Pārtvērējs ng nedarbojas. Sniffer for Windows Intercepter-NG (lietošanas instrukcijas)

Daudzfunkcionālā programma ļauj identificēt visas ierīces publiskais tīkls, noteikt ierīču IP un MAC adreses, pārtvert trafiku un aizstāt lejupielādētos failus. Pieredzējušam lietotājam neko nemaksās, lai izlasītu kāda cita e-pasta korespondenci un pieteiktos savā kontā. sociālais tīkls izmantojot šo utilītu.

Raksturīgs

Kā minēts iepriekš, Intercepter-NG ir programma, var teikt, neatļautai mijiedarbībai ar citām ierīcēm. Ar pāris klikšķiem varat noteikt ierīces IP adresi un Mac adresi, pārtvert trafiku un Sīkdatnes, lasiet kāda cita tiešsaistes saraksti vai piesakieties kāda cita kontā sociālajā tīklā, lai veiktu savus “netīros” darbus.

Pieredzējuši lietotāji apliecina, ka lietojumprogramma darbojas un ir savienota ar vienu punktu Wi-Fi piekļuve jūs varat pārtvert citu cilvēku satiksmi.

Īpatnības

Pirmkārt, jums ir jābūt minimālām zināšanām. Lietojumprogramma nesatur instrukcijas, atsauces grāmatas vai apmācības režīmus. Attiecīgā informācija būs jāmeklē tematiskajos forumos.

Otrkārt, lai utilīta darbotos, jums ir jāiegūst superlietotāja tiesības. Paturot prātā riskus, ko rada šāds lēmums, ir svarīgi izsvērt plusus un mīnusus. Un, ja nolemjat iegūt root tiesības, noteikti lejupielādējiet un instalējiet piekļuves tiesību pārvaldnieka utilītu, ar kuru varat reāllaikā kontrolēt lietojumprogrammu piekļuvi superlietotāja tiesībām.

Intercepter-NG ļaus jums noteikt jebkura lietotāja, kas ir savienots ar publisko tīklu, MAC adresi un IP adresi. Tāpat, izmantojot programmu, jūs varat pārtvert sīkfailus, izejošos un ienākošā satiksme nelikumīgiem nolūkiem.

Raksturlielumi

Intercepter-NG ir daudzfunkcionāla lietojumprogramma, kas labās rokās pārvēršas par rīku nelikumīgu darījumu veikšanai. Pirmkārt, to var izmantot, lai identificētu visas publiskajam tīklam pievienotās ierīces. Dati ietver ne tikai IP adresi, bet arī unikālo ierīces MAC adresi.

Otrkārt, lietojumprogramma ļauj pārtvert atlasītā lietotāja divvirzienu trafiku, apskatot, izmantojot un pat nomainot failus. Tā kā programma to nedara detalizētas instrukcijas lai izmantotu funkcionalitāti, jums ir jābūt minimālām zināšanām. Šajā gadījumā jūs ne tikai uzzināsiet IP vai MAC adresi, bet arī varēsiet viegli pārtvert sīkfailus, lai lasītu citu personu saraksti un pat veiktu darbības lietotāja vārdā.

Īpatnības

• Piekļuve saknei. Lai izmantotu visas lietojumprogrammas funkcijas, ierīcei ir jābūt sakņotai.
• Iespēja uzzināt jebkura lietotāja IP un MAC adresi, kurš izmanto to pašu piekļuves punktu kā jūs.
• Iespēja pārtvert sīkfailus, lai lasītu korespondenci, darbības ar kontiem.
• Iespēja pārtvert izejošo un ienākošo trafiku, aizstāt failus.

Minimālistisks interfeiss un stabila darbība ir vēl dažas lietojumprogrammas funkcijas, kas padara to populāru šaurās aprindās.

Intercepter-NG apraksts

Intercepter-NG ir daudzfunkcionāls tīkla rīku komplekts IT speciālistiem dažādi veidi. Galvenais mērķis ir atgūt interesantus datus no tīkla plūsmas un veikt dažāda veida “man-in-the-middle” (MiTM) uzbrukumus. Turklāt programma ļauj atklāt ARP viltošanu (var izmantot, lai atklātu uzbrukumus starp cilvēkiem), identificētu un izmantotu noteikta veida ievainojamības un brutāla spēka pieteikšanās akreditācijas datus. tīkla pakalpojumi. Programma var darboties gan ar tiešraides trafika straumi, gan analizēt failus ar notverto trafiku, lai noteiktu failus un akreditācijas datus.

Programma piedāvā šādas funkcijas:

• Šāda veida paroļu/jaucējkodolu meklēšana: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE, NTLM , KRB5 RADIUS
• Tērzēšanas ziņojumu šņaukšana: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
• Rekonstruēt failus no: HTTP, FTP, IMAP, POP3, SMTP, SMB
• Dažādi skenēšanas veidi, piemēram, Promiscuous režīms, ARP, DHCP, vārteja, porta un viedā skenēšana
• Pakešu uztveršana un sekojoša (bezsaistes) analīze / RAW (neapstrādāts) režīms
• Attālā trafika uztveršana, izmantojot RPCAP dēmonu un PCAP Over IP
• NAT, SOCKS, DHCP
• ARP, DNS, izmantojot ICMP, DHCP, SSL, SSLSTRIP, WPAD, SMB relejs, SSH MiTM
• SMB nolaupīšana (pārtveršana), LDAP relejs, MySQL LOAD DATA injekcija
• ARP Watch, ARP Cage, HTTP injekcija, Heartbleed izmantošana, Kerberos pazemināšana, Cookie Killer
• DNS, NBNS, LLMNR viltošana
• Dažādu tīkla pakalpojumu brutāls spēks

Galvenā versija darbojas operētājsistēmā Windows, pieejama konsoles versija operētājsistēmai Linux un Android versijai.

Licence: "kā ir"

Pārtvērēja-NG režīmi

Intercepter-NG ir septiņi galvenie režīmi, kas atbilst programmas cilņu skaitam un galveno pogu skaitam:

Šie ir režīmi:

• Kurjeri
• Augšāmcelšanās
• Paroles
• Skenē
• RAW (neapstrādāts)

Liek pirmajā vietā Messenger režīms(ICQ logotips). Tas notika vēsturisku iemeslu dēļ - Intercepter-NG sākotnēji tika izveidots kā programma ICQ ziņojumu un citu tūlītējo ziņojumu pārtveršanai.

Augšāmcelšanās režīms(logotips uz pogas ir Phoenix) nozīmē failu atkopšanu no tīkla straumes. Tie var būt vietnēs skatīto attēlu faili, kā arī pārsūtīto arhīvu faili, dokumenti un citi faili.

Pārejot uz Paroles režīms(trešā poga - atslēgu piekariņš) jūs redzēsit akreditācijas datus, kas iegūti no tīkla straumes. Tiek parādītas vietņu adreses, ievadītie pieteikumvārdi un paroles.

Kad programma sākas, tā tiek atvērta Skenēšanas režīms(vidējā poga - radars). Šis ir sākotnējais uzbrukumu uzsākšanas režīms: šajā cilnē notiek skenēšana, mērķu atlase un citu tīkla parametru iestatīšana.

Tab MiTM(plākstera vadu komplekts) satur laukus mērķa iestatījumu ievadīšanai, un daudzi no tiem tiek automātiski aizpildīti skenēšanas laikā cilnē Skenēšana. Ir arī pogas dažādu MiTM uzbrukumu palaišanai.

Tab DHCP satur dažus tīkla un DHCP servera iestatījumus.

RAW režīms (neapstrādāts) parāda neapstrādātu informāciju par tīkla straumē pārsūtītajiem datiem. Informācija tiek sniegta formā, kas ir līdzīga .

Padomi Intercepter-NG lietošanai un problēmu risināšanai:

• Intercepter-NG darbībai ir nepieciešams WinPcap, taču tas nav jāinstalē atsevišķi, jo Intercepter komplektācijā ietilpst pārnēsājama WinPcap versija.
• Ja adapteru sarakstā neredzat savu adapteri, tas nozīmē, ka WinPcap neatbalsta jūsu karti.
• Ja ar WiFi karti nekas nedarbojas, pat ARP kodināšana, tad izmantojiet NIC ikonu, kas atrodas adapteru saraksta kreisajā pusē, lai pārslēgtos uz WiFi režīmu. Pārliecinieties arī, vai Stealth IP ir piekļuve internetam.
• Dažās retās situācijās BFE (Base Filtering Engine) pakalpojums var bloķēt vietējos pārtvērēja portus. Tas izpaužas šādi: ARP darbojas, bet citas MiTM funkcijas nedarbojas (operētājsistēmā Windows 7 un jaunākās versijās). Arī pretvīrusu programmas, piemēram, Avast, var tās bloķēt, pat ja tīkla aizsardzība ir atspējota vadības panelī. Vēl viens šādas rīcības iemesls var būt vienlaicīga WiFi savienojuma un pakalpojuma darbība Interneta savienojums Kopīgošana.
• Intercepter atbalsta 802.11 iekapsulēšanu, lai jūs varētu izmantot pcap izgāztuves no programmām un . Tiek atbalstītas arī PPPoE, GRE(PP2P) un papildu 802.11 galvenes. Tas nenozīmē, ka Intercepter var analizēt šifrētus datus, tas nozīmē, ka Intercepter spēj noņemt ethernet\ip galvenes no šāda veida paketēm un analizēt tās.
• Protokola ierobežojumu dēļ tērzēšanas ziņojumu cilnē var netikt parādīts avots un galamērķis UIN\MAIL\….
• Lai kopētu datus no paroļu tabulas, noklikšķiniet uz līnijas un nospiediet ctrl+c.
• Lai paslēptu programmas logu, izmantojiet īsinājumtaustiņus Ctrl+Alt+S. Noklikšķiniet uz tā vēlreiz, lai logs atkal tiktu parādīts.
• Intercepter var darboties pat operētājsistēmā win9x (98 un 95!), taču jums ir jāinstalē WinPcap 3.1 vai WinPcap 4.0beta2. Jaunās WinPcap versijas neatbalsta win9x.
• Konsoles režīms bezsaistes analīzei:

