Хамгаалагч ажиллахгүй байна. Sniffer for Windows Intercepter-NG (хэрэглэх заавар)

Олон үйлдэлт програм нь бүх төхөөрөмжийг таних боломжийг олгодог нийтийн сүлжээ, төхөөрөмжүүдийн IP болон MAC хаягийг тодорхойлох, урсгалыг таслан зогсоох, татаж авсан файлуудыг солих. Туршлагатай хэрэглэгч хэн нэгний имэйлийг уншиж, данс руугаа нэвтрэхэд ямар ч зардал гарахгүй. нийгмийн сүлжэээнэ хэрэгслийг ашиглан.

Онцлог шинж чанартай

Дээр дурдсанчлан Intercepter-NG нь бусад төхөөрөмжтэй зөвшөөрөлгүй харилцах програм юм. Хэдэн товшилтоор та төхөөрөмжийн IP хаяг, Mac хаягийг тодорхойлж, траффикийг таслан зогсоож болно Күүки, өөр хэн нэгний онлайн захидал харилцааг унших эсвэл нийгмийн сүлжээн дэх хэн нэгний данс руу нэвтэрч "бохир" үйлдлээ хийх.

Туршлагатай хэрэглэгчид програм нь нэг цэгт холбогдсон үед ажиллаж байгаа гэдэгт итгэлтэй байна Wi-Fi хандалтта бусад хүмүүсийн хөдөлгөөнийг таслан зогсоож чадна.

Онцлог шинж чанарууд

Юуны өмнө та хамгийн бага мэдлэгтэй байх хэрэгтэй. Уг програмд ​​заавар, лавлах ном, сургалтын горим байхгүй. Холбогдох мэдээллийг сэдэвчилсэн форумаас хайх шаардлагатай болно.

Хоёрдугаарт, хэрэгсэл ажиллахын тулд та супер хэрэглэгчийн эрхийг авах ёстой. Ийм шийдвэр нь ямар эрсдэл дагуулдагийг санаж, давуу болон сул талуудыг жинлэх нь чухал юм. Хэрэв та root эрх авахаар шийдсэн бол програмын супер хэрэглэгчийн эрхийг бодит цаг хугацаанд хянах боломжтой хандалтын эрхийн менежерийн хэрэгслийг татаж аваад суулгаарай.

Intercepter-NG нь нийтийн сүлжээнд холбогдсон аливаа хэрэглэгчийн MAC хаяг болон IP хаягийг тодорхойлох боломжийг танд олгоно. Мөн програмыг ашиглан та күүки, гадагшаа болон ирж буй урсгалхууль бус зорилгоор.

Онцлог шинж чанарууд

Intercepter-NG бол баруун гарт хууль бус гүйлгээ хийх хэрэгсэл болж хувирдаг олон үйлдэлт програм юм. Нэгдүгээрт, үүнийг нийтийн сүлжээнд холбогдсон бүх төхөөрөмжийг тодорхойлоход ашиглаж болно. Өгөгдөл нь зөвхөн IP хаягаас гадна төхөөрөмжийн өвөрмөц MAC хаягийг агуулдаг.

Хоёрдугаарт, програм нь сонгосон хэрэглэгчийн хоёр талын урсгалыг таслан зогсоох, файлуудыг үзэх, ашиглах, бүр солих боломжийг олгодог. Хөтөлбөр нь тийм биш учраас дэлгэрэнгүй зааварфункцийг ашиглахын тулд та хамгийн бага мэдлэгтэй байх хэрэгтэй. Энэ тохиолдолд та зөвхөн IP эсвэл MAC хаягийг олж мэдээд зогсохгүй бусад хүмүүсийн захидал харилцааг унших, тэр ч байтугай хэрэглэгчийн нэрийн өмнөөс үйлдэл хийх зорилгоор күүкийг хялбархан таслах боломжтой болно.

Онцлог шинж чанарууд

• Root хандалт. Аппликешны бүх функцийг ашиглахын тулд төхөөрөмж root-тэй байх ёстой.
• Тантай ижил хандалтын цэгийг ашигладаг аливаа хэрэглэгчийн IP болон MAC хаягийг олж мэдэх чадвар.
• Бүртгэлтэй захидал харилцаа, үйлдлийг уншихын тулд күүкиг саатуулах чадвар.
• Гарч буй болон ирж буй урсгалыг таслан зогсоох, файлуудыг солих чадвар.

Минималист интерфэйс, тогтвортой ажиллагаа нь програмын хэд хэдэн онцлог шинж чанар бөгөөд үүнийг нарийн хүрээний дунд түгээмэл болгодог.

Intercepter-NG-ийн тодорхойлолт

Intercepter-NG нь мэдээллийн технологийн мэргэжилтнүүдэд зориулсан олон үйлдэлт сүлжээний хэрэгслүүд юм янз бүрийн төрөл. Гол зорилго нь сүлжээний урсгалаас сонирхолтой өгөгдлийг сэргээх, янз бүрийн төрлийн хүн-in-the-middle (MiTM) халдлага хийх явдал юм. Нэмж дурдахад, уг програм нь ARP хууран мэхлэлт (man-inthe-middle халдлагыг илрүүлэхэд ашиглагдаж болно), зарим төрлийн эмзэг байдлыг илрүүлж ашиглах, мөн харгис хүчээр нэвтрэх итгэмжлэлүүдийг илрүүлэх боломжийг олгодог. сүлжээний үйлчилгээ. Энэ программ нь шууд дамжуулалттай хоёуланд нь ажиллаж, файл болон итгэмжлэлийг илрүүлэхийн тулд баригдсан траффиктай файлд дүн шинжилгээ хийх боломжтой.

Хөтөлбөр нь дараахь функцуудыг санал болгодог.

• ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE, NTLM гэсэн төрлийн нууц үг/хэшийг үнэрлэх. , KRB5 РАДИУС
• Чатын мессежийг үнэрлэх: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
• HTTP, FTP, IMAP, POP3, SMTP, SMB-ээс файлуудыг сэргээнэ үү
• Садар самуун горим, ARP, DHCP, гарц, порт, ухаалаг сканнер гэх мэт янз бүрийн сканнерын төрлүүд
• Пакет барих ба дараагийн (офлайн) шинжилгээ / RAW (түүхий) горим
• RPCAP демон болон PCAP Over IP-ээр дамжуулан алсаас траффик барих
• NAT, SOCKS, DHCP
• ARP, ICMP, DHCP, SSL, SSLSTRIP, WPAD, SMB реле, SSH MiTM гаруй DNS
• SMB Hijack (таслах), LDAP реле, MySQL LOAD DATA injection
• ARP Watch, ARP Cage, HTTP injection, Heartbleed exploit, Kerberos Downgrade, Cookie Killer
• DNS, NBNS, LLMNR хуурамчаар үйлдэх
• Төрөл бүрийн сүлжээний үйлчилгээний харгис хүч

Үндсэн хувилбар нь Windows дээр ажилладаг, боломжтой консол хувилбарЛинукс болон Android-д зориулсан хувилбар.

Лиценз: "байгаагаар"

Intercepter-NG горимууд

Intercepter-NG нь долоон үндсэн горимтой бөгөөд эдгээр нь програмын таб болон үндсэн товчлууруудын тоотой тохирч байна.

Эдгээр горимууд нь:

• Элч нар
• Амилалт
• Нууц үг
• Сканнерууд
• RAW (түүхий)

Эхний байранд тавь Мессенжерийн горим(ICQ лого). Энэ нь түүхэн шалтгааны улмаас болсон - Intercepter-NG нь анх ICQ мессеж болон бусад шуурхай мессенжерүүдийг таслан зогсоох программ хэлбэрээр бүтээгдсэн.

Амилалтын горим(товчлуур дээрх лого нь Финикс) нь сүлжээний урсгалаас файлуудыг сэргээх гэсэн үг юм. Эдгээр нь вэбсайтууд дээр үзсэн зургийн файлууд, шилжүүлсэн архив, баримт бичиг болон бусад файлууд байж болно.

руу шилжих үед Нууц үгийн горим(гурав дахь товчлуур - түлхүүрийн оосор) та сүлжээний урсгалаас авсан итгэмжлэлүүдийг харах болно. Сайтын хаягууд, оруулсан нэвтрэх нэр, нууц үгүүд харагдана.

Програм эхлэхэд энэ нь нээгдэнэ Скан хийх горим(дунд товчлуур - радар). Энэ бол халдлагыг эхлүүлэх анхны горим юм: сканнердах, зорилтот зорилтуудыг сонгох, сүлжээний бусад параметрүүдийг тохируулах нь энэ таб дээр явагдана.

Таб MiTM(нөхөх утаснуудын багц) нь зорилтот тохиргоог оруулах талбаруудыг агуулдаг бөгөөд тэдгээрийн ихэнх нь сканнердах таб дээр автоматаар бөглөгддөг. Мөн янз бүрийн MiTM халдлагуудыг эхлүүлэх товчлуурууд байдаг.

Таб DHCPзарим сүлжээний болон DHCP серверийн тохиргоог агуулдаг.

RAW горим (түүхий)сүлжээний урсгалаар дамжуулагдсан өгөгдлийн талаарх түүхий мэдээллийг харуулдаг. Мэдээллийг -тэй төстэй хэлбэрээр үзүүлэв.

Intercepter-NG ашиглах, асуудлыг шийдвэрлэх зөвлөмжүүд:

• Intercepter-NG нь WinPcap-ийг ажиллуулахыг шаарддаг боловч Intercepter нь WinPcap-ийн зөөврийн хувилбартай ирдэг тул тусад нь суулгах шаардлагагүй.
• Хэрэв та адаптерийн жагсаалтад адаптераа харахгүй байгаа бол WinPcap таны картыг дэмждэггүй гэсэн үг юм.
• Хэрэв WiFi карттай, тэр ч байтугай ARP сийлбэртэй юу ч ажиллахгүй бол адаптеруудын жагсаалтын зүүн талд байрлах NIC дүрсийг ашиглан WiFi горимд шилжинэ. Мөн Stealth IP нь интернетэд нэвтрэх боломжтой эсэхийг шалгаарай.
• Зарим ховор тохиолдолд BFE (Base Filtering Engine) үйлчилгээ нь локал Intercepter портуудыг хааж болно. Энэ нь дараах байдлаар илэрдэг: ARP ажилладаг боловч бусад MiTM функцууд ажиллахгүй байна (Windows 7 ба түүнээс дээш). Avast гэх мэт вирусны эсрэг програмууд нь хяналтын самбар дээр сүлжээний хамгаалалт идэвхгүй болсон ч гэсэн тэдгээрийг хааж болно. Энэ зан үйлийн өөр нэг шалтгаан нь WiFi холболт болон үйлчилгээний нэгэн зэрэг ажиллах явдал байж болно Интернет холболтХуваалцах.
• Intercepter нь 802.11 капсулыг дэмждэг тул та програм болон . PPPoE, GRE(PP2P) болон нэмэлт 802.11 толгойг бас дэмждэг. Энэ нь Intercepter нь шифрлэгдсэн өгөгдөлд дүн шинжилгээ хийх боломжтой гэсэн үг биш, харин Intercepter нь ийм төрлийн пакетуудаас ethernet\ip толгойг салгаж, дүн шинжилгээ хийх боломжтой гэсэн үг юм.
• Протоколын хязгаарлалтын улмаас эх сурвалж болон очих газар UIN\MAIL\... чатын мессежийн таб дээр харагдахгүй байж магадгүй.
• Нууц үгийн хүснэгтээс өгөгдлийг хуулахын тулд мөрөнд товшоод ctrl+c товчийг дарна уу.
• Програмын цонхыг нуухын тулд Ctrl+Alt+S товчлуурын хослолыг ашиглана уу. Цонх дахин гарч ирэхийн тулд дахин дарна уу.
• Intercepter нь win9x (98 ба 95!) дээр ч ажиллах боломжтой, гэхдээ та WinPcap 3.1 эсвэл WinPcap 4.0beta2 суулгах хэрэгтэй. WinPcap-ийн шинэ хувилбарууд win9x-г дэмждэггүй.
• Офлайн шинжилгээ хийх консол горим:

