نوآوری دیگر در این نسخه سزاوار توجه ویژه است...

دسر

آنچه در پایان به آن خواهیم پرداخت را نمی توان تابع جدید نامید. بلکه یک بردار حمله است که زمانی باز می شود اشتراک گذاریتعدادی از راه حل های موجود در Intercepter-NG.

تاکید در این مورد بر روی است شبکه های بی سیمو دستگاه های تلفن همراه، به ویژه در حال اجرا iOS - iPhone و iPad. همه می دانند که سم آرپ اولیه این دستگاه ها عملاً هیچ چیز نمی دهد. رهگیری کوکی ها از سایت های باز در مرورگر شاید تنها چیزی باشد که می توانید روی آن حساب کنید، زیرا... در بیشتر موارد، کاربر از طریق برنامه های کاربردی اختصاصی از سرویس های مختلف کار می کند، جایی که ارتباط با سرور از طریق SSL رخ می دهد. حتی اگر سعی کنید SSL MiTM را پیاده سازی کنید، هیچ چیز به سادگی با یک گواهی نامعتبر کار نمی کند. بنابراین، اعتقاد بر این است که تلفن‌ها و تبلت‌ها به‌طور پیش‌فرض از شنود شبکه کاملاً محافظت می‌شوند.

اما وضعیت زیر را تصور کنید، کاربر معمولی در آن نشسته است اپلیکیشن اینستاگرامو از طریق خوراک نگاه می کند.
ناگهان برنامه از کار می افتد و از عدم اتصال شکایت می کند و کاربر instagram.com را در مرورگر باز می کند که در آنجا هشداری با متن "برای ادامه کار در instagram.com، نصب کنید" ظاهر می شود. گواهی جدیدامنیت» و پس از بستن پیام، درخواست نصب گواهی جدید روی صفحه ظاهر می شود. توسعه بیشتررویدادها البته به کاربر بستگی دارد، اما احتمال اینکه او همچنان گواهی پیشنهادی را نصب کند بسیار زیاد است، زیرا وضعیت کاملاً قابل قبول است: برنامه از کار افتاد، به سایت رفت، هشداری در مورد به روز رسانی مورد نیاز مشاهده کرد، به روز شد - همه چیز کار کرد، اگرچه در واقع مهاجم گواهی شما را قاب کرد و اکنون تمام ترافیک SSL را می خواند. اجرای اجباری دانلود، JS Inject و SSL MiTM پایدار به شما امکان می دهد یک سناریوی مشابه را در کوتاه ترین زمان اجرا کنید:

1. js inject را با هشدار انجام دهید("لطفا گواهی جدید را برای %domain% نصب کنید.");
الگوی %domain% با نام سایتی که تزریق انجام شده پر می شود.

2. دانلود اجباری miscserver.crt - گواهی ریشهدر Intercepter-NG.

3. SSL MiTM (و همچنین نوار ssl برای تزریق) را فعال کنید.

4. پس از راه اندازی حمله به دستگاه هدف، اتصالات SSL از کار می افتد و یک هشدار با یک گواهی در مرورگر صادر می شود.

یک سوال طبیعی مطرح می شود: با ترافیک SSL، به غیر از رهگیری غیرفعال جلسات از قبل تعیین شده، چه باید کرد. Cookie Killer به کمک می آید، که به عنوان مثال در برنامه فیس بوک به درستی کار می کند.
iOS نیز جام مقدس خود را دارد - iCloud، اما بازنشانی کوکی ها به بازنشانی جلسه آن کمکی نمی کند. به طور خاص برای iCloud و همچنین اینستاگرام و VK اضافه شده است عملکرد iOS Killer، که جلسات برنامه های مشخص شده را بازنشانی می کند و به شما امکان می دهد مجوز مجدد را متوقف کنید. این ترفند را نمی توان با AppStore انجام داد، زیرا ... به نظر می‌رسد از SSL Pinning در آنجا استفاده می‌شود. این وکتور بر روی iOS 56 و 8.4 تست شده است.

برنامه ها اضافه کردن توانایی ایجاد مستقل کنترلرها با استفاده از LUA یا از طریق یک افزونه DLL بود، اما با قضاوت بر اساس واکنش کاربران، هیچ کس علاقه واقعی ندارد. نسخه جدیدبه احتمال زیاد سال آینده یک به روز رسانی کاربردی Intercepter-NG برای اندروید در پاییز منتشر خواهد شد. سوالات، بازخوردها، درخواست های ویژگی همیشه مورد استقبال قرار می گیرد. همین.

نمایشی از عملکردهای جدید در ویدیو ارائه شده است.

مخاطبین پروژه

انتخاب سردبیر

© 2024 ermake.ru -- درباره تعمیر رایانه شخصی - پورتال اطلاعاتی