• Lai aktivizētu automātisko šņaukšanu, ir jāatver settings.cfg un rediģēt " autorun". Noklusējuma vērtība ir 0 , mainiet uz tās interfeisa numuru, kuru grasāties šņaukt.
• Intercepter pārvērš pcap izgāztuves ar neapstrādātiem iekapsulētiem IP datiem Ethernet iekapsulācijā (pievienojot Ethernet galvenes informāciju).
• Intercepter var lasīt jaunu formātu - pcapng. Tā kā visi pcapng uztveršanas faili no Wireshark izmanto tikai “Uzlabotā pakešu bloka” tipu, Intercepter atbalsta tikai šāda veida pakešu blokus. Turklāt tas parāda pakotnes komentārus.
• Neapstrādātā (RAW) režīmā varat iestatīt savus noteikumus, izmantojot pcap filtrus, lai filtrētu trafiku. Plašāku informāciju skatiet pcap filtrēšanas sintakse. Piemērs:

nozīmē saņemt tikai paketes no tcp porta 80 no kodola.

Nevis 80. ports

nozīmē izslēgt paketes no 80. porta

Varat apvienot noteikumus:

80. ports un nē osta 25

• Nevajadzētu strādāt ar milzīgām izgāztuvēm neapstrādātā režīmā, jo Intercepter katru paketi ielādē atmiņā un neizmanto cietais disks kā mijmaiņas nodalījumu (failu).

Pārtvērēja-NG opcijas padomi

Sniffer iespējas:

• Ja plānojat veikt pcap izgāztuves bezsaistes analīzi, tad, lai paātrinātu procesu, noņemiet atzīmi no " Atrisināt saimniekdatorus”.
• Ja atzīmējat opciju " Bloķēt uz paplātes", tad, atjaunojot logu no teknes, jums tiks prasīta parole. Noklusējuma parole ir " 4553 ". Varat to mainīt failā settings.cfg. Parole ir kodēta base64.
• Opcija " Saglabāt sesiju" nozīmē, ka Intercepter visas saņemtās paketes saglabās pcap failā. Šo failu var izmantot bezsaistes datu analīzei. Tā ir sava veida rezultātu eksportēšanas funkcija.
• Ja instalējat Izlaidīgs, pēc tam Intercepter atver tīkla adapteri izlaidības režīmā. Tas nozīmē, ka tas nolasīs visas paketes, pat tās, kas nav paredzētas šim tīkla interfeisam. Ja izvēles rūtiņa nav atzīmēta, tā nolasīs tikai tās paketes, kas tiek nosūtītas uz norādīto saskarni. Dažas Wi-Fi kartes neatbalsta šo režīmu.
• “Unikāli dati” - rādīt tikai unikālus pieteikumvārdus un paroles. Tie. rādīt uzņemtos pieteikumvārdus un paroles tikai vienu reizi - ja lietotājs atkārtoti ievadīs to pašu pieteikumvārdu un paroli, tas netiks parādīts.
• Automātiskā saglabāšana- viss teksta informācija tiks saglabāts ik pēc 10 sekundēm.
• Pēc noklusējuma izvēles rūtiņa ir “ Režģa skats" Tas nozīmē, ka paroles parādīsies kā datu režģis. Lai skatītu pilnu detalizētu informāciju, noņemiet atzīmi no " Režģa skats”.
• ārkārtējs. Tipiskā darbplūsmā sniffer analizē iepriekš definētus portus, kas saistīti ar konkrētiem protokoliem. Ja mēs sakām http, mēs domājam portu 80 (vai 8080 vai citu, kas ir iepriekš definēts ar http protokolu saistīto portu sarakstā). Tie. Tiks analizēti tikai šie porti. Ja dažas lietojumprogrammas izmanto citu portu, piemēram, 1234, sniffer neanalizēs paketes, kas iet caur to. Režīmā ārkārtējs Pārtvērējs analizēs visas TCP paketes, nepārbaudot portus. Tie. pat ja kāda lietojumprogramma izmanto nedefinētu portu, sniffer joprojām skenēs šīs paketes. Lai gan tas palēnina veiktspēju (jāpārbauda daudz vairāk portu nekā parasti) un var atklāt nepareizus datus vai palaist garām pareizo protokolu (piemēram, FTP un POP3 izmanto viena veida autorizāciju), tas nodrošina iespēju atrast un pārtvert interesanti dati par neidentificētām ostām. Izmantojiet šo režīmu uz savu risku, nebrīnieties, ja kaut kas noiet greizi, kad ir iespējots ekstrēmais režīms.
• "Tikai tveršana" nozīmē, ka Intercepter saglabās paketes tikai izgāztuves failā bez reāllaika analīzes. Tas ir noderīgi, lai palielinātu veiktspēju, kad tiek tverts daudz tīkla datu.
• Opcija Augšāmcelšanās nozīmē Resurrection režīma iespējošanu, kas rekonstruē failus no tīkla straumē pārsūtītajiem datiem.
• IM porti
• HTTP. Porti, kas saistīti ar HTTP; sīkāku informāciju skatiet opcijas aprakstā ārkārtējs.
• ZEĶES
• IRC\BNC

Man-in-the-middle (MiTM) uzbrukuma iespējas Intercepter-NG

• Visos MiTM uzbrukumos Intercepter izmanto ip\mac adrešu viltošanu (aizvietošanu) (opcija Maldināts IP\MAC). Ja jūs lietojat Wi-Fi interfeiss, tad šī opcija ir jānoņem, jo ​​99% wifi draiveru neļauj sūtīt paketes ar viltotu Mac. Lai gan jūs atklājat savu īsto adresi, jūs vismaz spējat veikt jebkādus MiTM uzbrukumus, izmantojot wifi saskarni. Tas ir labāk nekā nekas. Tā vietā, lai iestatījumos atspējotu viltošanu, izmantojiet WIFI režīms. Varat mainīt ekspertu režīmā parādīto Mac.
• iOS Killer tika pievienots iCloud, kā arī Instagram un VK. Šī funkcija (iOS Killer) atiestata norādīto lietojumprogrammu sesijas un ļauj pārtvert atkārtotu autorizāciju.
• Kerberos pazemināta versija
• HSTS krāpšanās. HSTS apiešana SSL joslas laikā. Apvedceļa tehnika ir salīdzinoši vienkārša, taču ir zināmas grūtības ieviešanā, tāpēc jums nevajadzētu gaidīt īpašus rezultātus. Apskatīsim piemēru vietnē Yandex Mail, izmantojot Chrome pārlūks. Ja dodaties uz vietni ya.ru, augšējā labajā stūrī būs https saite “Pieteikties uz pastu”, ar kuru SSL Strip var viegli rīkoties. Tālāk tiks atvērta autorizācijas veidlapa, kur POST metode dati tiek pārsūtīti uz pass.yandex.ru. Pat pēc https noņemšanas autorizācija notiks, izmantojot SSL, jo resursdatora pass.yandex.ru ir iekļauts iepriekš ielādētajā Chrome sarakstā. Lai joprojām pārtvertu datus, resursdatora nosaukums passport.yandex.ru ir jāaizstāj ar kaut ko citu, lai pārlūkprogramma nenoteiktu, ka šis resurss ir jāapmeklē stingri, izmantojot drošu savienojumu. Piemēram, jūs varat aizstāt passport.yandex.ru ar paszport.yandex.ru, šajā gadījumā dati tiks nosūtīti skaidrā tekstā uz mainīto domēna nosaukumu. Bet tāpēc šāds domēns - paszport.yandex.ru neeksistē, tad papildus jāveic DNS Spoofing, t.i. konvertējot paszport.yandex.ru, klientam atbildē jāsaņem sākotnējā IP adrese no passport.yandex.ru.

Šī procedūra ir automatizēta, un tai nav nepieciešama papildu lietotāja iejaukšanās, veicot uzbrukumu. Vienīgais, kas nepieciešams, ir vispirms izveidot nomaiņu sarakstu misc\hsts.txt. Pēc noklusējuma ir vairāki ieraksti yandex, gmail, facebook, yahoo. Ir svarīgi saprast, ka šis apiešanas paņēmiens neļaus pārtvert sesiju vai autorizāciju, ja lietotājs pārlūkprogrammā ievada facebook.com, jo pārlūkprogramma nekavējoties atvērs vietnes drošo versiju. Šajā gadījumā uzbrukums ir iespējams tikai tad, ja saite uz facebook.com tiek ņemta no cita resursa, piemēram, ievadot facebook google.com. Galvenās problēmas uzbrukuma ieviešanā ietver neparedzamo loģiku, kā vietnes darbojas ar saviem apakšdomēniem, un tīmekļa koda funkcijas, kas var noliegt jebkādus mēģinājumus apiet HSTS. Tāpēc sarakstam nevajadzētu pievienot nevienu vietni, pat Intercepter-NG domēniem pēc noklusējuma ir savas īpašības un tie ne vienmēr darbojas pareizi. Es tiešām nevēlos izveidot kruķus katram resursam, iespējams, nākotnē tiks veikti daži universāli uzlabojumi, bet pagaidām, kā saka, tā ir. Vēl viena nianse, pašreizējā DNS spoofing ieviešanā tas ir nepieciešams DNS serveris nebija iekšā lokālais tīkls lai jūs varētu redzēt vārtejai nosūtītos DNS pieprasījumus un atbildēt uz tiem pēc vajadzības.