• Автомат үнэрлэхийг идэвхжүүлэхийн тулд та нээх хэрэгтэй settings.cfgболон засварлах " автоматаар ажиллуулах". Анхдагч утга нь 0 , үнэрлэх гэж буй интерфейсийнхээ дугаарыг өөрчил.
• Intercepter нь IP өгөгдөл бүхий pcap dumps-ийг Ethernet incapsulation болгон хувиргадаг (ethernet толгойн мэдээллийг нэмнэ).
• Intercepter шинэ форматыг унших боломжтой - pcapng. Wireshark-аас авсан бүх pcapng файлыг зөвхөн "Сайжруулсан пакет блок"-ыг ашигладаг тул Intercepter зөвхөн энэ төрлийн пакет блокийг дэмждэг. Нэмж дурдахад энэ нь багцын тайлбарыг харуулдаг.
• Түүхий (RAW) горимд та траффикийг шүүх pcap шүүлтүүр ашиглан өөрийн дүрмийг тохируулж болно. Дэлгэрэнгүйг pcap шүүлтүүрийн синтаксээс үзнэ үү. Жишээ:

Цөмөөс зөвхөн tcp 80 портоос пакетуудыг хүлээн авна гэсэн үг.

80 порт биш

80-р портоос пакетуудыг оруулахгүй гэсэн үг

Та дүрмийг нэгтгэж болно:

Порт 80 бас үгүйпорт 25

• Intercepter нь пакет бүрийг санах ойд ачаалж, ашигладаггүй тул та түүхий горимд асар том овоолготой ажиллах ёсгүй. хатуу дисксвоп хуваалт (файл) болгон.

Intercepter-NG сонголтын зөвлөмжүүд

Үнэрлэгчийн сонголтууд:

• Хэрэв та pcap dump-д офлайн дүн шинжилгээ хийх гэж байгаа бол үйл явцыг хурдасгахын тулд " гэсэн сонголтыг арилгана уу. Хостуудыг шийдвэрлэх”.
• Хэрэв та сонголтыг шалгавал " Tray дээр түгжих", дараа нь тавиураас цонхыг сэргээх үед танаас нууц үг асуух болно. Үндсэн нууц үг нь " 4553 ". Та үүнийг файл дотор өөрчилж болно settings.cfg. Нууц үг нь base64 дээр кодлогдсон.
• Сонголт " Сессийг хадгалах" гэдэг нь Intercepter нь хүлээн авсан бүх пакетуудыг pcap файлд хадгалах болно гэсэн үг юм. Энэ файлыг офлайн өгөгдөлд дүн шинжилгээ хийхэд ашиглаж болно. Энэ нь үр дүнг экспортлох нэг төрлийн функц юм.
• Хэрэв та суулгавал Садар самуун, дараа нь Intercepter сүлжээний адаптерийг садар самуун горимд нээнэ. Энэ нь тухайн сүлжээний интерфэйсэд зориулагдаагүй бүх пакетуудыг унших болно гэсэн үг юм. Хэрэв тэмдэглэгээг сонгоогүй бол энэ нь зөвхөн заасан интерфэйс рүү илгээсэн пакетуудыг унших болно. Зарим Wi-Fi картууд энэ горимыг дэмждэггүй.
• “Өвөрмөц өгөгдөл” - зөвхөн өвөрмөц нэвтрэх болон нууц үгийг харуулах. Тэдгээр. баригдсан нэвтрэх болон нууц үгээ зөвхөн нэг удаа харуулах - хэрэв хэрэглэгч ижил нэвтрэх болон нууц үгээ дахин оруулсан бол энэ нь харагдахгүй.
• Автоматаар хадгалах- бүгд текст мэдээлэл 10 секунд тутамд хадгалагдах болно.
• Анхдагчаар, шалгах нүд нь " Тор харах" Энэ нь нууц үг нь мэдээллийн сүлжээ хэлбэрээр гарч ирнэ гэсэн үг юм. Дэлгэрэнгүй мэдээллийг харахын тулд тэмдэглэгээг арилгана уу. Тор харах”.
• extreme.Ердийн ажлын урсгалд sniffer нь тодорхой протоколуудтай холбоотой урьдчилан тодорхойлсон портуудад дүн шинжилгээ хийдэг. Хэрэв бид http гэж хэлбэл, бид 80 портыг (эсвэл 8080 эсвэл http протоколтой холбоотой портуудын жагсаалтад урьдчилан тодорхойлсон) гэсэн үг юм. Тэдгээр. Зөвхөн эдгээр портуудыг шинжлэх болно. Хэрэв зарим програмууд 1234 гэх мэт өөр порт ашигладаг бол sniffer түүгээр дамждаг пакетуудыг шинжлэхгүй. горимд байна extreme Intercepter нь портуудыг шалгахгүйгээр бүх TCP пакетуудад дүн шинжилгээ хийх болно. Тэдгээр. Зарим програм нь тодорхойгүй порт ашигладаг байсан ч гэсэн sniffer эдгээр пакетуудыг сканнердах болно. Хэдийгээр энэ нь гүйцэтгэлийг удаашруулдаг (ердийнхөөс илүү олон портыг шалгах шаардлагатай) бөгөөд буруу өгөгдөл илрүүлж эсвэл зөв протоколыг алддаг (жишээ нь, FTP болон POP3 нь ижил төрлийн зөвшөөрлийг ашигладаг) олох, таслах боломжийг олгодог. үл мэдэгдэх портуудын талаархи сонирхолтой мэдээлэл. Энэ горимыг эрсдэлд оруулаарай, eXtreme горим идэвхжсэн үед ямар нэг зүйл буруу болвол бүү гайхаарай.
• "Зөвхөн зураг авах" гэдэг нь Intercepter нь бодит цагийн дүн шинжилгээ хийхгүйгээр пакетуудыг зөвхөн dump файлд хадгалах болно гэсэн үг юм. Энэ нь таныг сүлжээний олон өгөгдөл авах үед гүйцэтгэлийг нэмэгдүүлэхэд хэрэгтэй.
• Сонголт АмилалтЭнэ нь сүлжээний урсгалаар дамжуулагдсан өгөгдлөөс файлуудыг сэргээдэг Амилалтын горимыг идэвхжүүлнэ гэсэн үг юм.
• IM портууд
• HTTP. HTTP-тэй холбоотой портууд, дэлгэрэнгүй мэдээллийг сонголтын тайлбараас үзнэ үү extreme.
• Оймс
• IRC\BNC

Intercepter-NG дээрх дундах хүн (MiTM) халдлагын сонголтууд

• Бүх MiTM халдлагад Intercepter нь ip\mac хаягийг хууран мэхлэх (орлуулах) ашигладаг (сонголт). Хуурамч IP\MAC). Хэрэв та хэрэглэж байгаа бол Wi-Fi интерфейс, дараа нь та энэ сонголтыг арилгах хэрэгтэй, учир нь wifi драйверуудын 99% нь хуурамч Mac ашиглан пакет илгээхийг зөвшөөрдөггүй. Хэдийгээр та жинхэнэ хаягаа илчилдэг ч ядаж WiFi интерфейсээр ямар ч MiTM халдлага хийх боломжтой. Энэ нь юу ч биш байснаас дээр. Тохиргоо дотроос хууран мэхлэхийг идэвхгүй болгохын оронд ашиглана уу WIFI горим. Та Expert Mode дээр харуулсан Mac-г өөрчилж болно.
• iOS алуурчин iCloud, мөн Instagram, VK-д зориулж нэмсэн. Энэ функц (iOS Killer) нь заасан програмуудын сессийг дахин тохируулж, дахин зөвшөөрлийг таслан зогсоох боломжийг танд олгоно.
• Kerberos-ийн бууралт
• HSTS Хуурамч. SSL зурвасын үед HSTS-ийг алгасах. Тойрох арга нь харьцангуй энгийн боловч хэрэгжүүлэхэд тодорхой бэрхшээл тулгардаг тул та онцгой үр дүнг хүлээх ёсгүй. Yandex мэйл ашиглах жишээг харцгаая Chrome хөтөч. Хэрэв та ya.ru руу очвол баруун дээд буланд SSL Strip хялбархан зохицуулж болох "Мэйлд нэвтрэх" гэсэн https холбоос байх болно. Дараа нь зөвшөөрлийн маягт нээгдэнэ, хаана POST аргаөгөгдлийг passport.yandex.ru руу шилжүүлсэн. Https-ыг устгасны дараа ч зөвшөөрөл нь SSL-ээр хийгдэх болно, учир нь host passport.yandex.ru нь хромын урьдчилан ачаалагдсан жагсаалтад багтсан болно. Мэдээллийг таслан зогсоохын тулд бид passport.yandex.ru хост нэрийг өөр зүйлээр солих шаардлагатай бөгөөд ингэснээр хөтөч нь энэ нөөцийг аюулгүй холболтоор шууд үзэх ёстойг илрүүлэхгүй байх ёстой. Жишээлбэл, та passport.yandex.ru-г paszport.yandex.ru-ээр сольж болно, энэ тохиолдолд өгөгдлийг өөрчлөгдсөн домэйн нэр рүү тодорхой текстээр илгээх болно. Гэхдээ учир нь Ийм домэйн - paszport.yandex.ru байхгүй бол та нэмэлт DNS хуурамчаар үйлдэх хэрэгтэй болно, өөрөөр хэлбэл. paszport.yandex.ru-г хөрвүүлэх үед үйлчлүүлэгч хариуд нь passport.yandex.ru сайтаас анхны IP хаягийг хүлээн авах ёстой.

Энэ процедур нь автоматжуулсан бөгөөд халдлага хийх үед хэрэглэгчийн нэмэлт оролцоо шаарддаггүй. Шаардлагатай цорын ганц зүйл бол эхлээд орлуулах жагсаалтыг гаргах явдал юм misc\hsts.txt. Анхдагч байдлаар, yandex, gmail, facebook, yahoo-д зориулсан хэд хэдэн оруулгууд байдаг. Хэрэв хэрэглэгч хөтөч дээрээ facebook.com руу нэвтэрсэн бол энэхүү тойрч гарах арга нь сессийг таслан зогсоох эсвэл зөвшөөрлийг зөвшөөрөхгүй гэдгийг ойлгох нь чухал. хөтөч тэр даруй сайтын аюулгүй хувилбарыг нээх болно. Энэ тохиолдолд facebook.com руу орох линкийг өөр эх сурвалжаас авсан тохиолдолд л халдлага хийх боломжтой. Халдлагыг хэрэгжүүлэхэд тулгарч буй гол бэрхшээлүүд нь вэбсайтууд дэд домайнуудтай хэрхэн ажилладаг талаар урьдчилан таамаглах боломжгүй логик, HSTS-ийг тойрч гарах аливаа оролдлогыг үгүйсгэж болох вэб кодын онцлогууд юм. Ийм учраас та жагсаалтад ямар ч сайт нэмж болохгүй, тэр ч байтугай Intercepter-NG-д байдаг домэйнууд ч гэсэн өөрийн гэсэн шинж чанартай бөгөөд үргэлж зөв ажилладаггүй. Би нөөц болгонд таяг хийхийг үнэхээр хүсэхгүй байна, магадгүй ирээдүйд зарим нэг сайжруулалт хийгдэх болно, гэхдээ тэдний хэлснээр одоохондоо. Өөр нэг нюанс бол DNS хууран мэхлэлтийн одоогийн хэрэгжилтэд үүнийг хийх шаардлагатай байна DNS серверороогүй байсан дотоод сүлжээИнгэснээр та гарцын DNS хүсэлтийг харж, шаардлагатай бол хариу өгөх боломжтой.

