Interceptor ng nu funcționează. Sniffer pentru Windows Intercepter-NG (instrucțiuni de utilizare)

Programul multifuncțional vă permite să identificați toate dispozitivele din retea publica, determinați adresele IP și MAC ale dispozitivelor, interceptați traficul și înlocuiți fișierele descărcate. Un utilizator experimentat nu va costa nimic să citească corespondența de e-mail a altcuiva și să se conecteze la contul său. retea sociala folosind acest utilitar.

Caracteristică

După cum sa menționat mai sus, Intercepter-NG este un program pentru, s-ar putea spune, interacțiunea neautorizată cu alte dispozitive. În câteva clicuri puteți determina adresa IP și adresa Mac a dispozitivului, puteți intercepta traficul și Cookie-uri, citiți corespondența online a altcuiva sau conectați-vă la contul altcuiva pe o rețea de socializare pentru a vă face faptele „murdare”.

Utilizatorii experimentați se asigură că aplicația funcționează și când sunt conectate la un singur punct Acces la Wi-Fi poți intercepta traficul altor persoane.

Particularități

În primul rând, trebuie să aveți cunoștințe minime. Aplicația nu conține instrucțiuni, cărți de referință sau moduri de antrenament. Informațiile relevante vor trebui căutate pe forumurile tematice.

În al doilea rând, pentru ca utilitarul să funcționeze, trebuie să obțineți drepturi de superutilizator. Ținând cont de riscurile pe care le implică o astfel de decizie, este important să cântărim argumentele pro și contra. Și dacă decideți să obțineți drepturi de root, asigurați-vă că descărcați și instalați utilitarul de gestionare a drepturilor de acces, cu ajutorul căruia puteți controla accesul aplicației la drepturile super-utilizatorului în timp real.

Intercepter-NG vă va permite să determinați adresa MAC și adresa IP a oricărui utilizator conectat la o rețea publică. De asemenea, folosind programul puteți intercepta cookie-uri, de ieșire și trafic de intrareîn scopuri ilegale.

Caracteristici

Intercepter-NG este o aplicație multifuncțională care, în mâinile potrivite, se transformă într-un instrument pentru efectuarea de tranzacții ilegale. În primul rând, poate fi folosit pentru a identifica toate dispozitivele conectate la o rețea publică. Datele includ nu numai adresa IP, ci și adresa MAC unică a dispozitivului.

În al doilea rând, aplicația vă permite să interceptați traficul bidirecțional al utilizatorului selectat, vizualizarea, utilizarea și chiar înlocuirea fișierelor. Din moment ce programul nu instrucțiuni detaliate pentru a utiliza funcționalitatea, trebuie să aveți cunoștințe minime. În acest caz, nu numai că veți afla adresa IP sau MAC, dar veți putea și intercepta cu ușurință cookie-urile pentru a citi corespondența altor persoane și chiar a efectua acțiuni în numele utilizatorului.

Particularități

• Acces rădăcină. Dispozitivul trebuie să fie rootat pentru a utiliza toate funcționalitățile aplicației.
• Posibilitatea de a afla adresa IP și MAC a oricărui utilizator care folosește același punct de acces ca tine.
• Abilitatea de a intercepta cookie-uri pentru a citi corespondența, acțiunile cu conturile.
• Abilitatea de a intercepta traficul de ieșire și de intrare, înlocuirea fișierelor.

O interfață minimalistă și o funcționare stabilă sunt încă câteva caracteristici ale aplicației care o fac populară în cercurile înguste.

Descrierea lui Intercepter-NG

Intercepter-NG este un set multifuncțional de instrumente de rețea pentru specialiștii IT diverse tipuri. Scopul principal este de a recupera date interesante din fluxul de rețea și de a efectua diferite tipuri de atacuri de tip man-in-the-middle (MiTM). În plus, programul vă permite să detectați falsificarea ARP (poate fi folosit pentru a detecta atacurile man-in-the-middle), să identificați și să exploateți anumite tipuri de vulnerabilități și acreditările de conectare în forță brută servicii de rețea. Programul poate funcționa atât cu un flux de trafic live, cât și să analizeze fișierele cu trafic capturat pentru a detecta fișiere și acreditări.