• IP pārsūtīt. Iespējo tīru IP pārsūtīšanas režīmu. MiTM uzbrukumi šajā režīmā nav pieejami, taču tas ļauj sākt arp saindēšanos situācijās, kad nevarat izmantot Stealth IP. Tas parasti ir nepieciešams, ja vārtejai ir baltais saraksts likumīgi datori tīklā, tāpēc NAT nevar darboties pareizi.
• Cepumu slepkava— atiestata sīkfailus, tādējādi liekot lietotājam atkārtoti autorizēt – ievadīt pieteikumvārdu un paroli, lai uzbrucējs varētu tos pārtvert. Funkcija Cookie Killer darbojas arī SSL savienojumiem. Pieejams melnā krāsā ( misc\ssl_bl.txt) un baltie saraksti ( misc\ssl_wl.txt). Tie var izslēgt vai, gluži pretēji, stingri norādīt IP adreses vai domēnus, kuriem SSL MiTM vajadzētu vai nevajadzētu piemērot. Norādot papildu ssl portu, nav jānorāda lasīšanas/rakstīšanas veids, vienkārši norādiet porta numuru. Visa satiksme tiek rakstīta uz ssl_log.txt.
• Remote Capture (RPCAP). Libpcap ļauj pārsūtīt tīkla datus no viena resursdatora uz otru, izmantojot savu protokolu, ko sauc par RPCAP. Tie. Jūs varat palaist rpcap dēmonu savā vārtejā un redzēt visu trafiku, kas iet caur to. Kad dēmons darbojas, varat sākt uztvert attālo trafiku, izmantojot Intercepter. Norādītajā laukā ievadiet dēmona resursdatora nosaukumu vai IP un pēc tam sarakstā atlasiet adapteri. Pēc tam jums jāiestata filtrs “nav saimniekdatora IP”, aizstājot “IP” ar faktisko IP adresi, kas piešķirta jūsu Ethernet kartei (tas ir, lai ignorētu rpcap trafiku starp jums un dēmonu).
• PCAP, izmantojot IP

Šī funkcija ir saistīta ar attālo trafika uztveršanu un lieliski aizstāj veco un problemātisko rpcapd pakalpojumu. Nosaukums runā pats par sevi. Gandrīz jebkuram Unix vienmēr ir tcpdump un netcat kombinācija, ar kuru jūs varat reģistrēt trafiku uz attālo uztverošo datoru. IN šajā gadījumā Intercepter var atvērt portu, gaidot datu straumi libpcap formātā, un analizēt to reāllaikā.

Trafika avotā nav būtiskas atšķirības, tāpēc papildus tcpdump varat izmantot arī utilītu cat, lai lasītu jau esošu .pcap žurnālu.

Šeit ir daži lietošanas piemēri, pēc noklusējuma Intercepter klausās portu 2002:

Tcpdump -i seja -w - | nc IP 2002

ja plānojat pārsūtīt trafiku, izmantojot to pašu interfeisu, no kura tverat, jums jāpievieno filtrēšanas kārtula, kas izslēdz pakalpojuma trafiku starp serveri un pārtvērēju:

Tcpdump -i face -w - nav ports 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

Šis ir tcpdump analogs, kas ir daļa no karoga -P norāda, ka pakotnes ir jāsaglabā standarta libpcap formātā, nevis jaunajā pcapng.

Alternatīvs pakešu pārsūtīšanas veids, neizmantojot netcat:

Tcpdump > /dev/tcp/ip/port

WPAD apzīmē "WebProxy Autodiscovering Protocol", kas atbilst funkcijai "Automātiski noteikt iestatījumus" modernās pārlūkprogrammas. Šī funkcija ļauj pārlūkprogrammai iegūt pašreizējo starpniekservera konfigurāciju bez lietotāja iejaukšanās. Tas ir drauds pat šodien, un uzbrucējs var viegli iestatīt ļaunprātīgu serveri, lai pārtvertu tīmekļa trafiku. Situāciju pasliktina fakts, ka Internet Explorer(un arī Chrome) atbalsta šo funkciju pēc noklusējuma.

Parasti WPAD tīklā nav konfigurēts, tāpēc pārlūkprogrammas parasti veic NetBios pieprasījumus pēc nosaukuma "WPAD" (apejot DHCP un DNS metodes). Ja atbilde netiek saņemta, pārlūkprogramma vienkārši izmanto tiešu savienojumu. Bet, ja tiek saņemta atbilde, pārlūkprogramma mēģina lejupielādēt konfigurācijas failu no vietnes http: /ip_of_wpad_host/wpad.dat.

Intercepter-NG atbildēs uz katru pieprasījumu un lūgs klientus izmantot savu konfigurāciju, lai tas varētu uztvert trafiku caur starpniekserveri. Varat konfigurēt savu konfigurāciju jebkuram citam starpniekserverim tīklā vai vienkārši izvēlēties iebūvēto starpniekserveri. Iebūvētais starpniekserveris ļauj izmantot HTTP injekcijas funkciju.

Pārtvērēja-NG eksperta režīma opcijas

• SSL joslas noildze (sekundēs)— Taimauts sekundēs SSL Strip
• ARP Poison ik pēc (sekundes)— Veiciet ARP kodināšanu ik pēc... sekundēm
• ARP skenēšanas taimauts (sekundēs)- ARP skenēšanas taimauts
• DNS kešatmiņas TTL (sekundēs)— Visu laiku DNS kešatmiņā
• MAC viltošana— MAC adrese, uz kuru tiks aizstāta uzbrucēja adrese
• MySQL LOAD DATA injekcija
• LDAP releja DN: DC=xxx, DC=xxx
• Apturēt ielaušanos pēc NBNS pieprasījuma
• Pēc autentifikācijas pārtrauciet SSH savienojumu— pēc autorizācijas atiestatiet SSH savienojumu
• SMB nolaupīšana -> SMB relejs
• Auto ARP inde— Automātiskajā pozon režīmā pietiek ar 1 resursdatora pievienošanu mērķu sarakstam, un Intercepter pati ar noteiktu intervālu skenēs tīklu un automātiski pievienos jaunus mērķus.
• Atiestatīt ARP tabulu— Atiestatīt ARP tabulu
• Pielāgota slodze SMB nolaupīšanai (maks. 64 kb)
• Pielāgota kravnesība GP Hijack
• Palaidiet Shell— Palaist čaulu
• Palaidiet HTTP NTLM Grabber

Skenēšanas veidi

Skenēšana ir pirmais posms, t.i., daudzi MiTM uzbrukumi sākas ar to. Lai parādītu skenēšanas izvēlni, atveriet cilni MiTM režīms un ar peles labo pogu noklikšķiniet uz tabulas.

• Viedā skenēšana ning: Tas apvieno ARP skenēšanu un vārtejas atklāšanu. Uz parasto informāciju par IP un MAC adresēm, ražotājs tīkla karte Un operētājsistēma, tiek izvadīts datora nosaukums. Tajā pašā laika posmā tagad varat papildus uzzināt Netbios nosaukumu vai tās ierīces nosaukumu, kurā darbojas iOS. Lai atrisinātu pēdējo, tiek izmantots MDNS protokols, uz kura pamata darbojas Apple Bonjour protokols. Tagad visi saņemtie nosaukumi tiek saglabāti kešatmiņas failā, un, ja turpmāko skenēšanu laikā kāda iemesla dēļ informācija par resursdatora nosaukumu netika iegūta dinamiski, Tas tiks ņemts no kešatmiņas Turklāt šī skenēšana parāda Stealth IP un automātiski iestata vārtejas IP (ja tas tika atklāts) un Stealth IP atbilstošajos cilnes MiTM laukos. Tā arī nosaka OS, pamatojoties uz TTL vērtībām.
• ARP skenēšana(ARP skenēšana): vienkārši pārbauda atlasītajam Ethernet adapterim piešķirto C klases apakštīklu. Piemēram, ja jūsu IP ir 192.168.0.10, tiks pārbaudītas 255 IP adreses diapazonā no 192.168.0.1-255. Sākot ar versiju 0.9.5, programma pārbauda tīkla masku, lai pareizi skenētu visus apakštīklus.
• DHCP atklāšana(DHCP Discovery): nosūta DHCP-Discovery apraides un gaida atbildes no DHCP serveri. Ja serveri atbild, pievienojiet tos sarakstam.
• Promisc noteikšana(tīkla kartes nepamatots atklājums): nosūta tīklam īpašus ARP pieprasījumus. Atbildošie saimnieki acīmredzami ir sniffers. Dažas Ethernet kartes (3COM) var arī reaģēt, t.i., ir iespējami kļūdaini pozitīvi rezultāti.
• Vārtu atklāšana(Vārtejas atklāšana): nosūta SYN paketi caur visiem tīkla saimniekiem; ja ir vārteja, atbilde tiks nosūtīta atpakaļ.