• IP дамжуулах. Цэвэр IP дамжуулах горимыг идэвхжүүлдэг. MiTM халдлагыг энэ горимд ашиглах боломжгүй боловч Stealth IP ашиглах боломжгүй тохиолдолд арп хордлогыг эхлүүлэх боломжийг танд олгоно. Энэ нь ихэвчлэн гарцтай үед шаардлагатай байдаг цагаан жагсаалтсүлжээнд байгаа хууль ёсны компьютер, тиймээс NAT зөв ажиллах боломжгүй.
• Күүки алуурчин— күүкиг дахин тохируулж, улмаар хэрэглэгчийг дахин зөвшөөрөл олгохыг албаддаг - халдагч тэднийг таслан зогсоохын тулд нэвтрэх болон нууц үгээ оруулна уу. Cookie Killer функц нь SSL холболтуудад бас ажилладаг. Хар өнгөтэй ( misc\ssl_bl.txt) болон цагаан жагсаалт ( misc\ssl_wl.txt). Тэд SSL MiTM-г ашиглах эсвэл ашиглах ёсгүй IP хаяг эсвэл домэйныг хасч, эсвэл эсрэгээр нь хатуу зааж өгч болно. Нэмэлт ssl портыг зааж өгөхдөө унших/бичих төрлийг зааж өгөх шаардлагагүй, портын дугаарыг зааж өгөхөд л хангалттай. Бүх урсгалыг бичдэг ssl_log.txt.
• Remote Capture (RPCAP). Libpcap нь RPCAP нэртэй өөрийн протоколоор сүлжээний өгөгдлийг нэг хостоос нөгөө рүү дамжуулах боломжийг олгодог. Тэдгээр. Та өөрийн гарц дээр rpcap демоныг ажиллуулж, түүгээр дамжин өнгөрөх бүх урсгалыг харж болно. Демон ажиллаж эхэлмэгц Intercepter ашиглан алсын замын хөдөлгөөнийг барьж эхлэх боломжтой. Өгөгдсөн талбарт демоны хостын нэр эсвэл IP-г оруулаад жагсаалтаас адаптераа сонгоно уу. Дараа нь та өөрийн ethernet картанд өгөгдсөн бодит IP хаягаар "IP"-г орлуулах "хост IP биш" шүүлтүүрийг тохируулах хэрэгтэй (энэ нь та болон демон хоёрын хоорондох rpcap урсгалыг үл тоомсорлох явдал юм).
• IP дээр PCAP

Энэ функц нь замын хөдөлгөөнийг алсаас авахтай холбоотой бөгөөд хуучин, асуудалтай rpcapd үйлчилгээг маш сайн орлуулах болно. Нэр нь өөрөө ярьдаг. Бараг ямар ч Unix-д үргэлж tcpdump болон netcat-ийн хослол байдаг бөгөөд үүний тусламжтайгаар та алсын зайнаас хүлээн авагч компьютер руу урсгалыг бүртгэх боломжтой. IN энэ тохиолдолд Intercepter нь libpcap форматаар өгөгдлийн урсгалыг хүлээж байгаа портыг нээж, бодит цаг хугацаанд дүн шинжилгээ хийх боломжтой.

Траффикийн эх сурвалжийн хувьд үндсэн ялгаа байхгүй тул та tcpdump-аас гадна муур хэрэглүүрийг ашиглан аль хэдийн байгаа .pcap бүртгэлийг уншиж болно.

Intercepter нь анхдагчаар 2002 портыг сонсдог хэрэглээний зарим жишээг энд оруулав.

Tcpdump -i нүүр -w - | nc IP 2002

Хэрэв та өөрийн авч буй интерфэйсээр траффик дамжуулахаар төлөвлөж байгаа бол сервер болон Intercepter хоорондын үйлчилгээний урсгалыг оруулахгүй шүүлтүүрийн дүрмийг нэмэх хэрэгтэй.

Tcpdump -i face -w - порт биш 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

Энэ нь Flag-ийн нэг хэсэг болох tcpdump-ийн аналог юм -Пбагцуудыг шинэ pcapng биш стандарт libpcap форматаар хадгалах ёстойг харуулж байна.

Netcat ашиглахгүйгээр пакетуудыг дамжуулах өөр арга:

Tcpdump > /dev/tcp/ip/port

WPAD нь "WebProxy Autodiscovering Protocol" гэсэн үгийн товчлол бөгөөд "Тохиргоог автоматаар илрүүлэх" онцлогтой тохирч байна. орчин үеийн хөтөч. Энэ функц нь хөтөч нь хэрэглэгчийн оролцоогүйгээр одоогийн прокси тохиргоог авах боломжийг олгодог. Энэ нь өнөөдрийг хүртэл аюул заналхийлж байгаа бөгөөд халдагчид вэб траффикийг таслан зогсоохын тулд хортой серверийг хялбархан тохируулж болно. Энэ нь нөхцөл байдлыг улам хүндрүүлж байна Internet Explorer(мөн Chrome ч бас) энэ функцийг анхдагчаар дэмждэг.

Ихэвчлэн WPAD нь сүлжээнд тохируулагдаагүй байдаг тул хөтчүүдийн ердийн үйлдэл нь "WPAD" нэрээр NetBios хүсэлт гаргах явдал юм (DHCP болон DNS аргуудыг алгасах). Хэрэв хариу ирэхгүй бол хөтөч шууд холболтыг ашиглана. Гэхдээ хариу ирсэн тохиолдолд хөтөч http: /ip_of_wpad_host/wpad.dat-аас тохиргооны файлыг татаж авахыг оролддог.

Intercepter-NG нь хүсэлт бүрт хариу өгөх ба үйлчлүүлэгчдээс өөрийн тохиргоог ашиглахыг хүсэх бөгөөд ингэснээр проксигоор дамжуулан траффикийг үнэрлэх боломжтой болно. Та сүлжээн дэх бусад прокси серверийн тохиргоог өөрөө тохируулах эсвэл суулгасан прокси серверийг сонгох боломжтой. Суурилуулсан прокси нь HTTP тарилгын функцийг ашиглах боломжийг танд олгоно.

Intercepter-NG Expert горимын сонголтууд

• SSL зурвасын завсарлага (секунд)- SSL Strip секундын хугацаа дуусах
• ARP хор (секунд тутамд)— ... секунд тутамд ARP сийлбэр хийх
• ARP скан хийх хугацаа (секунд)- ARP скан хийх хугацаа дууссан
• DNS кэш TTL (секунд)- DNS кэш дэх насан туршдаа
• MAC хуурамчаар үйлдэх- Халдагчийн хаягийг солих MAC хаяг
• MySQL LOAD DATA Injection
• LDAP реле DN: DC=xxx, DC=xxx
• NBNS хүсэлт дээр халдлагыг зогсоо
• Баталгаажуулалтын дараа SSH холболтыг таслана— Зөвшөөрөл авсны дараа SSH холболтыг дахин тохируулна уу
• SMB Hijack -> SMB Relay
• Автомат ARP хор— Автомат позон горимд зорилтот жагсаалтад зөвхөн 1 хост нэмэхэд хангалттай бөгөөд Intercepter өөрөө тодорхой интервалаар сүлжээг сканнердаж, автоматаар шинэ зорилтуудыг нэмнэ.
• ARP хүснэгтийг дахин тохируулах- ARP хүснэгтийг дахин тохируулах
• SMB Hijack-д зориулсан тусгай ачаалал (хамгийн ихдээ 64кб)
• GP Hijack-д зориулсан тусгай ачаалал
• Shell-г ажиллуул- Бүрхүүлийг эхлүүлэх
• HTTP NTLM Grabber ажиллуулна уу

Сканнердах төрлүүд

Сканнердах нь эхний шат, өөрөөр хэлбэл олон MiTM халдлагууд үүнээс эхэлдэг. Скан хийх цэсийг харуулахын тулд таб руу очно уу MiTM горимширээн дээр хулганы баруун товчийг дарна уу.

• Smart Scan ning: Энэ нь ARP сканнердах болон гарцын нээлтийг хослуулсан. Үйлдвэрлэгчийн IP болон MAC хаягуудын талаархи ердийн мэдээлэлд сүлжээний картТэгээд үйлдлийн систем, компьютерийн нэр гарна. Яг энэ хугацаанд та Netbios-ын нэр эсвэл iOS үйлдлийн системтэй төхөөрөмжийн нэрийг нэмж мэдэх боломжтой. Сүүлчийн асуудлыг шийдвэрлэхийн тулд Apple-ийн Bonjour протоколын үндсэн дээр ажилладаг MDNS протоколыг ашигладаг бөгөөд хүлээн авсан бүх нэрсийг кэш файлд хадгалдаг бөгөөд хэрэв дараагийн сканнерын явцад ямар нэг шалтгаанаар хостын нэрийн талаарх мэдээллийг динамикаар олж аваагүй бол. Энэ нь кэшээс авах бөгөөд энэ нь Stealth IP-г харуулж, Gateway IP (хэрэв энэ нь илэрсэн бол) болон Stealth IP-г MiTM табын харгалзах талбарт автоматаар тохируулдаг.
• ARP скан хийх(ARP скан): зүгээр л сонгосон ethernet адаптерт хуваарилагдсан C ангиллын дэд сүлжээг шалгадаг. Жишээлбэл, хэрэв таны IP 192.168.0.10 бол 192.168.0.1-255 хүртэлх 255 IP хаягийг шалгах болно. 0.9.5 хувилбараас эхлэн програм нь бүх дэд сүлжээг зөв скан хийхийн тулд сүлжээний маскыг шалгадаг.
• DHCP нээлт(DHCP Discovery): DHCP-Discovery нэвтрүүлгүүдийг илгээж, хариу хүлээнэ. DHCP серверүүд. Хэрэв серверүүд хариу ирвэл тэдгээрийг жагсаалтад нэмнэ.
• Promisc илрүүлэх(сүлжээний картын садар самуун нээлт): Сүлжээнд тусгай ARP хүсэлт илгээдэг. Хариуд нь хариулж байгаа хостууд нь үнэртэгчид байх нь ойлгомжтой. Зарим ethernet картууд (3COM) бас хариу өгч магадгүй, өөрөөр хэлбэл худал эерэг үр дүн гарах боломжтой.
• Gateway Discovery(гарц илрүүлэх): Сүлжээний бүх хостуудаар дамжуулан SYN пакет илгээдэг, хэрэв гарц байгаа бол хариуг буцааж илгээнэ.

Intercepter-NG дээрх дундах хүн (MiTM) довтолгооны техник

Та товчлуурыг дарах үед MiTM-г тохируулах(нүдтэй малгай) харилцах цонх нээгдэнэ MiTM халдлага:

Энэ нь дэмжигдсэн техникүүдийн жагсаалтыг агуулдаг.