Man-in-the-middle (MiTM) uzbrukuma tehnika Intercepter-NG

Kad nospiežat pogu Konfigurējiet MiTM(cepure ar aci) tiek atvērts dialoglodziņš MiTM uzbrukumi:

Tajā ir atbalstīto paņēmienu saraksts.

SSL MiTM

Šī ir veca klasiska sertifikātu viltošanas tehnika. Ļauj pārtvert datus no jebkura protokola, kas aizsargāts ar SSL. Standarta atbalsts: HTTPS, POP3S, SMTPS, IMAPS. Pēc izvēles varat norādīt jebkuru papildu portu.

Pārtverot HTTPS, sertifikāti tiek ģenerēti lidojumā, kopējot sākotnējo informāciju no pieprasītā resursa. Visos citos gadījumos tiek izmantots statisks sertifikāts.

Protams, izmantojot šo funkcionalitāti, pārlūkprogrammas un citas klienta programmatūras brīdinājumi ir neizbēgami.

Jaunajā versijā ir pilnībā pārrakstīts SSL MiTM kods. Tagad tas darbojas ātri un stabili. Ir mainīts arī sertifikātu ģenerēšanas algoritms, tiem ir pievienoti papildu DNS ieraksti, un visi sertifikāti tiek parakstīti ar vienu atslēgu ( misc\serveris). Tas nozīmē, ka, pievienojot šo pašparakstīto sertifikātu uzticamo sertifikātu sarakstam mērķa datorā, būs iespējams klausīties SSL trafiku uz jebkuru resursu (kur nav SSL piespraušanas). Funkcija Cepumu slepkava tagad darbojas SSL savienojumiem. parādījās melns ( misc\ssl_bl.txt) un baltie saraksti ( misc\ssl_wl.txt). Tie var izslēgt vai, gluži pretēji, stingri norādīt IP adreses vai domēnus, kuriem SSL MiTM vajadzētu vai nevajadzētu piemērot. Norādot papildu ssl portu, vairs nav jānorāda lasīšanas/rakstīšanas veids, pietiek norādīt porta numuru. Visa trafika tiek ierakstīta failā ssl_log.txt.

SSL josla

SSL Strip ir “kluss” paņēmiens HTTPS savienojumu pārtveršanai. Uz ilgu laiku darba versija pastāvēja tikai zem Unix, tagad līdzīgas darbības var veikt NT vidē. Lieta ir šāda: uzbrucējs atrodas “vidū”, tiek analizēts HTTP trafiks, tiek identificētas visas https:// saites un tās tiek aizstātas ar http:// Tādējādi klients turpina sazināties ar serveri neaizsargātā veidā režīmā. Visi pieprasījumi par aizstātajām saitēm tiek pārraudzīti, un atbilde tiek piegādāti dati no sākotnējiem https avotiem.

Jo Sertifikāti netiek aizstāti, un nav brīdinājumu. Lai simulētu drošu savienojumu, favicon ikona tiek aizstāta.

D.N.C.<>ICMP

Tas ir pilnīgi jauns paņēmiens, kas minēts iepriekš vai nav ieviests. Tas balstās uz to pašu veco ICMP Redirect MiTM, taču paver jaunu veidu, kā izsūknēt datus. Šī uzbrukuma pirmais solis ir līdzīgs klasiskajai ICMP novirzīšanai, taču ir viena būtiska atšķirība.

Tā sauktā " jauns ieraksts" ir upura DNS serveris. Mēs pārņemsim kontroli pār visiem DNS pieprasījumiem un veiksim kādu maģisku darbību, pirms upuris saņems atbildes.

Kad mēs atrisinām vietni somehost.com, DNS nosūta mums atbildi, kurā ir viena vai vairākas atbildes no vietnes somehost.com IP. Turklāt tajā var būt "papildu" atbildes, un mēs arī par tām parūpēsimies. Kad uzbrukuma pirmā daļa ir pabeigta, upuris sāk sūtīt visus DNS pieprasījumus, izmantojot uzbrucēja resursdatoru (NAT). Kad NAT saņem atbildi no DNS, tas nolasa visus IP un pēc tam nosūta upurim ICMP novirzīšanas ziņojumus ar tulkoto IP.

Tātad, līdz brīdim, kad NAT nosūtīs DNS atbildi atpakaļ upurim, tā maršrutēšanas tabulā jau ir ieraksti visām tulkotajām adresēm, kas norāda uz mūsu saimniekdatoru!

Tas nozīmē, ka mēs izšņauksim ne tikai upura DNS, bet visu, kas tika atrisināts. Visa trafika tiks viltota, izmantojot viltotu IP\MAC.

Šī uzbrukuma daļa tiek veikta NAT pusē, tāpēc jums tā ir pareizi jākonfigurē.

Atzīmējiet izvēles rūtiņu "DNS, izmantojot ICMP", pēc tam aizpildiet:

• Maršrutētāja IP ir noklusējuma vārtejas IP, ko izmanto upuris.
• Klienta IP ir upura IP adrese. Varat pievienot vairākus mērķus, taču neaizmirstiet sākt, nosūtot ICMP novirzīšanas paketi katram mērķim no pārtvērēja.

Pēc klientu pievienošanas jums jāievieto brīvais/nelietotais IP laukā "New Gateway" un laukā "Stealth IP".

Izvēlieties adapteri, tiem jābūt vienādiem, jo ​​mēs maršrutēsim trafiku vienā Ethernet apgabalā.

Sāciet NAT.

Visas DNS atbildes tiek saglabātas īpašā sarakstā, un NAT regulāri (saskaņā ar iestatījumos iestatīto laiku) atkārtoti sūta ICMP novirzīšanu,

Beigās jums ir jāveic vēl viena darbība. Jūs nevarat dezinficēt upura maršrutēšanas tabulu (kā ar ARP saindēšanos), tāpēc noņemiet atzīmi no "DNS ↔ ICMP", lai novērstu ICMP novirzīšanas atkārtotu sūtīšanu, un uzgaidiet apmēram 10–15 minūtes. Pēc tam jauni ieraksti netiks pievienoti, bet vecie darbosies labi, izmantojot NAT, līdz beigsies to derīguma termiņš.

WPAD MiTM

Sīkāku informāciju skatiet opcijas aprakstā. WPAD konfigurācija (PROXY:PORT).

SMB nolaupīšana

SSH MiTM

Varat pārtvert SSH autentifikācijas datus (pieteikšanās/parole) un redzēt visas komandas, kas tiek nodotas attālās sesijas laikā. Tiek atbalstīti 2 autentifikācijas mehānismi: parole un interaktīvais. Lai iegūtu upura datus, mums ir jārīkojas kā īstam sshd, un mēs nodrošinām savas rsa/dsa atslēgas. Ja oriģinālā resursdatora atslēga ir kešatmiņā ar upuri, tad parādīsies brīdinājuma ziņojums, ja tas nav kešatmiņā, tad klienta pusē nebūs uzbrukuma pazīmju.

Kad upuris ir pieteicies, viņš var strādāt kā parasti, izpildot komandas un pseidografiskas programmas, piemēram, pusnakts komandieris. Pārtvērējs pārtver WINDOW_CHANGE pieprasījumus, tādēļ, ja upuris nolems mainīt loga izmēru, viss tiks pareizi pārzīmēts, lai tas atbilstu jaunajam loga izmēram.

Programma darbojas ar attālo sesiju, bet nedarbojas ar SFTP. Ja cietušais sāk SFTP klients, autentifikācijas dati tiks pārtverti, bet pēc tam savienojums tiks atmests un atzīmēts. Pēc tam, kad upuris mēģinās atkārtoti izveidot savienojumu, viņam papildus mūsu viltotajam sshd būs piekļuve sākotnējam ssh serverim.

Jāpiemin, ka uzbrucējs piesakās attālajā serverī un žurnālos atstāj savu IP adresi. Eksperta režīmā varat atlasīt opciju pārtraukt ssh savienojumu pēc cietušā akreditācijas datu saņemšanas. Savienojums tiks atzīmēts, un nākamajā mēģinājumā programma ļaus piekļūt sākotnējam serverim.

G.P. Nolaupīts

Papildu iespējas cilvēku vidū (MiTM) uzbrukumiem Intercepter-NG

Sadaļā ir arī pogas šo funkciju lietošanai MiTM opcijas(kauliņš, JDownloader simbols, šļirce, vairogs un brīvi stāvošs starojuma bīstamības simbols):

Traffic Changer (teksta datu maiņa tīkla trafika straumē)

Jūs varat aizstāt tikai vienāda lieluma datus, nemainot pakešu garumu. Pieņemsim, ka pārlūkprogramma atver vietni site.com/file.txt, kurā ir virkne “12345”. Atbildot uz GET pieprasījumu, serveris atgriezīs HTTP galveni, kas norāda pārsūtīto datu garumu - Satura garums: 5. Kas notiks, ja mēs aizstājam “12345” ar “12356”? Pārlūkprogramma lejupielādēs tikai 5 baitus, atmetot pievienoto "6", un, ja samazināsim datu apjomu, aizstājot "12345" ar "1234", pārlūkprogramma saņems tikai 4 baitus un gaidīs vēl 1 baitu no servera līdz plkst. savienojums tiek slēgts ar taimautu. Tāpēc tika noteikts šis izmēra ierobežojums. Varat mainīt gan tekstu, gan bināros datus, bināro modeļu sintakse ir tāda pati kā C — “\x01\x02\x03”.