SSL MiTM

Энэ бол гэрчилгээг хуурамчаар үйлдэх эртний сонгодог арга юм. SSL-ээр хамгаалагдсан аливаа протоколоос өгөгдлийг таслах боломжийг танд олгоно. Стандарт дэмждэг: HTTPS, POP3S, SMTPS, IMAPS. Сонголтоор та ямар ч нэмэлт портыг зааж өгч болно.

HTTPS-г таслан зогсоох үед хүссэн эх сурвалжаас анхны мэдээллийг хуулбарлан гэрчилгээг шууд үүсгэдэг. Бусад бүх тохиолдолд статик гэрчилгээг ашигладаг.

Мэдээжийн хэрэг, энэ функцийг ашиглах үед хөтөч болон бусад клиент програм хангамжийн анхааруулга зайлшгүй байх болно.

Шинэ хувилбар нь SSL MiTM-ийн кодыг бүрэн дахин бичсэн. Одоо хурдан бөгөөд тогтвортой ажиллаж байна. Сертификат үүсгэх алгоритм мөн өөрчлөгдөж, нэмэлт DNS бичлэгүүд нэмэгдсэн бөгөөд бүх гэрчилгээг нэг түлхүүрээр гарын үсэг зурсан ( misc\server). Энэ нь өөрөө гарын үсэг зурсан гэрчилгээг зорилтот компьютер дээрх итгэмжлэгдсэн хүмүүсийн жагсаалтад нэмснээр ямар ч эх сурвалжаас (SSL Pinning байхгүй) SSL урсгалыг сонсох боломжтой болно гэсэн үг юм. Чиг үүрэг Күүки алуурчинодоо SSL холболтуудад ажилладаг. Хар гарч ирэв ( misc\ssl_bl.txt) болон цагаан жагсаалт ( misc\ssl_wl.txt). Тэд SSL MiTM-г ашиглах эсвэл ашиглах ёсгүй IP хаяг эсвэл домэйныг хасч, эсвэл эсрэгээр нь хатуу зааж өгч болно. Нэмэлт ssl портыг зааж өгөхдөө унших/бичих төрлийг зааж өгөх шаардлагагүй болсон. Бүх урсгалыг ssl_log.txt руу бичдэг.

SSL зурвас

SSL Strip нь HTTPS холболтыг таслан зогсоох "чимээгүй" арга юм. Удаан хугацааны туршАжлын хувилбар нь зөвхөн Unix дээр байсан, одоо ижил төстэй үйлдлүүдийг NT орчинд хийх боломжтой. Гол нь: халдагч "дунд" байгаа, HTTP траффикийг шинжилж, бүх https:// холбоосыг тодорхойлж, тэдгээрийг http://-ээр сольсон тул үйлчлүүлэгч сервертэй хамгаалалтгүй харилцаж байна горим. Оруулсан холбоосын бүх хүсэлтийг хянаж, анхны https эх сурвалжаас авсан өгөгдлийг хариуд нь хүргэдэг.

Учир нь Ямар ч гэрчилгээ солигдоогүй, ямар ч анхааруулга байхгүй. Аюулгүй холболтыг дуурайхын тулд фавикон дүрсийг сольсон.

D.N.C.<>ICMP

Энэ бол өмнө нь дурдсан эсвэл хэрэгжээгүй цоо шинэ техник юм. Энэ нь хуучин ICMP Redirect MiTM дээр бүтээгдсэн боловч өгөгдлийг үнэрлэх шинэ арга замыг нээж өгдөг. Энэ халдлагын эхний алхам нь сонгодог ICMP дахин чиглүүлэлттэй төстэй боловч нэг чухал ялгаа бий.

гэж нэрлэгддэг " шинэ оруулга" нь хохирогчийн DNS сервер юм. Бид бүх DNS хүсэлтийг хяналтандаа авч, хохирогч хариуг хүлээж авахаас өмнө ид шид хийх болно.

Somehost.com-г шийдэх үед DNS нь somehost.com-ын IP хаягаас нэг буюу хэд хэдэн хариулт агуулсан хариултыг бидэнд илгээдэг. Түүнээс гадна, энэ нь "нэмэлт" хариултуудыг агуулж болох бөгөөд бид тэдгээрийг бас анхаарч үзэх болно. Довтолгооны эхний хэсэг дууссаны дараа хохирогч бүх DNS хүсэлтийг халдагчийн хостоор (NAT) илгээж эхэлдэг. NAT нь DNS-ээс хариу хүлээн авахдаа бүх IP-г уншиж, дараа нь орчуулсан IP-тэй хохирогч руу ICMP дахин чиглүүлэх мессежийг илгээдэг.

Тиймээс NAT хохирогч руу DNS хариу илгээх үед түүний чиглүүлэлтийн хүснэгтэд манай хост руу чиглэсэн бүх орчуулагдсан хаягуудын оруулгууд аль хэдийн байна!

Энэ нь бид зөвхөн хохирогчийн DNS-ийг бус, шийдэгдсэн бүх зүйлийг үнэрлэнэ гэсэн үг юм. Хуурамч IP\MAC-ээр дамжуулан бүх траффик хуурамчаар үйлдэх болно.

Довтолгооны энэ хэсэг нь NAT тал дээр хийгддэг тул та үүнийг зөв тохируулах хэрэгтэй.

"ICMP дээр DNS" гэсэн нүдийг чагталсны дараа бөглөнө үү:

• Чиглүүлэгчийн IP нь хохирогчийн ашигладаг анхдагч гарц IP юм.
• Үйлчлүүлэгчийн IP нь хохирогчийн IP юм. Та хэд хэдэн зорилтыг нэмж болно, гэхдээ Intercepter-аас ICMP дахин чиглүүлэх пакет илгээж эхлэхээ бүү мартаарай.

Үйлчлүүлэгчийг нэмсний дараа та үнэгүй/ашиглагдаагүй IP-г "Шинэ гарц" талбарт болон "Stealth IP" хэсэгт оруулах хэрэгтэй.

Адаптерийг сонго, бид урсгалыг нэг ethernet хэсэгт чиглүүлэх гэж байгаа тул тэдгээр нь ижил байх ёстой.

NAT эхлүүлэх.

Бүх DNS хариултуудыг тусгай жагсаалтад хадгалдаг бөгөөд NAT нь тогтмол (тохиргоонд заасан цагийн дагуу) ICMP чиглүүлэлтүүдийг дахин илгээдэг.

Төгсгөлд нь та дахин нэг үйлдэл хийх хэрэгтэй. Та хохирогчийн чиглүүлэлтийн хүснэгтийг ариутгах боломжгүй (ARP-ийн хордлоготой адил) тул ICMP дахин чиглүүлэлтүүдийг дахин илгээхгүйн тулд "DNS ↔ ICMP" гэсэн сонголтыг авч, 10-15 минут хүлээх хэрэгтэй. Үүний дараа шинэ оруулгууд нэмэгдэхгүй, харин хуучин нь NAT-аар дамжуулан хугацаа нь дуустал хэвийн ажиллах болно.

WPAD MiTM

Дэлгэрэнгүй мэдээллийг сонголтын тайлбараас үзнэ үү. WPAD тохиргоо (PROXY:PORT).

SMB хулгай

SSH MiTM

Та SSH баталгаажуулалтын өгөгдлийг (нэвтрэх/нууц үг) таслан зогсоож, алсын сессийн үеэр дамжуулж буй бүх командыг харах боломжтой. Баталгаажуулалтын 2 механизмыг дэмждэг: нууц үг ба интерактив. Хохирогчийн мэдээллийг үнэрлэхийн тулд бид жинхэнэ sshd шиг ажиллах хэрэгтэй бөгөөд бид өөрсдийн rsa/dsa түлхүүрүүдийг өгдөг. Хэрэв анхны хост түлхүүрийг хохирогч кэш хийсэн бол анхааруулах мессеж гарч ирэх бөгөөд хэрэв кэш хийгдээгүй бол үйлчлүүлэгчийн тал руу халдсан шинж тэмдэг байхгүй болно.

Хохирогч нэвтэрсний дараа тэрээр ердийнхөөрөө ажиллаж, командууд болон шөнийн командлагч гэх мэт псевдографик програмуудыг гүйцэтгэх боломжтой. Intercepter нь WINDOW_CHANGE хүсэлтийг таслан зогсоодог тул хэрэв хохирогч цонхны хэмжээг өөрчлөхөөр шийдсэн бол бүх зүйлийг шинэ цонхны хэмжээтэй тааруулж зөв зурах болно.

Програм нь алсын сесстэй ажилладаг боловч SFTP-тэй ажиллахгүй. Хэрэв хохирогч эхэлбэл SFTP үйлчлүүлэгч, баталгаажуулалтын өгөгдөл таслагдах боловч дараа нь холболтыг устгаж, дарцаглах болно. Дараа нь хохирогч дахин холбогдохыг оролдох үед манай хуурамч sshd-ээс гадна анхны ssh серверт хандах боломжтой болно.

Халдагчид алсын сервер рүү нэвтэрч, IP хаягаа бүртгэлд үлдээдэг гэдгийг дурдах хэрэгтэй. Шинжээчдийн горимд та хохирогчийн итгэмжлэлийг хүлээн авсны дараа ssh холболтыг таслах сонголтыг сонгож болно. Холболтыг тэмдэглэж, дараагийн оролдлогоор програм нь анхны сервер рүү нэвтрэх боломжийг олгоно.

G.P. Hijack

Intercepter-NG дээр хүн-in-the-middle (MiTM) халдлага хийх нэмэлт боломжууд

Эдгээр функцийг ашиглах товчлуурууд нь мөн хэсэгт байрладаг MiTM сонголтууд(шоо, JDownloader тэмдэг, тариур, бамбай болон бие даасан цацрагийн аюулын тэмдэг):

Traffic Changer (сүлжээний урсгал дахь текст өгөгдлийг өөрчлөх)

Та багцын уртыг өөрчлөхгүйгээр зөвхөн ижил хэмжээтэй өгөгдлийг сольж болно. Хөтөч нь "12345" мөрийг агуулсан site.com/file.txt-г нээнэ гэж бодъё. GET хүсэлтийн хариуд сервер нь дамжуулсан өгөгдлийн уртыг харуулсан HTTP толгойг буцаана - Агуулгын урт: 5. Хэрэв "12345"-г "12356"-аар соливол яах вэ? Хөтөч нь нэмсэн "6"-г хаяад ердөө 5 байт татаж авах бөгөөд хэрэв бид "12345"-ыг "1234"-ээр солих замаар өгөгдлийн хэмжээг багасгавал хөтөч ердөө 4 байт хүлээн авах бөгөөд серверээс дахин 1 байт хүлээх болно. холболт завсарлагаанаар хаагдсан байна. Тийм ч учраас ийм хэмжээний хязгаарлалт хийсэн. Та текст болон хоёртын өгөгдлийг хоёуланг нь өөрчилж болно, хоёртын хэв маягийн синтакс нь C - "\x01\x02\x03"-тэй ижил байна.

Хэрэв HTTP траффикийг орлуулах шаардлагатай бол тохиргооноос "HTTP gzip кодчилолыг идэвхгүй болгох" сонголтыг идэвхжүүлэх хэрэгтэй.

Хуурамч

Хуурамч нь хостуудыг өгөгдсөн IP руу дахин чиглүүлэх боломжийг олгодог. DNS, NBNS, LLMNR протоколуудыг дэмждэг.