Ja ir nepieciešama HTTP trafika aizstāšana, iestatījumos ir jāiespējo opcija “Atspējot HTTP gzip kodējumu”.

Maldināšana

Maldināšana ļauj novirzīt saimniekdatorus uz noteiktu IP. Tiek atbalstīti DNS, NBNS, LLMNR protokoli.

Izmantojot DNS, varat norādīt masku, lai arī novirzītu visus apakšdomēnus. Parasti domēns.com:IP pāri tiks izveidoti, bet apakšdomēni netiks viltoti. Lai tos visus novirzītu, pirms domēna nosaukuma pievienojiet * (zvaigznīti): *host.com

Piespiedu lejupielāde un JS injekcija

Abi jauninājumi attiecas uz HTTP injekcijas režīmu. Krievu valodā piespiedu lejupielādi var tulkot kā “piespiedu lejupielādi”, jo tieši tas notiek mērķa pusē, sērfojot tīmeklī. Ieejot vietnē, tiek piedāvāts lejupielādēt uzbrucēja norādīto failu atkarībā no pārlūkprogrammas iestatījumiem, to var lejupielādēt atsevišķi, un lietotājs pēc tam izvēlēsies, vai to palaist vai ne.

Kā jūs saprotat, piespiedu lejupielādei varat pievienot .exe failu ar patvaļīgu saturu, un šī faila avots būs vietne, kas atrodas šobrīd apmeklētājs. Zinot, ka mērķis atvērs vietni adobe.com, varat izdot flashplayer.exe, un šī faila avots tiks norādīts kā adobe.com vai kāds no tā apakšdomēniem.

Pēc vienreizējas injekcijas piespiešana ir izslēgta, lai veiktu atkārtotu injekciju, vēlreiz jānoklikšķina uz atbilstošās izvēles rūtiņas.

JS Inject nav skaidri norādīts starp vadīklām, jo patiesībā šī ir visizplatītākā http injekcija, taču ar vienu atšķirību. Aizstājot vienu failu ar citu, piemēram, images.jpg ar doto, tā ir tieši viena satura aizstāšana ar citu. Nomainot .js skriptu, visticamāk, var tikt traucēta resursa darbība, tāpēc jaunajā versijā js inject neaizstāj vienu skriptu ar citu, bet pievieno to esošajam, pievienojot iespēju ieviest papildu kodu, neietekmējot sākotnējo. .

FATE režīms apvieno divas jaunas funkcijas: FAke SiTE un FAke updaTE.

FAke SiTE galvenais mērķis ir iegūt autorizācijas datus no jebkura tīmekļa resursa, apejot SSL un citus drošības mehānismus. Tas tiek panākts, klonējot autorizācijas lapu un izveidojot veidni, kas tiks mitināta iebūvētajā pseido-web serverī. Pēc noklusējuma pārtvērējs ietver vienu veidni vietnei accounts.google.com, jo sākotnējā lapā ir jāaizpilda lauks ar pieteikumvārdu un pēc tam paroli. Šī veidne ir nedaudz pārveidota, lai abi lauki būtu aktīvi vienlaikus. Pirms uzbrukuma jānorāda domēns, kurā tiks mitināta veidne. Pēc uzbrukuma sākuma mērķa trafikā tiek ievadīta novirzīšana uz atlasīto domēnu, un pēc tam pārtvērējs automātiski veiks DNS viltošanu uz nepieciešamajām adresēm. Rezultātā pārlūkprogrammā tiks atvērta atlasītā autorizācijas lapa.

Funkcionalitāte FAke updaTE (viltus atjauninājumi) nozīmē ziņojumu parādīšanos par “upura” instalēšanu. programmatūra un, iespējams, tiek lejupielādēts atjaunināšanas fails, kuram ir pievienota lietderīgā slodze. Atbalstītās programmatūras saraksts ir ļoti pieticīgs. Ja vēlaties, varat pievienot savas veidnes, to struktūru var apskatīt misc\FATE\updates.

ARP inde (ARP kodināšana)

Daļa no klasiskā uzbrukuma "man-in-the-middle". Šis uzbrukums sākas ar saimniekdatoru skenēšanu. Kad saimnieki tiek atklāti un daži no tiem tiek izvēlēti kā mērķi, sākas ARP saindēšanās, kā rezultātā uzbrukušie saimnieki sāk pārsūtīt savu trafiku nevis uz vārteju, bet uzbrucēju. Uzbrucējs pēta (nošņauc) šo trafiku, veic citas manipulācijas un nosūta to mērķa serverim. Mērķa serveris atbild uzbrucējam (kā pieprasījuma avotam), šī trafika tiek arī sniffed, modificēta un pārsūtīta upurim. Rezultātā cietušajam nekādas būtiskas izmaiņas nenotiek – it kā viņš apmainītos ar datiem ar attālo serveri.

Intercepter-NG papildu funkcijas

Sākt pogas papildu funkcijas kas atrodas programmas loga labās kolonnas atsevišķā sadaļā:

Intercepter-NG tagad ir savs tīkla skeneris, kas aizstāja primitīvo portu skeneri no iepriekšējām versijām. Tās galvenās funkcijas:

1. Skenējiet atvērtos portus un heiristiski atklājiet šādus protokolus: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC, RDP.
2. Nosakiet SSL klātbūtni atvērtā portā, lasiet banerus un dažādas tīmekļa galvenes.
3. Ja tiek atklāts starpniekserveris vai sox, pārbaudiet, vai tie ir atvērti uz ārpusi.
4. Pārbaudiet bezparoles piekļuvi VNC serveriem, pārbaudiet SSL pakalpojumā HeartBleed. Izlasiet version.bind no DNS.
5. Pārbaudiet, vai datu bāzē tīmekļa serverī nav skriptu, kas ir potenciāli neaizsargāti pret ShellShock. Pārbaudiet datu bāzē direktoriju un failu sarakstu ar 200 OK, kā arī direktoriju sarakstu no faila robots.txt.
6. Nosakiet OS versiju, izmantojot SMB. Ja jums ir anonīma piekļuve, iegūstiet vietējo laiku, darbības laiku, kopīgoto resursu sarakstu un vietējie lietotāji. Atrastajiem lietotājiem tiek sākta automātiska paroles meklēšana.
7. Nosakiet no iebūvētā SSH lietotāju saraksta, mērot reakcijas laiku. Atrastajiem lietotājiem tiek sākta automātiska paroles meklēšana. Ja uzskaitīšana nesniedz rezultātus (nedarbojas visās versijās), tiek uzsākta tikai saknes meklēšana.
8. Automātisks brutāls spēks HTTP Basic un Telnet. Ņemot vērā telnet protokola īpatnības, ir iespējami viltus pozitīvi rezultāti.

Varat skenēt jebkuru mērķi gan lokālajā tīklā, gan internetā. Varat norādīt skenēšanai paredzēto portu sarakstu: 192.168.1.1:80,443 vai diapazonu 192.168.1.1:100-200. Varat norādīt skenēšanas adrešu diapazonu: 192.168.1.1-192.168.3.255.

Lai iegūtu precīzāku rezultātu, vienlaikus var skenēt tikai 3 saimniekdatorus. Burtiski pēdējā brīdī tika pievienotas datu pārbaudes no SSL sertifikātiem, piemēram, ja tiek sastapts vārds Ubiquiti un ir atvērts ports 22, tad brutāls spēks SSH lietotāja ubnt. Tas pats attiecas uz Zyxel aparatūras pāri ar administratora lietotāju. Pirmajai skenera versijai ir pietiekami daudz funkcionalitātes, un tas ir labi atkļūdots.

HeartBleed Exploit

Pārbauda, ​​vai mērķis ir neaizsargāts pret HeartBleed. Ja mērķis ir ievainojams, tas izmanto šo ievainojamību un saņem daļu satura RAM attālais saimniekdators.

Brutālā spēka režīms

Brutāla spēka uzbrukumi (brutāls spēks, brutāls spēks) tiek atbalstīti šādiem tīkla protokoliem:

• POP3 TLS
• SMTP TLS
• HTTP pamata
• HTTP ziņa
• TELNET
• VMware

Varat iestatīt pavedienu skaitu, kuros tiks pārbaudīti akreditācijas dati.

Kad iestājas taimauts, aktīvais pavediens tiek restartēts no tās pašas vietas un meklēšanas process turpinās.

Pieejams Viens režīms, kas norāda, ka katrs jauns pieteikšanās:paroles pāris ir jāpārbauda, ​​izveidojot jaunu savienojumu, dažiem protokoliem tas ļauj palielināt ātrumu. Operāciju žurnāls tiek saglabāts brute.txt.

ARP funkcijas

Papildus ARP kodināšanai un ARP skenēšanai ir vairākas citas funkcijas, kas saistītas ar ARP protokolu. Divas no tām ir ievietotas atsevišķās pogās programmas loga labajā kolonnā:

• ARP pulkstenis: iebūvēts personīgais ARP uzraudzības pakalpojums. Jums jāsāk ar ARP skenēšanu, lai aizpildītu uzticamo (“tīro”) MAC adrešu sarakstu. Ja kāds mēģina saindēt jūsu ARP kešatmiņu, tiks parādīts brīdinājuma ziņojums.
• ARP būris: Izolē mērķa IP adresi no citiem vietējiem resursdatoriem, viltojot arp tabulas ierakstus.