DNS-ийн тусламжтайгаар та бүх дэд домайныг дахин чиглүүлэх маск зааж өгч болно. Ихэвчлэн domain.com:IP хосууд байгуулагдах боловч дэд домайныг хуурамчаар үйлдэхгүй. Бүгдийг дахин чиглүүлэхийн тулд домэйн нэрний өмнө * (од) нэмнэ үү: *host.com

Албадан татаж авах болон JS Inject

Хоёр шинэлэг зүйл нь HTTP Injection горимтой холбоотой. Орос хэл дээр Forced Download гэдэг нь "албадан татаж авах" гэж орчуулагдах боломжтой, учир нь энэ нь вэбээр аялах үед зорилтот талд яг тохиолддог зүйл юм. Сайт руу орохдоо хөтчийн тохиргооноос хамааран халдагчийн заасан файлыг татаж авахыг санал болгодог бөгөөд үүнийг бие даан татаж авах боломжтой бөгөөд дараа нь хэрэглэгч үүнийг ажиллуулах эсэхээ сонгоно.

Таны ойлгож байгаагаар та албадан татаж авахдаа дурын контент бүхий .exe файлыг нэмж болох бөгөөд энэ файлын эх сурвалж нь тухайн сайтад байгаа сайт байх болно. одоогоорхэрэглэгч зочилсон. Зорилтот зорилго нь adobe.com-ыг нээх гэж байгааг мэдэж байгаа тул та flashplayer.exe файлыг гаргаж болох бөгөөд энэ файлын эх сурвалжийг adobe.com эсвэл түүний дэд домайнуудын аль нэгээр жагсаах болно.

Нэг удаагийн тарилга хийсний дараа дахин шахахын тулд шахалтыг унтраасан тул та тохирох нүдийг дахин дарах хэрэгтэй.

JS Inject нь хяналтуудын дунд тодорхой байдаггүй, учир нь Үнэндээ энэ бол хамгийн түгээмэл http inject юм, гэхдээ нэг ялгаатай. Нэг файлыг нөгөө файлаар, жишээлбэл, pictures.jpg файлыг өгөгдсөн файлаар солих үед энэ нь яг нэг контентыг нөгөө файлаар солих явдал юм. .js скриптийг солих нь нөөцийн ажиллагааг тасалдуулж болзошгүй тул шинэ хувилбарт js inject нь нэг скриптийг нөгөө скриптээр орлуулахгүй, харин одоо байгаа скрипт дээр нэмж, анхны кодонд нөлөөлөхгүйгээр нэмэлт код нэвтрүүлэх боломжийг нэмж өгдөг. .

FATE горим нь хуурамч сайт ба хуурамч шинэчлэл гэсэн хоёр шинэ функцийг хослуулсан.

Хуурамч сайтын гол зорилго нь SSL болон бусад аюулгүй байдлын механизмуудыг алгасаж аливаа вэб эх сурвалжаас зөвшөөрлийн мэдээллийг авах явдал юм. Энэ нь зөвшөөрлийн хуудсыг клончлох, псевдо вэб сервер дээр байршуулах загвар үүсгэх замаар хийгддэг. Анхдагч байдлаар, таслан зогсоох хэрэгсэл нь accounts.google.com-д зориулсан нэг загварыг агуулдаг, учир нь анхны хуудас нь нэвтрэх, дараа нь нууц үг бүхий талбарыг бөглөхийг шаарддаг. Хоёр талбарыг нэгэн зэрэг идэвхжүүлэхийн тулд энэ загварыг бага зэрэг өөрчилсөн. Довтолгоо хийхээс өмнө та загварыг байршуулах домэйныг зааж өгөх ёстой. Довтолгоо эхэлсний дараа сонгосон домэйн рүү чиглүүлэлт нь зорилтот урсгал руу орох бөгөөд дараа нь таслан зогсоох хэрэгсэл нь шаардлагатай хаягууд руу DNS хууран мэхлэлт хийх болно. Үүний үр дүнд сонгосон зөвшөөрлийн хуудас хөтөч дээр нээгдэнэ.

Функциональ байдал FAke updateTE (хуурамч шинэчлэлтүүд) нь "хохирогч" -ыг суулгасан тухай мессежүүдийн харагдах байдлыг хэлнэ. програм хангамжмөн ачааллыг нэмсэн шинэчлэлтийн файлыг татаж авч байна. Дэмжигдсэн програм хангамжийн жагсаалт маш даруухан байна. Хэрэв та хүсвэл өөрийн загваруудыг нэмж болно, тэдгээрийн бүтцийг бусад\FATE\update-аас харж болно.

ARP Poison (ARP сийлбэр)

Сонгодог хүн дундах дайралтын нэг хэсэг. Энэ халдлага нь хостуудыг сканнердаж эхэлдэг. Хостуудыг илрүүлж, тэдгээрийн заримыг нь зорилтот болгон сонгох үед ARP-ийн хордлого эхэлдэг бөгөөд үүний үр дүнд халдлагад өртсөн хостууд өөрсдийн траффикийг гарц руу биш харин халдагч руу дамжуулж эхэлдэг. Халдагч нь энэ траффикийг судалж (үнэрлэж), бусад заль мэхийг хийж, зорилтот сервер рүү илгээдэг. Зорилтот сервер нь халдагчид хариу үйлдэл үзүүлдэг (хүсэлтийн эх сурвалж), энэ урсгалыг мөн үнэрлэж, өөрчилж, хохирогч руу дамжуулдаг. Үүний үр дүнд хохирогчийн хувьд мэдэгдэхүйц өөрчлөлт гарахгүй - тэр алсын сервертэй мэдээлэл солилцож байгаа мэт.

Intercepter-NG-ийн нэмэлт боломжууд

Эхлэх товчлуурууд нэмэлт функцуудпрограмын цонхны баруун баганын тусдаа хэсэгт байрладаг:

Intercepter-NG одоо өөрийн гэсэн төхөөрөмжтэй болсон сүлжээний сканнер, энэ нь өмнөх хувилбаруудаас анхдагч порт сканнерыг сольсон. Үүний үндсэн функцууд:

1. Нээлттэй портуудыг сканнердаж, дараах протоколуудыг эвристик аргаар илрүүл: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC, RDP.
2. Нээлттэй порт дээр SSL байгаа эсэхийг тодорхойлох, баннерууд болон янз бүрийн вэб толгойнуудыг унших.
3. Хэрэв прокси эсвэл сокс илэрсэн бол гаднаас нь нээлттэй байгаа эсэхийг шалгана уу.
4. VNC серверт нууц үггүй нэвтрэх боломжийг шалгаж, HeartBleed дээр SSL-г шалгана уу. Version.bind-г DNS-ээс уншина уу.
5. ShellShock-д өртөж болзошгүй вэб сервер дээрх скриптүүдийг мэдээллийн сангаас шалгана уу. Өгөгдлийн сангаас 200 OK-той лавлах болон файлуудын жагсаалт, мөн robots.txt-аас лавлах жагсаалтыг шалгана уу.
6. SMB-ээр дамжуулан үйлдлийн системийн хувилбарыг тодорхойлох. Хэрэв танд үл мэдэгдэх хандалт байгаа бол орон нутгийн цаг, ажиллах хугацаа, хуваалцсан нөөцийн жагсаалт болон орон нутгийн хэрэглэгчид. Олдсон хэрэглэгчдэд нууц үгийн автомат хайлт эхэлнэ.
7. Хариу өгөх хугацааг хэмжих замаар SSH хэрэглэгчдийн суурилагдсан жагсаалтаас тодорхойл. Олдсон хэрэглэгчдэд нууц үгийн автомат хайлт эхэлнэ. Хэрэв тооллого үр дүнгээ өгөхгүй бол (бүх хувилбар дээр ажиллахгүй) хайлтыг зөвхөн root-д эхлүүлнэ.
8. HTTP Basic болон Telnet-д зориулсан автомат харгис хүч. Telnet протоколын онцлогийг харгалзан хуурамч эерэг үр дүн гарах боломжтой.

Та дотоод сүлжээ болон интернет дээр аль ч байг сканнердаж болно. Та сканнердах портуудын жагсаалтыг зааж өгч болно: 192.168.1.1:80,443 эсвэл 192.168.1.1:100-200 муж. Та скан хийх хаягийн мужийг зааж өгч болно: 192.168.1.1-192.168.3.255.

Илүү нарийвчлалтай үр дүнд хүрэхийн тулд нэг удаад зөвхөн 3 хостыг сканнердах боломжтой. Эцсийн мөчид SSL сертификатын өгөгдлийг шалгахыг нэмж оруулсан болно, жишээлбэл, Ubiquiti гэсэн үгтэй таарч, 22-р порт нээлттэй байвал автоматаар эхэлдэг. харгис хүч SSHхэрэглэгч ubnt. Админ хэрэглэгчтэй хос Zyxel тоног төхөөрөмжийн хувьд мөн адил. Сканнерийн анхны хувилбарын хувьд хангалттай ажиллагаатай бөгөөд үүнийг дибаг хийсэн.

HeartBleed Exploit

Зорилтот нь HeartBleed-д өртөмтгий эсэхийг шалгадаг. Хэрэв зорилтот зүйл нь эмзэг байвал энэ эмзэг байдлыг ашиглаж, агуулгын зарим хэсгийг хүлээн авдаг RAMалсын хост.

Bruteforce горим

Дараах сүлжээний протоколуудад харгис хүчний довтолгоонууд (харгис хүч, харгис хүч) дэмжигддэг:

• POP3 TLS
• SMTP TLS
• HTTP үндсэн
• HTTP шуудан
• TELNET
• VMware

Та итгэмжлэлийг шалгах хэлхээний тоог тохируулж болно.

Хугацаа дуусахад идэвхтэй хэлхээг нэг газраас дахин эхлүүлж, хайлтын процесс үргэлжилнэ.

Боломжтой Нэг горим, энэ нь шинэ нэвтрэх: нууц үгийн хослол бүрийг зарим протоколын хувьд шинэ холболт үүсгэн шалгах шаардлагатайг харуулж байгаа бөгөөд энэ нь хурдыг нэмэгдүүлэх боломжийг олгодог. Үйлдлийн бүртгэл хадгалагдсан brute.txt.

ARP функцууд

ARP сийлбэр болон ARP сканнераас гадна ARP протоколтой холбоотой өөр хэд хэдэн функцууд байдаг. Тэдгээрийн хоёрыг програмын цонхны баруун баганад тусад нь товчлуур дээр байрлуулсан болно.

• ARP цаг: Хувийн ARP хяналтын үйлчилгээг бий болгосон. Та итгэмжлэгдсэн ("цэвэр") MAC хаягуудын жагсаалтыг бөглөхийн тулд ARP скан хийж эхлэх хэрэгтэй. Хэрэв хэн нэгэн таны arp кэшийг хордуулах гэж оролдвол анхааруулах мессеж гарч ирнэ.
• ARP тор: arp хүснэгтийн оруулгуудыг хууран мэхлэх замаар зорилтот IP хаягийг бусад локал хостуудаас тусгаарладаг.