Intercepter-NG palaišanas piemēri

Kā palaist MiTM programmā Intercepter-NG

Sāciet ar izvēli tīkla adapteris (Tīkla adapteris):

Noklikšķiniet ar peles labo pogu noklikšķiniet uz tukša galda un atlasiet Viedā skenēšana:

Tiks parādīts mērķu saraksts:

Pievienojiet vajadzīgos mērķus ( Pievienot kā mērķi):

Lai sāktu šņaukšanu, noklikšķiniet uz atbilstošās ikonas:

Dodieties uz cilni MiTM režīms(tas ir globuss ar plākstera vadiem) un noklikšķiniet uz ikonas ARP inde(radiācijas bīstamības simbols):

Cilnē Paroles režīms(simbols ir atslēgu piekariņš), tiks parādīti uzņemtie akreditācijas dati:

Darbs ar Wi-Fi un darbs ar Ethernet

Strādājot ar Wi-Fi vai vadu savienojumiem, nav atšķirību, taču jums ir jāpārslēdzas uz vēlamo režīmu noklikšķinot uz ikonas:

PCap uztveršanas failu bezsaistes analīze

Ir daudzas iespējas, kas var palēnināt vai paātrināt analīzes laiku.

1. Sākumā, ja nepieciešams lasīt lielu .pcap failu, atspējojiet opciju " Atrisināt".
2. Ja jūsu .pcap ir lieli faili un ir iespējota Resurrection, ātrums var samazināties. Risinājums ir iestatīt atkopšanas maksimālā faila lieluma ierobežojumu.
3. Ja jums nekas nav jārekonstruē, atspējojiet šo opciju iestatījumos. Ātrums palielināsies.
4. Ja nepieciešams analizēt tikai noteiktu protokolu, piemēram, ICQ\AIM vai tikai HTTP, iestatiet atbilstošo filtru " pcap filtrs"no RAW REŽĪMS: tcp ports xxx, Kur xxx ir jūsu protokola porta numurs.
5. Varat ielādēt vairāk nekā vienu tvērumu analīzei. IN Atveriet dialoglodziņu atlasiet vairākus failus, tie visi tiks analizēti pa vienam.

Pārtvērēja-NG uzstādīšana

Instalēšana operētājsistēmā Linux Kali

Lai instalētu un palaistu Intercepter-NG Kali Linux palaidiet šādas komandas:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt instalēt libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo cp pakete/pakete. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt instalēt winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Ielādēt Intercepter-NG v1. 0 un dzēst dll failus wpcap.dll un Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip unzip Intercepter- NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Instalēšana operētājsistēmā Windows

Lai instalētu Intercepter-NG operētājsistēmā Windows, dodieties uz un lejupielādējiet atbilstošo arhīvu (bez burtiem C.E.). Programmai nav nepieciešama instalēšana, vienkārši izpakojiet arhīvu un palaidiet failu .exe.

Instalēšana operētājsistēmā Android

Lai instalētu Intercepter-NG operētājsistēmā Android, atveriet un lejupielādējiet failu apk. Lai veiksmīgi palaistu programmu, ir nepieciešamas root tiesības.

Intercepter-NG ekrānuzņēmumi

Kas ir Intercepter-NG

Apskatīsim ARP darbības būtību vienkāršs piemērs. Dators A (IP adrese 10.0.0.1) un dators B (IP adrese 10.22.22.2) ir savienoti ar Ethernet tīklu. Dators A vēlas nosūtīt datu paketi datoram B, tam ir zināma datora B IP adrese. Tomēr Ethernet tīkls, ar kuru tie ir savienoti, nedarbojas ar IP adresēm. Tāpēc, lai pārraidītu, izmantojot Ethernet, datoram A ir jāzina datora B adrese Ethernet tīklā (MAC adrese Ethernet izteiksmē). Šim uzdevumam tiek izmantots ARP protokols. Izmantojot šo protokolu, dators A nosūta apraides pieprasījumu, kas adresēts visiem datoriem vienā apraides domēnā. Pieprasījuma būtība: "dators ar IP adresi 10.22.22.2, norādiet savu MAC adresi datoram ar MAC adresi (piemēram, a0:ea:d1:11:f1:01)." Ethernet tīkls piegādā šo pieprasījumu visām ierīcēm vienā Ethernet segmentā, ieskaitot datoru B. Dators B atbild datoram A uz pieprasījumu un ziņo savu MAC adresi (piemēram, 00:ea:d1:11:f1:11). saņēma datora B MAC adresi, dators A var pārsūtīt uz to jebkādus datus, izmantojot Ethernet tīklu.

Lai izvairītos no nepieciešamības izmantot ARP protokolu pirms katras datu nosūtīšanas, saņemtās MAC adreses un tām atbilstošās IP adreses kādu laiku tiek ierakstītas tabulā. Ja jums ir jānosūta dati uz vienu un to pašu IP, tad nav nepieciešams katru reizi aptaujāt ierīces, meklējot vēlamo MAC.

Kā mēs tikko redzējām, ARP ietver pieprasījumu un atbildi. MAC adrese no atbildes tiek ierakstīta MAC/IP tabulā. Kad tiek saņemta atbilde, tās autentiskums nekādā veidā netiek pārbaudīts. Turklāt tas pat nepārbauda, ​​vai pieprasījums ir iesniegts. Tie. Jūs varat nekavējoties nosūtīt ARP atbildi uz mērķa ierīcēm (pat bez pieprasījuma), ar viltotiem datiem, un šie dati nonāks MAC/IP tabulā un tiks izmantoti datu pārsūtīšanai. Šī ir ARP viltošanas uzbrukuma būtība, ko dažreiz sauc par ARP kodināšanu, ARP kešatmiņas saindēšanos.

ARP viltošanas uzbrukuma apraksts

Divi datori (mezgli) M un N Ethernet lokālajā tīklā apmainās ar ziņojumiem. Uzbrucējs X, kas atrodas tajā pašā tīklā, vēlas pārtvert ziņojumus starp šiem mezgliem. Pirms ARP viltošanas uzbrukuma tiek lietots resursdatora M tīkla interfeisā, ARP tabulā ir resursdatora N IP un MAC adrese. Arī resursdatora N tīkla saskarnē ARP tabulā ir resursdatora M IP un MAC adrese. .

ARP viltošanas uzbrukuma laikā mezgls X (uzbrucējs) nosūta divas ARP atbildes (bez pieprasījuma) — mezglam M un mezglam N. ARP atbilde mezglam M satur N IP adresi un X MAC adresi. ARP atbilde uz mezglu N satur IP adresi M un MAC adresi X.

Tā kā datori M un N atbalsta spontānu ARP, pēc ARP atbildes saņemšanas tie maina savas ARP tabulas, un tagad ARP tabulā M ir MAC adrese X, kas saistīta ar IP adresi N, un ARP tabulā N ir MAC adrese X, saistīts ar IP adresi M.

Tādējādi ARP viltošanas uzbrukums ir pabeigts, un tagad visas paketes (kadri) starp M un N iziet caur X. Piemēram, ja M vēlas nosūtīt paketi uz datoru N, tad M meklē savā ARP tabulā, atrod ierakstu. ar resursdatora IP adresi N, no turienes izvēlas MAC adresi (un jau ir mezgla X MAC adrese) un pārsūta paketi. Pakete nonāk saskarnē X, tā tiek analizēta un pēc tam pārsūtīta uz mezglu N.

Skatījumi: 2890

Ievads

Ar lielu prieku vēlos prezentēt jauno Intercepter-NG 0.9.10 versiju, kas, manuprāt,
ievērojami paplašina rīka darbības jomu. Šis pārskats netiks sniegts sausa saraksta veidā.
jauninājumiem, bet gan kā jaunu uzbrukuma vektoru aprakstu kopā ar vairākām tehniskām detaļām un uzlaušanas stāsta elementiem. Sāksim...

Tīkla skenēšana

Kā vienmēr, ir veikti daudzi labojumi un nelieli uzlabojumi, kurus nav jēgas uzskaitīt.
Ikviens, kurš bieži izmanto rīku, zina, ka viens no galvenajiem režīmiem ir tīkla skenēšanas režīms un jo īpaši Smart Scan funkcija. Jau pazīstamajai informācijai par IP un MAC adresēm, tīkla kartes ražotāju un operētājsistēmu ir pievienots datora nosaukuma displejs.
Tajā pašā laika posmā tagad varat papildus uzzināt Netbios nosaukumu vai tās ierīces nosaukumu, kurā darbojas iOS.
Lai atrisinātu pēdējo, tiek izmantots MDNS protokols, uz kura pamata darbojas Apple Bonjour protokols. Tagad visi saņemtie nosaukumi tiek saglabāti kešatmiņas failā, un, ja turpmāko skenēšanu laikā kāda iemesla dēļ informācija par resursdatora nosaukumu netika iegūta dinamiski, tas tiks ņemts no kešatmiņas Šeit var minēt arī Auto ARP Poison funkcijas parādīšanos, kas ir iespējota ekspertu iestatījumos Pārtvērējs ar noteiktu intervālu skenēs pašu tīklu un automātiski pievienos jaunus mērķus.

Brutālā spēka režīms

Šis režīms pievieno TLS atbalstu SMTP protokoli un POP3, kā arī brutālu spēku TELNET autorizācija.
Tagad, kad iestājas taimauts, aktīvais pavediens tiek restartēts no tās pašas vietas un meklēšanas process turpinās.
Ir parādījies Single Mode, kas norāda, ka katrs jauns LP pāris ir jāpārbauda, ​​izveidojot jaunu savienojumu, dažiem protokoliem tas ļauj palielināt ātrumu. Operāciju žurnāls tiek saglabāts failā brute.txt.

Satiksmes mainītājs

Ne reizi vien ir bijuši lūgumi ieviest satiksmes aizstāšanas funkciju un tie nav palikuši nepamanīti, taču pirms laika priecāties nevajag.
Uz pretjautājumu: "Kāpēc tieši jums ir vajadzīga šī iespēja?" dažiem lietotājiem bija grūti atbildēt vai viņi teica, ka vārdu maiņa tīmekļa trafikā ir joks. Un, lai katram jokdarim nepaskaidrotu, kāpēc rezultāts ne vienmēr attaisno cerības, var aizstāt tikai vienāda izmēra datus, nemainot pakešu garumu. Ierobežojums nemaz nav saistīts ar tehniskām ieviešanas problēmām, nav nekādu grūtību sadalīt Ethernet kadrus, pārrēķinot atbilstošos TCP laukus. Tas viss ir atkarīgs no lietojumprogrammu protokoliem. Apskatīsim piemēru ar HTTP.

Pieņemsim, ka pārlūkprogramma atver vietni site.com/file.txt, kurā ir virkne “12345”. Atbildot uz GET pieprasījumu, serveris atgriezīs HTTP galveni, kas norāda pārsūtīto datu garumu - Satura garums: 5. Kas notiks, ja mēs aizstājam “12345” ar “12356”? Pārlūkprogramma lejupielādēs tikai 5 baitus, atmetot pievienoto "6", un, ja samazināsim datu apjomu, aizstājot "12345" ar "1234", pārlūkprogramma saņems tikai 4 baitus un gaidīs vēl 1 baitu no servera līdz plkst. savienojums tiek slēgts ar taimautu. Tāpēc tika noteikts šis izmēra ierobežojums. Varat mainīt gan teksta, gan bināros datus; bināro modeļu sintakse ir tāda pati kā C — “x01x02x03”.
Ja ir nepieciešama HTTP trafika aizstāšana, iestatījumos ir jāiespējo opcija “Atspējot HTTP gzip kodējumu”.

HSTS krāpšanās

Kā solīts, parādījās HSTS apvedceļš veicot SSL Strip. Apvedceļa tehnika ir salīdzinoši vienkārša, taču ir zināmas grūtības ieviešanā, tāpēc jums nevajadzētu gaidīt īpašus rezultātus. Apskatīsim piemēru pakalpojumā Yandex Mail, izmantojot pārlūkprogrammu Chrome. Ja dodaties uz , tad augšējā labajā stūrī būs https saite “Pieteikties uz pastu”, ar kuru SSL Strip var viegli rīkoties. Tālāk tiks atvērta autorizācijas forma, kurā dati tiek pārsūtīti uz POST metodi. Pat pēc https noņemšanas autorizācija notiks, izmantojot SSL, jo resursdatora pass.yandex.ru ir iekļauts iepriekš ielādētajā Chrome sarakstā. Lai joprojām pārtvertu datus, resursdatora nosaukums passport.yandex.ru ir jāaizstāj ar kaut ko citu, lai pārlūkprogramma nenoteiktu, ka šis resurss ir jāapmeklē stingri, izmantojot drošu savienojumu. Piemēram, jūs varat aizstāt passport.yandex.ru ar paszport.yandex.ru, šajā gadījumā dati tiks nosūtīti skaidrā tekstā uz mainīto domēna nosaukumu. Bet tāpēc šāds domēns - paszport.yandex.ru neeksistē, tad papildus jāveic DNS Spoofing, t.i. Atrisinot paszport.yandex.ru, klientam atbildē jāsaņem sākotnējā IP adrese no passport.yandex.ru. Šī procedūra ir automatizēta, un tai nav nepieciešama papildu lietotāja iejaukšanās, veicot uzbrukumu. Vienīgais, kas nepieciešams, ir vispirms failā mischsts.txt izveidot aizstājēju sarakstu. Pēc noklusējuma ir vairāki ieraksti yandex, gmail, facebook, yahoo. Ir svarīgi saprast, ka šis apiešanas paņēmiens neļaus pārtvert sesiju vai autorizāciju, ja lietotājs pārlūkprogrammā ievada facebook.com, jo pārlūkprogramma nekavējoties atvērs vietnes drošo versiju. Šajā gadījumā uzbrukums ir iespējams tikai tad, ja saite uz facebook.com tiek ņemta no cita resursa, piemēram, ievadot facebook vietnē . Galvenās problēmas uzbrukuma īstenošanā ir neparedzamā loģika, kā vietnes darbojas ar saviem apakšdomēniem un tīmekļa koda funkcijas, kas var noliegt jebkādus mēģinājumus.
apiet HSTS. Tāpēc sarakstam nevajadzētu pievienot nevienu vietni, pat Intercepter-NG domēniem pēc noklusējuma ir savas īpašības un tie ne vienmēr darbojas pareizi. Es tiešām nevēlos izveidot kruķus katram resursam, iespējams, nākotnē tiks veikti daži universāli uzlabojumi, bet pagaidām, kā saka, tā ir.
Vēl viena nianse, pašreizējā ieviešanā, lai veiktu DNS Spoofing, ir nepieciešams, lai DNS serveris neatrastos lokālajā tīklā, lai varētu redzēt DNS pieprasījumus vārtejai un atbildēt uz tiem pēc vajadzības.

Svarīgi atzīmēt, ka jaunā versija ir būtiski uzlabojusi pašas SSL Strip darbu.

Piespiedu lejupielāde un JS injekcija

Abi jauninājumi attiecas uz HTTP injekcijas režīmu. Krievu valodā piespiedu lejupielādi var tulkot kā “piespiedu lejupielādi”, jo tieši tas notiek mērķa pusē, sērfojot tīmeklī. Ieejot vietnē, tiek piedāvāts lejupielādēt uzbrucēja norādīto failu atkarībā no pārlūkprogrammas iestatījumiem, to var lejupielādēt atsevišķi, un lietotājs pēc tam izvēlēsies, vai to palaist vai ne.
Kā jūs saprotat, piespiedu lejupielādei varat pievienot .exe failu ar patvaļīgu saturu, un šī faila avots būs vietne, kuru lietotājs pašlaik apmeklē. Zinot, ka mērķis atvērs vietni adobe.com, varat izdot flashplayer.exe, un šī faila avots tiks norādīts kā adobe.com vai kāds no tā apakšdomēniem.
Pēc vienreizējas injekcijas piespiešana ir izslēgta, lai veiktu atkārtotu injekciju, vēlreiz jānoklikšķina uz atbilstošās izvēles rūtiņas.

JS Inject nav skaidri norādīts starp vadīklām, jo patiesībā šī ir visizplatītākā http injekcija, taču ar vienu atšķirību. Aizstājot vienu failu ar citu, piemēram, images.jpg ar doto, tā ir tieši viena satura aizstāšana ar citu. Nomainot .js skriptu, visticamāk, var tikt traucēta resursa darbība, tāpēc jaunajā versijā js inject neaizstāj vienu skriptu ar citu, bet pievieno to esošajam, pievienojot iespēju ieviest papildu kodu, neietekmējot sākotnējo. .

SSL MiTM

Pamazām tuvojamies interesantākajiem jaunumiem. Jaunajā versijā ir pilnībā pārrakstīts SSL MiTM kods. Tagad tas darbojas ātri un stabili. Ir mainījies arī sertifikātu ģenerēšanas algoritms, tiem pievienoti papildu DNS ieraksti, un visi sertifikāti tiek parakstīti ar vienu atslēgu (miscserver). Tas nozīmē, ka, pievienojot šo pašparakstīto sertifikātu uzticamo sertifikātu sarakstam mērķa datorā, būs iespējams klausīties SSL trafiku uz jebkuru resursu (kur nav SSL piespraušanas). Funkcija Cookie Killer tagad darbojas SSL savienojumiem. Parādījās melnie saraksti (miscssl_bl.txt) un baltie saraksti (miscssl_wl.txt). Tie var izslēgt vai, gluži pretēji, stingri norādīt IP adreses vai domēnus, kuriem SSL MiTM vajadzētu vai nevajadzētu piemērot. Norādot papildu ssl portu, vairs nav jānorāda lasīšanas rakstīšanas veids, pietiek norādīt porta numuru. Visa trafika tiek ierakstīta failā ssl_log.txt.

Grupas politikas nolaupīšana

Vēl viena slepkava funkcija programmā Intercepter-NG. Neskatoties uz to, ka tehniku ​​neatklāju es, šī ir pirmā publiskā un pilnībā funkcionējošā šī uzbrukuma realizācija. Detalizēts apraksts pieejams un.

SMB kārtējo reizi pievīla Microsoft, jo, pateicoties šai ievainojamībai, aptuveni pusotras stundas laikā var piekļūt jebkuram domēna datoram (izņemot domēna kontrolleri). Kāda jēga?

Ik pēc 90+ nejaušiem skaitļiem no 0 līdz 30 minūtēm domēna dalībnieks pieprasa grupas politikas no DC. Tas notiek, izmantojot SMB, atverot tīkla adresi DCSYSVOLdomain.namePoliciesUUIDgpt.ini.