Intercepter-NG хөөргөх жишээнүүд

Intercepter-NG дээр MiTM-г хэрхэн ажиллуулах вэ

Сонголтоор эхэл сүлжээний адаптер (Сүлжээний адаптер):

дарна уу баруун товшино уухоосон ширээн дээр сонгоод Smart Scan:

Зорилтотуудын жагсаалт гарч ирнэ:

Хэрэгтэй зүйлээ зорилт болгон нэмнэ үү ( Зорилтот болгон нэмнэ үү):

Үнэрлэж эхлэхийн тулд харгалзах дүрс дээр дарна уу:

Таб руу оч MiTM горим(энэ бол нөхөөстэй бөмбөрцөг) ба дүрс дээр дарна уу ARP хор(цацрагийн аюулын тэмдэг):

Таб дотор Нууц үгийн горим(тэмдэглэгээ нь түлхүүрийн оосор), авсан итгэмжлэлүүд гарч ирнэ:

Wi-Fi-тай ажиллах, Ethernet-тэй ажиллах

Wi-Fi эсвэл утастай холболттой ажиллахад ямар ч ялгаа байхгүй, гэхдээ та шилжих хэрэгтэй хүссэн горимдүрс дээр дарж:

pcap файлын офлайн шинжилгээ

Шинжилгээний хугацааг удаашруулж, хурдасгах олон сонголт байдаг.

1. Эхлэхийн тулд, хэрэв та том хэмжээтэй .pcap файлыг унших шаардлагатай бол " гэсэн сонголтыг идэвхгүй болго. Шийдвэрлэх".
2. Хэрэв таны .pcap том файл агуулсан бөгөөд Амилалт идэвхжсэн бол хурд буурч магадгүй. Шийдэл нь сэргээх хамгийн дээд файлын хэмжээг хязгаарлах явдал юм.
3. Хэрэв та ямар нэг зүйлийг дахин бүтээх шаардлагагүй бол тохиргооноос энэ сонголтыг идэвхгүй болго. Хурд нэмэгдэх болно.
4. Хэрэв та зөвхөн тодорхой протокол, жишээ нь ICQ\AIM эсвэл зөвхөн HTTP-д дүн шинжилгээ хийх шаардлагатай бол тохирох шүүлтүүрийг тохируулна уу " pcap шүүлтүүр"аас ТҮҮХИЙ РЕЖ: tcp порт xxx, Хаана хххнь таны протоколын портын дугаар юм.
5. Та шинжилгээнд зориулж нэгээс олон зураг авах боломжтой. IN Нээлттэй харилцах цонххэд хэдэн файлыг сонговол бүгдийг нэг нэгээр нь шинжлэх болно.

Intercepter-NG суурилуулалт

Linux Kali дээр суулгасан

Intercepter-NG-г суулгаж, ажиллуулахын тулд Кали Линуксдараах тушаалуудыг ажиллуулна:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt суулгах libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine/ sudopacket. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt суулгах winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Load Intercepter-NG. 0 ба устгах dll файлууд wpcap.dll болон Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip задлах Intercepter- NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Windows дээр суулгах

Intercepter-NG-г Windows дээр суулгахын тулд холбогдох архив руу орж татаж аваарай (үсэггүй C.E.). Програм нь суулгах шаардлагагүй, зүгээр л архивыг задлаад файлыг ажиллуул .exe.

Android дээр суулгах

Intercepter-NG-г Андройд дээр суулгахын тулд файл руу орж татаж авна уу apk. Програмыг амжилттай ажиллуулахын тулд root эрх шаардлагатай.

Intercepter-NG дэлгэцийн агшин

Intercepter-NG гэж юу вэ

ARP-ийн үйл ажиллагааны мөн чанарыг авч үзье энгийн жишээ. Компьютер А (IP хаяг 10.0.0.1) болон Компьютер В (IP хаяг 10.22.22.2) Ethernet сүлжээгээр холбогдсон. А компьютер В компьютерт өгөгдлийн багц илгээхийг хүсч байна, энэ нь В компьютерийн IP хаягийг мэддэг. Гэхдээ тэдний холбогдсон Ethernet сүлжээ нь IP хаягтай ажиллахгүй. Иймд Ethernet-ээр дамжуулахын тулд А компьютер нь Ethernet сүлжээн дэх В компьютерийн хаягийг (Ethernet хэлээр MAC хаяг) мэдэж байх шаардлагатай. Энэ ажилд ARP протоколыг ашигладаг. Энэ протоколыг ашигласнаар А компьютер нь нэг өргөн нэвтрүүлгийн домэйн дэх бүх компьютерт хаягласан өргөн нэвтрүүлгийн хүсэлтийг илгээдэг. Хүсэлтийн мөн чанар: "10.22.22.2 IP хаягтай компьютер, MAC хаягтай компьютерт MAC хаягаа өгнө үү (жишээлбэл, a0:ea:d1:11:f1:01)." Ethernet сүлжээ нь энэ хүсэлтийг нэг Ethernet сегмент дэх бүх төхөөрөмжид, түүний дотор В компьютерт хүргэдэг. В компьютер нь хүсэлтийн дагуу А компьютерт хариу өгч, MAC хаягаа мэдээлдэг (жишээ нь 00:ea:d1:11:f1:11) Одоо, В компьютерийн MAC хаягийг хүлээн авсан бол А компьютер нь Ethernet сүлжээгээр түүнд ямар ч өгөгдлийг дамжуулах боломжтой.

Мэдээлэл илгээх бүрийн өмнө ARP протоколыг ашиглах шаардлагагүй байхын тулд хүлээн авсан MAC хаягууд болон тэдгээрийн холбогдох IP хаягуудыг хэсэг хугацаанд хүснэгтэд тэмдэглэнэ. Хэрэв та ижил IP хаяг руу өгөгдөл илгээх шаардлагатай бол хүссэн MAC хайх бүрт төхөөрөмжүүдээс санал асуулга хийх шаардлагагүй болно.

Бидний дөнгөж сая харсан шиг ARP нь хүсэлт, хариуг агуулдаг. Хариултаас MAC хаягийг MAC/IP хүснэгтэд бичнэ. Хариултыг хүлээн авах үед түүний жинхэнэ эсэхийг ямар ч байдлаар шалгадаггүй. Тэгээд ч хүсэлт гаргасан эсэхийг ч шалгадаггүй. Тэдгээр. Та нэн даруй зорилтот төхөөрөмж рүү (хүсэлтгүйгээр) ARP хариултыг хуурамч өгөгдөлтэй илгээх боломжтой бөгөөд энэ өгөгдөл нь MAC/IP хүснэгтэд дуусч, өгөгдөл дамжуулахад ашиглагдана. Энэ бол ARP-spoofing халдлагын мөн чанар бөгөөд үүнийг заримдаа ARP etching, ARP cache poisoning гэж нэрлэдэг.

ARP хууран мэхлэх халдлагын тайлбар

Ethernet дотоод сүлжээний M ба N хоёр компьютер (зангилаа) мессеж солилцдог. Нэг сүлжээнд байрлах халдагч X нь эдгээр зангилааны хоорондох мессежийг таслан зогсоохыг хүсч байна. M хостын сүлжээний интерфэйс дээр ARP хуурамч халдлага хийхээс өмнө ARP хүснэгтэд N хостын IP болон MAC хаягууд байдаг. Мөн N хостын сүлжээний интерфейс дээр ARP хүснэгтэд M хостын IP болон MAC хаягууд байдаг. .

ARP залилан мэхлэх халдлагын үед X зангилаа (халдагчид) хоёр ARP хариултыг (хүсэлтгүйгээр) - М зангилаа ба N зангилаа руу илгээдэг. M зангилаа руу ARP хариу нь N-ийн IP хаяг, X-ийн MAC хаягийг агуулна. N зангилааны ARP хариулт нь M IP хаяг ба MAC X хаягийг агуулна.

M болон N компьютерууд нь аяндаа ARP-г дэмждэг тул ARP хариу хүлээн авсны дараа ARP хүснэгтүүдээ өөрчилдөг ба одоо ARP хүснэгт M нь IP N хаягтай холбогдсон MAC хаягийг, ARP хүснэгт N нь MAC X хаягийг агуулж байна. M IP хаягтай холбогдсон.

Ийнхүү ARP хууран мэхлэх халдлага дуусч, одоо M ба N хоорондох бүх пакетууд (фрэймүүд) X-ээр дамждаг. Жишээлбэл, хэрэв M нь N компьютерт пакет илгээхийг хүсвэл M нь ARP хүснэгтээ хайж, оруулгыг олно. хостын N IP хаягтай бол тэндээс MAC хаягийг сонгож (мөн X зангилааны MAC хаяг аль хэдийн байгаа) пакетийг дамжуулдаг. Пакет нь X интерфэйс дээр ирж, дүн шинжилгээ хийж, N зангилаа руу дамжуулна.

Үзсэн: 2890

Танилцуулга

Би Intercepter-NG 0.9.10-ийн шинэ хувилбарыг танилцуулахыг хүсч байна, миний бодлоор
багажийн хамрах хүрээг ихээхэн өргөжүүлдэг. Энэхүү тоймыг хуурай жагсаалт хэлбэрээр танилцуулахгүй.
инноваци, харин олон тооны техникийн дэлгэрэнгүй мэдээлэл, хакердах түүхийн элементүүдийн хамт шинэ халдлагын векторуудын тайлбар юм. Эхэлцгээе...

Сүлжээ сканнердах

Ердийнх шигээ олон залруулга, бага зэргийн сайжруулалт хийсэн бөгөөд жагсаах нь утгагүй юм.
Энэ хэрэгслийг байнга ашигладаг хэн бүхэн үндсэн горимуудын нэг нь сүлжээний сканнерийн горим, ялангуяа Smart Scan функц гэдгийг мэддэг. IP болон MAC хаягууд, сүлжээний карт үйлдвэрлэгч болон үйлдлийн системийн талаарх аль хэдийн танил болсон мэдээлэлд компьютерийн нэрийн дэлгэц нэмэгдсэн.
Үүнтэй ижил хугацаанд та одоо Netbios нэр эсвэл iOS төхөөрөмжийн нэрийг нэмж мэдэх боломжтой.
Сүүлчийн асуудлыг шийдвэрлэхийн тулд Apple-ийн Bonjour протоколын үндсэн дээр ажилладаг MDNS протоколыг ашигладаг бөгөөд хүлээн авсан бүх нэрсийг кэш файлд хадгалдаг бөгөөд хэрэв дараагийн сканнерын явцад ямар нэг шалтгаанаар хостын нэрийн талаарх мэдээллийг динамикаар олж аваагүй бол. Үүнийг кэшээс авах болно. Энд бид шинжээчийн тохиргоонд идэвхжсэн Auto ARP Poison функцийн дүр төрхийг дурдаж болно, энэ нь зөвхөн 1 хостыг зорилтот жагсаалтад нэмэхэд хангалттай Intercepter нь сүлжээг өөрөө тодорхой интервалаар сканнердаж, автоматаар шинэ зорилтуудыг нэмнэ.

Bruteforce горим

Энэ горим нь TLS дэмжлэгийг нэмдэг SMTP протоколуудболон POP3, түүнчлэн харгис хүчний TELNET зөвшөөрөл.
Одоо завсарлага гарах үед идэвхтэй хэлхээг нэг газраас дахин эхлүүлж, хайлтын процесс үргэлжилнэ.
Single Mode гарч ирсэн бөгөөд энэ нь шинэ хос LP бүрийг шинэ холболттойгоор шалгаж байх ёстойг харуулж байгаа бөгөөд зарим протоколын хувьд энэ нь хурдыг нэмэгдүүлэх боломжийг олгодог. Үйлдлийн бүртгэлийг brute.txt файлд хадгалсан.

Замын хөдөлгөөний өөрчлөлт

Замын хөдөлгөөнийг орлуулах функцийг хэрэгжүүлэх хүсэлт нэг бус удаа гарч байсан бөгөөд тэд анзаарагдахгүй байсан ч та цаг хугацаанаас нь өмнө баярлах ёсгүй.
Эсрэг асуултад: "Яагаад танд энэ боломж хэрэгтэй байна вэ?" Зарим хэрэглэгчид хариулахад хэцүү байсан эсвэл вэб траффик дээр үг солих нь хошигнол гэж хэлсэн. Үр дүн нь яагаад үргэлж хүлээлтэд нийцэхгүй байгааг шоглогч бүрт тайлбарлахгүйн тулд багцын уртыг өөрчлөхгүйгээр зөвхөн ижил хэмжээтэй өгөгдлийг сольж болно. Хязгаарлалт нь техникийн хэрэгжилтийн асуудалтай огт холбоогүй бөгөөд холбогдох TCP талбаруудыг дахин тооцоолох замаар ethernet хүрээг хуваахад ямар ч бэрхшээл гарахгүй. Энэ бүхэн нь програмын протоколуудтай холбоотой байдаг. HTTP-тэй жишээг харцгаая.

Хөтөч нь "12345" мөрийг агуулсан site.com/file.txt-г нээнэ гэж бодъё. GET хүсэлтийн хариуд сервер нь дамжуулсан өгөгдлийн уртыг харуулсан HTTP толгойг буцаана - Агуулгын урт: 5. Хэрэв "12345"-г "12356"-аар соливол яах вэ? Хөтөч нь нэмсэн "6"-г хаяад ердөө 5 байт татаж авах бөгөөд хэрэв бид "12345"-ыг "1234"-ээр солих замаар өгөгдлийн хэмжээг багасгавал хөтөч ердөө 4 байт хүлээн авах бөгөөд серверээс дахин 1 байт хүлээх болно. холболт завсарлагаанаар хаагдсан байна. Тийм ч учраас ийм хэмжээний хязгаарлалт хийсэн. Та текст болон хоёртын өгөгдлийг хоёуланг нь өөрчилж болно, хоёртын хэв маягийн синтакс нь C - "x01x02x03"-тэй ижил байна.
Хэрэв HTTP траффикийг орлуулах шаардлагатай бол тохиргооноос "HTTP gzip кодчилолыг идэвхгүй болгох" сонголтыг идэвхжүүлэх хэрэгтэй.

HSTS Хуурамч

Амласан ёсоороо гарч ирлээ HSTS тойрч гарах SSL Strip хийх үед. Тойрох арга нь харьцангуй энгийн боловч хэрэгжүүлэхэд тодорхой бэрхшээл тулгардаг тул та онцгой үр дүнг хүлээх ёсгүй. Chrome хөтөч ашиглан Yandex Mail дээрх жишээг авч үзье. Хэрэв та руу очвол баруун дээд буланд SSL Strip хялбархан зохицуулж болох "Мэйлд нэвтрэх" гэсэн https холбоос байх болно. Дараа нь зөвшөөрлийн маягт нээгдэж, өгөгдлийг POST арга руу шилжүүлэх болно. Https-ыг устгасны дараа ч зөвшөөрөл нь SSL-ээр хийгдэх болно, учир нь host passport.yandex.ru нь хромын урьдчилан ачаалагдсан жагсаалтад багтсан болно. Мэдээллийг таслан зогсоохын тулд бид passport.yandex.ru хост нэрийг өөр зүйлээр солих шаардлагатай бөгөөд ингэснээр хөтөч нь энэ нөөцийг аюулгүй холболтоор шууд үзэх ёстойг илрүүлэхгүй байх ёстой. Жишээлбэл, та passport.yandex.ru-г paszport.yandex.ru-ээр сольж болно, энэ тохиолдолд өгөгдлийг өөрчлөгдсөн домэйн нэр рүү тодорхой текстээр илгээх болно. Гэхдээ учир нь Ийм домэйн - paszport.yandex.ru байхгүй бол та нэмэлт DNS хууран мэхлэх хэрэгтэй, i.e. paszport.yandex.ru-г шийдвэрлэхдээ үйлчлүүлэгч хариуд нь passport.yandex.ru сайтаас анхны IP хаягийг хүлээн авах ёстой. Энэ процедур нь автоматжуулсан бөгөөд халдлага хийх үед хэрэглэгчийн нэмэлт оролцоо шаарддаггүй. Шаардлагатай цорын ганц зүйл бол эхлээд mischsts.txt дээр орлуулах жагсаалтыг үүсгэх явдал юм. Анхдагч байдлаар, yandex, gmail, facebook, yahoo-д зориулсан хэд хэдэн оруулгууд байдаг. Хэрэв хэрэглэгч хөтөч дээрээ facebook.com руу орвол энэ тойрч гарах арга нь сессийг таслан зогсоох эсвэл зөвшөөрлийг зөвшөөрөхгүй гэдгийг ойлгох нь чухал. хөтөч тэр даруй сайтын аюулгүй хувилбарыг нээх болно. Энэ тохиолдолд facebook.com руу орох линкийг өөр эх сурвалжаас авсан тохиолдолд л халдлага хийх боломжтой. Халдлагыг хэрэгжүүлэхэд тулгарч буй гол бэрхшээлүүд нь сайтууд дэд домайнуудтай хэрхэн ажилладаг талаар урьдчилан таамаглах боломжгүй логик, аливаа оролдлогыг үгүйсгэх вэб кодын онцлог шинж чанарууд юм.
HSTS-ийг тойрч гарах. Ийм учраас та жагсаалтад ямар ч сайт нэмж болохгүй, тэр ч байтугай Intercepter-NG-д байдаг домэйнууд ч гэсэн өөрийн гэсэн шинж чанартай бөгөөд үргэлж зөв ажилладаггүй. Би нөөц болгонд таяг хийхийг үнэхээр хүсэхгүй байна, магадгүй ирээдүйд зарим нэг сайжруулалт хийгдэх болно, гэхдээ тэдний хэлснээр одоохондоо.
Одоо хэрэгжиж байгаа өөр нэг чухал зүйл бол DNS хуурамчаар үйлдэхийн тулд DNS сервер дотоод сүлжээнд байхгүй байх шаардлагатай бөгөөд ингэснээр гарц руу DNS хүсэлтийг харж, шаардлагатай бол хариу өгөх боломжтой болно.

Шинэ хувилбар нь SSL Strip-ийн ажлыг ихээхэн сайжруулсан гэдгийг тэмдэглэх нь зүйтэй.

Албадан татаж авах болон JS Inject

Хоёр шинэлэг зүйл нь HTTP Injection горимтой холбоотой. Орос хэл дээр Forced Download гэдэг нь "албадан татаж авах" гэж орчуулагдах боломжтой, учир нь энэ нь вэбээр аялах үед зорилтот талд яг тохиолддог зүйл юм. Сайт руу орохдоо хөтчийн тохиргооноос хамааран халдагчийн заасан файлыг татаж авахыг санал болгодог бөгөөд үүнийг бие даан татаж авах боломжтой бөгөөд дараа нь хэрэглэгч үүнийг ажиллуулах эсэхээ сонгоно.
Таны ойлгож байгаагаар та албадан татаж авахдаа дурын контент бүхий .exe файлыг нэмж болох бөгөөд энэ файлын эх сурвалж нь тухайн хэрэглэгчийн зочилж буй сайт байх болно. Зорилтот зорилго нь adobe.com-ыг нээх гэж байгааг мэдэж байгаа тул та flashplayer.exe файлыг гаргаж болох бөгөөд энэ файлын эх сурвалжийг adobe.com эсвэл түүний дэд домайнуудын аль нэгээр жагсаах болно.
Нэг удаагийн тарилга хийсний дараа дахин шахахын тулд шахалтыг унтраасан тул та тохирох нүдийг дахин дарах хэрэгтэй.

JS Inject нь хяналтуудын дунд тодорхой байдаггүй, учир нь Үнэндээ энэ бол хамгийн түгээмэл http inject юм, гэхдээ нэг ялгаатай. Нэг файлыг нөгөө файлаар, жишээлбэл, pictures.jpg файлыг өгөгдсөн файлаар солих үед энэ нь яг нэг контентыг нөгөө файлаар солих явдал юм. .js скриптийг солих нь нөөцийн ажиллагааг тасалдуулж болзошгүй тул шинэ хувилбарт js inject нь нэг скриптийг нөгөө скриптээр орлуулахгүй, харин одоо байгаа скрипт дээр нэмж, анхны кодонд нөлөөлөхгүйгээр нэмэлт код нэвтрүүлэх боломжийг нэмж өгдөг. .

SSL MiTM

Бид хамгийн сонирхолтой шинэ бүтээгдэхүүнүүд рүү аажмаар ойртож байна. Шинэ хувилбар нь SSL MiTM-ийн кодыг бүрэн дахин бичсэн. Одоо хурдан бөгөөд тогтвортой ажиллаж байна. Сертификат үүсгэх алгоритм нь мөн өөрчилсөн бөгөөд тэдгээрт нэмэлт DNS бичлэгүүд нэмэгдсэн бөгөөд бүх гэрчилгээг нэг түлхүүрээр (micserver) гарын үсэг зурсан; Энэ нь өөрөө гарын үсэг зурсан гэрчилгээг зорилтот компьютер дээрх итгэмжлэгдсэн хүмүүсийн жагсаалтад нэмснээр ямар ч эх сурвалжаас (SSL Pinning байхгүй) SSL урсгалыг сонсох боломжтой болно гэсэн үг юм. Cookie Killer функц нь одоо SSL холболтуудад ажилладаг. Хар жагсаалт (miscssl_bl.txt) болон цагаан жагсаалт (miscssl_wl.txt) гарч ирэв. Тэд SSL MiTM-г ашиглах эсвэл ашиглах ёсгүй IP хаяг эсвэл домэйныг хасч, эсвэл эсрэгээр нь хатуу зааж өгч болно. Нэмэлт ssl портыг зааж өгөхдөө дахин бичих төрлийг зааж өгөх шаардлагагүй, портын дугаарыг зааж өгөхөд хангалттай. Бүх урсгалыг ssl_log.txt руу бичдэг.

Бүлгийн бодлогыг хулгайлах

Intercepter-NG-ийн өөр нэг алуурчин онцлог. Хэдийгээр энэ техникийг би нээгээгүй ч энэ халдлагын анхны олон нийтэд, бүрэн ажиллагаатай хэрэгжсэн хэрэг юм. Нарийвчилсан тайлбарболомжтой ба .

Энэ эмзэг байдлын ачаар та нэг цаг хагасын дараа та домэйн дээрх дурын компьютерт (домэйн хянагчаас бусад) хандах боломжтой болсон тул SMB дахин Microsoft-ыг сүйрүүлэв. Ямар учиртай юм бэ?

0-ээс 30 минут хүртэлх 90+ санамсаргүй тоо тутамд нэг домэйн гишүүн DC-ээс бүлгийн бодлогыг хүсдэг. Энэ нь DCSYSVOLdomain.namePoliciesUUIDgpt.ini сүлжээний хаягийг нээснээр SMB-ээр дамждаг.