Saturs šo failu sekojoši:

Versija = 12345

Šis skaitlis ir pašreizējā relatīvā versija grupas politikas. Ja ar pēdējais atjauninājums versija nav mainījusies, tad grupu politiku iegūšanas process apstājas, bet ja versija atšķiras, tad tās ir jāatjaunina. Šajā posmā klients no domēna pieprasa aktīvus CSE (klienta puses paplašinājumus), kas ietver dažādus pieteikšanās skriptus, uzdevumus plānotājam utt. Protams, uzbrucējs, stāvot vidū, var aizstāt vienu no uzdevumiem, ko kontrolieris ģenerē faila veidā. Šajā situācijā darbība būtu pavisam vienkārša, taču visas šīs pielāgotās meklētājprogrammas pēc noklusējuma ir atspējotas un vienīgais, ko var darīt, ir modificēt reģistru, jo, atjauninot grupas politikas, klients pieprasa citu failu - GptTmpl.inf, caur kuru varat pievienot vai dzēst ierakstu. Abu rakstu autori nolēma koda izpildes demonstrēšanai izmantot labi zināmu metodi – AppInit_Dll. Mēs iestatījām nepieciešamo reģistra atslēgu, lai ielādētu mūsu dll no tīkla ceļa, pēc kura jaunizveidotais process sistēmā izpildīja patvaļīgu kodu. Bet šī metode ir piemērota tikai kā koncepcijas pierādījums, jo AppInit_Dll pēc noklusējuma ir atspējots daudzus gadus. Šajā sakarā uzdevums tika iestatīts, lai atrastu citu veidu, kā attālināti izpildīt kodu, negaidot atsāknēšanu, kā tas notiek, pievienojot automātiskās palaišanas taustiņu Palaist.

Tika veikti daudzi mēģinājumi tā vai citādi sasniegt vēlamo mērķi, bez rezultātiem, līdz vienam labs cilvēks(thx man) neieteica ļoti interesantu reģistra atslēgu, par kuru es iepriekš neko nezināju.

Atkļūdotāju var pievienot jebkura .exe faila atslēgai. Piemēram, norādiet, ka calc.exe ir jāatver, izmantojot c:pathdebuger.exe, un, tiklīdz tiek palaists kalkulators, vispirms tiks atvērts atkļūdotājs. komandrinda kas būs ceļš uz calc Tas jau šķita gandrīz gatavs risinājums, jo bija iespējams izpildīt kodu bez pārstartēšanas, kaut vai pie noteiktiem nosacījumiem piekļuves iegūšanas procesā, t.i., kalkulatora vietā jūs varat izpildīt kodu, izsaucot IE vai Chrome vai jebkuru citu lietojumprogrammu, bet parādījās jauna problēma. Ja uzbrukušajam lietotājam nebija administratīvās tiesības, tad pat pēc čaulas saņemšanas nebija iespējas izdzēst iepriekš reģistram pievienoto atkļūdotāju, kas nozīmē, ka pēc uzbrukuma apturēšanas vai pārstartēšanas izmantotā aplikācija pārstāja darboties, jo izkrāptais tīkla adrese jo debuger.exe vairs nepastāvēja.
Bija jāatrod veids, kā iegūt ne tikai čaulas piekļuvi, bet vienmēr ar administratora tiesībām. Izlaižot visas turpmākās grūtības, es aprakstīšu rezultātu. Pēc grupas politiku saņemšanas sistēmai tās ir jāpiemēro, šim nolūkam tiek izsaukts svchost un tiek izveidots jauns taskhost.exe process ar SISTĒMAS tiesībām. Darbojoties kā taskhost.exe atkļūdotājs, mēs ar vienu sitienu nogalinājām divus putnus – ne tikai saņēmām čaulu ar SISTĒMAS tiesībām, bet arī saņēmām to uzreiz, bez lietotāja manuālas iejaukšanās. Uzbrukums ir pilnībā automatizēts, jūs varat atlasīt mērķu grupu uzreiz un pusotras līdz divu stundu laikā saņemt visu aktīvo čaulas sesiju komplektu ar maksimālajām tiesībām. Lai to izdarītu, jums pat nav jābūt domēna dalībniekam. Vienīgais, kas nepieciešams, ir iespējot piekļuvi tīklam: Ļaujiet ikvienam atļaujas attiekties uz anonīmiem lietotājiem. Pārbaudot, lai negaidītu pusotru stundu, vienkārši palaidiet gpupdate no konsoles. Pārbaudīts ar ielāpu Windows 78.1 domēnos ar 2008R22012R2 serveriem.

Kādi ir aizsardzības pasākumi? Microsoft ir izlaidusi ielāpu MS15-011, ieviešot tā saukto UNC Hardened Access, kas prasa manuālie iestatījumi. Biļetenā ir interesanta frāze:

"Lietotāji, kuru konti ir konfigurēti tā, lai sistēmā būtu mazāk lietotāju tiesību, var tikt ietekmēti mazāk nekā lietotāji, kuri darbojas ar administratīvām lietotāju tiesībām."

Kā jau ir kļuvis skaidrs, draudi ir vienlīdz lieli jebkuram lietotājam.

Neskatoties uz visu GP nolaupīšanas potenciālu, man šķiet, ka vēl viens jauninājums šajā laidienā ir pelnījis īpašu uzmanību...

Deserts

To, ko mēs apspriedīsim beigās, nevar saukt par jaunu funkciju. Drīzāk tas ir uzbrukuma vektors, kas atveras, kad koplietošana vairāki jau esošie risinājumi Intercepter-NG.

Šajā gadījumā uzsvars tiek likts uz bezvadu tīkli Un mobilajām ierīcēm, jo īpaši, ja darbojas iOS — iPhone un iPad. Ikviens zina, ka šo ierīču pamata arp inde praktiski neko nedod. Sīkfailu pārtveršana no atvērtām vietnēm pārlūkprogrammā, iespējams, ir vienīgā lieta, uz ko varat paļauties, jo... vairumā gadījumu lietotājs strādā, izmantojot patentētas lietojumprogrammas no dažādiem pakalpojumiem, kur saziņa ar serveri notiek, izmantojot SSL. Pat ja jūs mēģināt ieviest SSL MiTM, lietojumprogrammas vienkārši pārtrauks darboties ar neuzticamu sertifikātu. Tāpēc tiek uzskatīts, ka tālruņi un planšetdatori pēc noklusējuma ir diezgan labi aizsargāti no tīkla pārtveršanas.

Bet iedomājieties šādu situāciju, kurā atrodas vidusmēra lietotājs Instagram lietotne un skatās caur plūsmu.
Pēkšņi aplikācija pārstāj darboties, sūdzoties par savienojuma trūkumu, un lietotājs pārlūkprogrammā atver vietni instagram.com, kur uznirst brīdinājums ar tekstu “Lai turpinātu darbu instagram.com, instalējiet jauns sertifikāts Drošība" un pēc ziņojuma aizvēršanas ekrānā parādās pieprasījums instalēt jaunu sertifikātu. Tālāka attīstība notikumi, protams, ir atkarīgi no lietotāja, taču iespēja, ka viņš joprojām instalēs piedāvāto sertifikātu, ir diezgan liela, jo situācija ir diezgan ticama: lietojumprogramma pārstāja darboties, devās uz vietni, redzēja brīdinājumu par nepieciešamo atjauninājumu, atjaunināts - viss strādāja, lai gan patiesībā uzbrucējs ierāmēja jūsu sertifikātu un tagad nolasa visu SSL trafiku. Piespiedu lejupielādes, JS Inject un stabila SSL MiTM ieviešana ļauj īsā laikā īstenot līdzīgu scenāriju:

1. Veiciet .js inject with alert ("Lūdzu, instalējiet jaunu sertifikātu %domain%.");
%domain% veidne tiks aizpildīta ar tās vietas nosaukumu, kurā tika veikta injekcija.

2. Piespiedu kārtā veiciet faila miscserver.crt lejupielādi - saknes sertifikāts in Intercepter-NG.

3. Iespējojiet SSL MiTM (kā arī SSL sloksni injekcijām).

4. Pēc uzbrukuma uzsākšanas mērķa ierīcei SSL savienojumi pārtrauks darboties, un pārlūkprogrammā tiks izdots brīdinājums ar sertifikātu.

Rodas dabisks jautājums: ko darīt ar SSL trafiku, izņemot jau izveidoto sesiju pasīvo pārtveršanu. Talkā nāk Cookie Killer, kas pareizi darbojas, piemēram, Facebook aplikācijā.
iOS ir arī savs svētais grāls – iCloud, taču sīkfailu atiestatīšana nepalīdzēs atiestatīt tās sesiju. Tas tika pievienots īpaši iCloud, kā arī Instagram un VK iOS funkcija Killer, kas atiestata norādīto lietojumprogrammu sesijas un ļauj pārtvert atkārtotu autorizāciju. Šo triku nevar izdarīt ar AppStore, jo... Šķiet, ka tur tiek izmantota SSL piespraušana. Šis vektors ir pārbaudīts operētājsistēmās iOS 56 un 8.4.

Bija plānots pievienot iespēju patstāvīgi izveidot apdarinātājus, izmantojot LUA vai caur DLL spraudni, taču, spriežot pēc lietotāju reakcijas, nevienam nav īstas intereses. Jauna versija Tas, visticamāk, būs nākamgad, iespējams, rudenī tiks izlaists Intercepter-NG Android ierīcēm. Jautājumi, atsauksmes, funkciju pieprasījumi vienmēr ir laipni gaidīti. Tas arī viss.

Jauno funkciju demonstrācija ir parādīta videoklipā.

Projekta kontakti.