Агуулга энэ файлдараах:

Хувилбар=12345

Энэ тоо нь одоогийн харьцангуй хувилбар юм бүлгийн бодлого. Хэрэв хамт бол хамгийн сүүлийн үеийн шинэчлэлхувилбар өөрчлөгдөөгүй бол бүлгийн бодлогыг авах үйл явц зогсох боловч хэрэв хувилбар өөр бол тэдгээрийг шинэчлэх шаардлагатай. Энэ үе шатанд үйлчлүүлэгч домэйноос идэвхтэй CSE (үйлчлүүлэгч талын өргөтгөлүүд) хүсэлт гаргадаг бөгөөд үүнд төрөл бүрийн нэвтрэх скриптүүд, хуваарь гаргагчийн даалгавар гэх мэт орно. Мэдээжийн хэрэг, халдагчид дунд нь зогсож байгаа нь хянагчийн үүсгэсэн даалгаврын аль нэгийг файл хэлбэрээр орлуулж болно. Энэ тохиолдолд үйл ажиллагаа нь маш энгийн байх болно, гэхдээ эдгээр бүх CSE нь анхдагчаар идэвхгүй болсон бөгөөд хийж болох цорын ганц зүйл бол бүртгэлийг өөрчлөх явдал юм, учир нь бүлгийн бодлогыг шинэчлэх үед үйлчлүүлэгч өөр GptTmpl.inf файлыг хүсдэг. та оруулгыг нэмэх эсвэл устгах боломжтой. Хоёр нийтлэлийн зохиогчид кодын гүйцэтгэлийг харуулахын тулд сайн мэддэг AppInit_Dll аргыг ашиглахаар шийджээ. Бид сүлжээний замаас dll файлаа ачаалахын тулд шаардлагатай бүртгэлийн түлхүүрийг тохируулсан бөгөөд үүний дараа системд шинээр үүсгэсэн процесс нь дурын кодыг гүйцэтгэсэн. AppInit_Dll нь олон жилийн турш анхдагчаар идэвхгүй болсон тул энэ аргыг зөвхөн үзэл баримтлалын нотолгоо болгон ашиглахад тохиромжтой. Үүнтэй холбогдуулан Run товчлуур дээр автоматаар ажиллуулахын нэгэн адил дахин ачаалахыг хүлээхгүйгээр кодыг алсаас гүйцэтгэх өөр арга замыг хайж олох зорилт тавьсан.

Хүссэн зорилгодоо ямар нэгэн байдлаар хүрэхийн тулд олон оролдлого хийсэн боловч нэгийг нь болтол ямар ч үр дүнд хүрсэнгүй сайн хүн(thx man) миний өмнө нь юу ч мэддэггүй байсан тийм ч сонирхолтой бүртгэлийн түлхүүрийг санал болгоогүй.

Та ямар ч exe файлын түлхүүрт дибаглагч нэмж болно. Жишээлбэл, calc.exe файлыг c:pathdebuger.exe-ээр нээх ёстой бөгөөд тооцоолуур ажиллаж эхэлмэгц дибаглагч эхлээд нээгдэнэ. тушаалын мөрЭнэ нь тооцоолол хийх зам байх болно. Энэ нь бараг л бэлэн шийдэл мэт санагдсан, учир нь тухайн үед хэрэглэгчийн оролцоо зайлшгүй байх хязгаарлалтад сэтгэл хангалуун байсан ч дахин ачаалахгүйгээр хандалт авах явцад, өөрөөр хэлбэл тооцоолуурын оронд та IE эсвэл Chrome эсвэл бусад програм руу залгах замаар кодыг гүйцэтгэх боломжтой байсан ч гарч ирсэн. шинэ асуудал. Хэрэв халдлагад өртсөн хэрэглэгч захиргааны эрхгүй байсан бол бүрхүүлийг хүлээн авсны дараа ч өмнө нь бүртгэлд нэмж оруулсан дибаглагчийг устгах арга байхгүй байсан бөгөөд энэ нь халдлагыг зогсоосны дараа эсвэл дахин ачаалсны дараа ашигласан програм ажиллахаа больсон гэсэн үг юм. хуурамч сүлжээний хаяг debuger.exe байхгүй болсон тул.
Зөвхөн бүрхүүлд хандахаас гадна үргэлж администраторын эрхтэй байх арга замыг хайж олох шаардлагатай байв. Дараачийн бүх бэрхшээлийг орхиж, би үр дүнг тайлбарлах болно. Бүлгийн бодлогуудыг хүлээн авсны дараа систем нь үүнийг ашиглах ёстой, svchost дуудаж, SYSTEM эрх бүхий шинэ taskhost.exe процессыг үүсгэдэг. taskhost.exe-д дибаг хийснээр бид хоёр шувууг нэг чулуугаар устгасан - бид СИСТЕМ-ийн эрхтэй бүрхүүлийг хүлээн аваад зогсохгүй, хэрэглэгчийн ямар ч гарын авлагын оролцоогүйгээр шууд хүлээн авсан. Довтолгоо нь бүрэн автоматжуулсан тул та нэг дор нэг бүлэг зорилтот сонгож, нэг цаг хагасаас хоёр цагийн дотор хамгийн их эрх бүхий бүхэл бүтэн бүрхүүлийн сессийг хүлээн авах боломжтой. Үүнийг хийхийн тулд та домэйны гишүүн байх шаардлагагүй. Шаардлагатай цорын ганц зүйл бол Сүлжээний хандалтыг идэвхжүүлэх явдал юм: Хүн бүр зөвшөөрлийг нэрээ нууцалсан хэрэглэгчид ашиглахыг зөвшөөрнө үү. Туршилт хийхдээ нэг цаг хагас хүлээхгүйн тулд консолоос gpupdate-г ажиллуулаарай. 2008R22012R2 сервер бүхий домэйн дээр засварласан Windows 78.1 дээр туршиж үзсэн.

Хамгаалалтын арга хэмжээ юу вэ? Майкрософт MS15-011-д зориулсан засварыг гаргасан бөгөөд энэ нь UNC хатууруулсан хандалт гэж нэрлэгддэг програмыг нэвтрүүлсэн. гарын авлагын тохиргоо. Мэдээллийн товхимолд нэгэн сонирхолтой өгүүлбэр байдаг:

"Бүртгэл нь системд хэрэглэгчийн эрх багатай байхаар тохируулагдсан хэрэглэгчид захиргааны хэрэглэгчийн эрхээр ажилладаг хэрэглэгчдээс бага өртөх магадлалтай."

Аль хэдийн тодорхой болсон тул аюул нь ямар ч хэрэглэгчдэд адилхан өндөр байдаг.

GP Hijacking-ийн бүх боломжуудыг үл харгалзан энэ хувилбарт өөр нэг шинэлэг зүйл онцгой анхаарал хандуулах ёстой юм шиг санагдаж байна ...

Амттан

Бидний төгсгөлд хэлэлцэх зүйлийг шинэ функц гэж нэрлэж болохгүй. Харин энэ нь хэзээ нээгддэг халдлагын вектор юм хуваалцах Intercepter-NG-д аль хэдийн байгаа хэд хэдэн шийдлүүд.

Энэ тохиолдолд онцлон анхаарч байна утасгүй сүлжээнүүдТэгээд хөдөлгөөнт төхөөрөмжүүд, ялангуяа iOS - iPhone болон iPad дээр ажиллаж байна. Эдгээр төхөөрөмжүүдийн үндсэн хор нь бараг юу ч өгдөггүй гэдгийг хүн бүр мэддэг. Хөтөч дээрх нээлттэй сайтуудын күүкиг саатуулах нь магадгүй таны найдаж болох цорын ганц зүйл юм, учир нь... Ихэнх тохиолдолд хэрэглэгч сервертэй SSL-ээр холбогддог янз бүрийн үйлчилгээний хувийн програмуудаар ажилладаг. Та SSL MiTM-г хэрэгжүүлэх гэж оролдсон ч гэсэн ямар ч програм ажиллахгүй, итгэмжгүй гэрчилгээтэй ажиллахаа болино. Тиймээс утас, таблетууд нь сүлжээний хөндлөнгийн оролцооноос маш сайн хамгаалагдсан гэж үздэг.

Гэхдээ дараах нөхцөл байдлыг төсөөлөөд үз дээ, дундаж хэрэглэгч сууж байна Instagram программөн тэжээлээр дамжуулан хардаг.
Гэнэт програм ажиллахаа больж, холболт байхгүй байна гэж гомдоллож, хэрэглэгч хөтөч дээрээ instagram.com сайтыг нээхэд "Instagram.com дээр үргэлжлүүлэн ажиллахын тулд суулгана уу" гэсэн бичвэр гарч ирнэ. шинэ гэрчилгээАюулгүй байдал" гэж бичээд мессежийг хаасны дараа дэлгэцэн дээр шинэ гэрчилгээ суулгах хүсэлт гарч ирнэ. Цаашдын хөгжилҮйл явдал нь мэдээж хэрэглэгчээс шалтгаална, гэхдээ тэр санал болгож буй гэрчилгээг суулгасан хэвээр байх магадлал нэлээд өндөр байна, учир нь нөхцөл байдал нэлээд үндэслэлтэй байна: програм ажиллахаа больсон, сайт руу очсон, шаардлагатай шинэчлэлтийн талаарх анхааруулгыг харсан, шинэчлэгдсэн - Хэдийгээр халдагч таны гэрчилгээг бүрдүүлсэн бөгөөд одоо бүх SSL траффикийг уншиж байгаа ч бүх зүйл амжилттай болсон. Forced Download, JS Inject болон тогтвортой SSL MiTM-ийн хэрэгжилт нь үүнтэй төстэй хувилбарыг богино хугацаанд хэрэгжүүлэх боломжийг танд олгоно.

1. .js inject alert("%домэйн%-д шинэ сертификат суулгана уу.");
%domain% загвар нь тарилга хийсэн сайтын нэрээр дүүрнэ.

2. miscserver.crt-г хүчээр татаж авах - эх гэрчилгээ Intercepter-NG-д.

3. SSL MiTM (түүнчлэн тарилгын ssl зурвас) идэвхжүүлнэ.

4. Зорилтот төхөөрөмж рүү халдсаны дараа SSL холболтууд ажиллахаа больж, хөтөч дээр гэрчилгээ бүхий анхааруулга гарах болно.

Байгалийн асуулт гарч ирнэ: аль хэдийн тогтсон сессийг идэвхгүй таслахаас өөр SSL траффикийг яах вэ. Күүки алуурчин аврах ажилд ирдэг бөгөөд энэ нь жишээлбэл, Facebook програм дээр зөв ажилладаг.
iOS нь мөн өөрийн гэсэн ариун дагалдагч iCloud-тай боловч күүкийг дахин тохируулах нь сессийг дахин тохируулахад тус болохгүй. Үүнийг iCloud, мөн Instagram, VK-д зориулж тусгайлан нэмсэн iOS функцЗаасан програмуудын сессийг дахин тохируулж, дахин зөвшөөрлийг таслан зогсоох боломжийг олгодог Killer. Энэ заль мэхийг AppStore ашиглан хийх боломжгүй, учир нь... SSL Pinning нь тэнд ашиглагдаж байгаа бололтой. Энэ векторыг iOS 56 болон 8.4 дээр туршиж үзсэн.

Төлөвлөгөөнд LUA ашиглан эсвэл DLL залгаас ашиглан бие даан боловсруулагч үүсгэх чадварыг нэмэхээр төлөвлөж байсан боловч хэрэглэгчдийн хариу үйлдэлээс харахад хэн ч жинхэнэ сонирхолгүй байна. Шинэ хувилбарЭнэ нь ирэх жил байх магадлалтай, магадгүй Android-д зориулсан Intercepter-NG-ийн функциональ шинэчлэл намар гарах болно. Асуулт, санал хүсэлт, онцлог шинж чанаруудын хүсэлтийг үргэлж хүлээж авах болно. Ингээд л болоо.

Шинэ функцүүдийн үзүүлбэрийг видеонд үзүүлэв.

Төслийн холбоо барих хаягууд.