Programul oferă următoarele funcții:

• Sniffing parole/hash-uri de următoarele tipuri: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE, NTLM , RAZA KRB5
• Sniffing mesaje de chat: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
• Reconstituiți fișierele din: HTTP, FTP, IMAP, POP3, SMTP, SMB
• Diverse tipuri de scanare, cum ar fi modul Promiscuous, ARP, DHCP, Gateway, Port și Scanare inteligentă
• Captură de pachete și analiza ulterioară (offline) / modul RAW (raw).
• Captură de la distanță de trafic prin daemon RPCAP și PCAP Over IP
• NAT, șosete, DHCP
• ARP, DNS prin ICMP, DHCP, SSL, SSLSTRIP, WPAD, SMB releu, SSH MiTM
• SMB Hijack (interceptare), releu LDAP, injectare MySQL LOAD DATA
• ARP Watch, ARP Cage, HTTP injection, Heartbleed exploit, Kerberos Downgrade, Cookie Killer
• Falsificarea DNS, NBNS, LLMNR
• Forța brută a diferitelor servicii de rețea

Versiunea principală rulează pe Windows, disponibilă versiunea consolei pentru Linux și o versiune pentru Android.

Licență: „ca atare”

Moduri Intercepter-NG

Intercepter-NG are șapte moduri principale, care corespund numărului de file de program și numărului de butoane principale:

Acestea sunt modurile:

• Mesageri
• Înviere
• Parole
• Scanări
• RAW (raw)

Pune pe primul loc Modul Messenger(sigla ICQ). Acest lucru s-a întâmplat din motive istorice - Intercepter-NG a fost creat inițial ca un program pentru interceptarea mesajelor ICQ și a altor mesagerie instant.

Modul de înviere(sigla de pe buton este Phoenix) înseamnă recuperarea fișierelor dintr-un flux de rețea. Acestea pot fi fișiere de imagini vizualizate pe site-uri web, precum și fișiere de arhive transferate, documente și orice altele.

La trecerea la Modul parolă(al treilea buton - breloc) veți vedea acreditările capturate din fluxul de rețea. Sunt afișate adresele site-ului, datele de conectare și parolele introduse.

Când pornește programul, se deschide Modul de scanare(buton din mijloc - radar). Acesta este modul inițial pentru lansarea atacurilor: scanarea, selectarea țintelor și setarea altor parametri de rețea au loc în această filă.

Tab MiTM(pachet de cabluri de corecție) conține câmpuri pentru introducerea setărilor țintă, dintre care multe sunt completate automat în timpul scanării în fila Scanare. Există, de asemenea, butoane pentru a lansa diverse atacuri MiTM.

Tab DHCP conține unele setări de rețea și server DHCP.

Modul RAW (raw) afișează informații brute despre datele transmise într-un flux de rețea. Informațiile sunt prezentate într-o formă similară cu .

Sfaturi pentru utilizarea Intercepter-NG și rezolvarea problemelor:

• Intercepter-NG necesită WinPcap pentru a funcționa, dar nu trebuie instalat separat, deoarece Intercepter vine cu o versiune portabilă a WinPcap.
• Dacă nu vezi adaptorul tău în lista de adaptoare, înseamnă că WinPcap nu acceptă cardul tău.
• Dacă nimic nu funcționează cu placa WiFi, chiar și cu gravarea ARP, atunci utilizați pictograma NIC, care se află în partea stângă a listei de adaptoare, pentru a trece la modul WiFi. De asemenea, asigurați-vă că IP-ul Stealth are acces la Internet.
• În unele situații rare, serviciul BFE (Motor de filtrare de bază) poate bloca porturile locale de interceptare. Acest lucru se manifestă astfel: ARP funcționează, dar alte funcții MiTM nu funcționează (pe Windows 7 și mai sus). Programele antivirus precum Avast le pot bloca, de asemenea, chiar dacă protecția rețelei este dezactivată în panoul de control. Un alt motiv pentru acest comportament poate fi funcționarea simultană a conexiunii și a serviciului WiFi Conexiune la Internet Partajarea.
• Intercepter acceptă încapsularea 802.11, astfel încât să puteți utiliza pcap dump din programe și . De asemenea, sunt acceptate PPPoE, GRE(PP2P) și anteturi suplimentare 802.11. Acest lucru nu înseamnă că Intercepter poate analiza datele criptate, înseamnă că Intercepter este capabil să scoată antetele ethernet\ip din pachetele de acest tip și să le analizeze.
• Din cauza limitărilor de protocol, este posibil ca sursa și destinația UIN\MAIL\... să nu fie afișate în fila mesajului de chat.
• Pentru a copia datele din tabelul de parole, faceți clic pe linie și apăsați ctrl+c.
• Pentru a ascunde fereastra programului, utilizați comanda rapidă de la tastatură Ctrl+Alt+S. Faceți clic din nou pentru a face fereastra să reapară.
• Intercepter poate rula chiar și pe win9x (98 și 95!), dar trebuie să instalați WinPcap 3.1 sau WinPcap 4.0beta2. Noile versiuni WinPcap nu acceptă win9x.
• Modul consolă pentru analiză offline:

• Pentru a activa mirosirea automată, trebuie să deschideți setări.cfg si editeaza " autorun„. Valoarea implicită este 0 , schimbați la numărul interfeței pe care urmează să o mirosiți.
• Intercepter convertește dumpurile pcap cu date IP brute încapsulate în încapsulare Ethernet (adăugând informații de antet Ethernet).
• Intercepter poate citi un nou format - pcapng. Deoarece toate fișierele de captură pcapng de la Wireshark folosesc doar tipul „Enhanced Packet Block”, Intercepter acceptă doar acest tip de bloc de pachete. În plus, arată comentariile la pachet.
• În modul brut (RAW) vă puteți seta propriile reguli folosind filtre pcap pentru a filtra traficul. Consultați sintaxa de filtrare pcap pentru detalii. Exemplu:

înseamnă să primiți numai pachete de la portul tcp 80 de la nucleu.

Nu portul 80

înseamnă excluderea pachetelor din portul 80

Puteți combina regulile:

Portul 80 si nu portul 25

• Nu ar trebui să lucrați cu depozite uriașe în modul brut, deoarece Intercepter încarcă fiecare pachet în memorie și nu folosește hard disk ca o partiție de swap (fișier).

Sfaturi pentru opțiunea Intercepter-NG

Opțiuni de sniffer:

• Dacă intenționați să efectuați o analiză offline a unui dump pcap, atunci pentru a accelera procesul, debifați „ Rezolvați gazde”.
• Dacă bifați opțiunea " Blocați pe tavă", apoi la restaurarea unei ferestre din tavă vi se va cere o parolă. Parola implicită este " 4553 ". Îl poți schimba în fișier setări.cfg. Parola este codificată în base64.
• Opțiunea " Salvare sesiune" înseamnă că Intercepter va salva toate pachetele primite într-un fișier pcap. Acest fișier poate fi folosit pentru analiza datelor offline. Este un fel de funcție de export de rezultate.
• Daca instalezi Promiscuu, apoi Intercepter deschide adaptorul de rețea în modul promiscuu. Aceasta înseamnă că va citi toate pachetele, chiar și cele care nu sunt destinate acelei interfețe de rețea. Dacă caseta de selectare este debifată, va citi numai pachetele care sunt trimise către interfața specificată. Unele carduri Wi-Fi nu acceptă acest mod.
• “Date unice” - afișează numai date de conectare și parole unice. Aceste. afișează datele de conectare și parolele capturate o singură dată - dacă utilizatorul a introdus din nou aceeași autentificare și parolă, aceasta nu va fi afișată.
• Salvare automată- toate informații text va fi salvat la fiecare 10 secunde.
• În mod implicit, caseta de selectare este „ Vizualizare grilă" Aceasta înseamnă că parolele vor apărea ca o grilă de date. Pentru a vedea informații detaliate complete, debifați „ Vizualizare grilă”.
• extrem.Într-un flux de lucru tipic, un sniffer analizează porturile predefinite asociate cu protocoale specifice. Dacă spunem http, ne referim la portul 80 (sau 8080 sau orice este predefinit în lista de porturi asociate cu protocolul http). Aceste. Doar aceste porturi vor fi analizate. Dacă unele aplicații folosesc un alt port, cum ar fi 1234, atunci snifferul nu va analiza pachetele care trec prin el. În modul extrem Intercepter va analiza toate pachetele TCP fără a verifica porturile. Aceste. chiar dacă o aplicație folosește un port nedefinit, sniffer-ul va scana în continuare aceste pachete. Deși acest lucru încetinește performanța (multe mai multe porturi trebuie verificate decât de obicei) și poate dezvălui date incorecte sau pierde protocolul corect (de exemplu, FTP și POP3 folosesc același tip de autorizare), oferă posibilitatea de a găsi și intercepta date interesante despre porturile neidentificate. Utilizați acest mod pe propriul risc, nu fi surprins dacă ceva nu merge bine când modul eXtreme este activat.
• "Numai captură„ înseamnă că Intercepter va salva pachete doar într-un fișier de descărcare fără analiză în timp real. Acest lucru este util pentru creșterea performanței atunci când capturați o mulțime de date din rețea.
• Opţiune Înviereînseamnă activarea modului Resurecție, care reconstruiește fișierele din datele transmise într-un flux de rețea.
• Porturi IM
• HTTP. Porturi asociate cu HTTP, consultați descrierea opțiunii pentru detalii extrem.
• ȘOSETE
• IRC\BNC

Opțiuni de atac Man-in-the-middle (MiTM) în Intercepter-NG

• În toate atacurile MiTM, Intercepter folosește falsificarea (înlocuirea) adreselor ip\mac (opțiune Falsificare IP\MAC). Dacă utilizați Interfață Wi-Fi, atunci trebuie să debifați această opțiune, deoarece 99% dintre driverele wifi nu permit trimiterea de pachete cu un Mac falsificat. Deși vă dezvăluiți adresa reală, sunteți cel puțin capabil să efectuați orice atac MiTM prin interfața wifi. E mai bine decât nimic. În loc să dezactivați falsificarea în setări, utilizați Modul WIFI. Puteți schimba mac-ul afișat în Modul Expert.
• iOS Killer a fost adăugat pentru iCloud, precum și pentru Instagram și VK. Această funcție (iOS Killer) resetează sesiunile aplicațiilor specificate și vă permite să interceptați reautorizarea.
• Kerberos Downgrade
• Falsificarea HSTS. Ocolirea HSTS în timpul SSL Strip. Tehnica de bypass este relativ simplă, dar există anumite dificultăți în implementare, așa că nu ar trebui să vă așteptați la rezultate speciale. Să ne uităm la un exemplu de utilizare a Yandex Mail browser Chrome. Dacă accesați ya.ru, atunci în colțul din dreapta sus va exista un link https „Conectați-vă la e-mail”, pe care SSL Strip îl poate gestiona cu ușurință. În continuare, se va deschide un formular de autorizare, unde metoda POST datele sunt transferate pe passport.yandex.ru. Chiar și după eliminarea https, autorizarea va avea loc prin SSL, deoarece gazda passport.yandex.ru este inclusă în lista preîncărcată de Chrome. Pentru a intercepta în continuare datele, trebuie să înlocuim numele de gazdă passport.yandex.ru cu altceva, astfel încât browserul să nu detecteze că această resursă ar trebui vizitată strict printr-o conexiune securizată. De exemplu, puteți înlocui passport.yandex.ru cu paszport.yandex.ru, în acest caz datele vor fi trimise în text clar la numele de domeniu schimbat. Dar pentru că un astfel de domeniu - paszport.yandex.ru nu există, atunci mai trebuie să faceți DNS Spoofing, adică. la convertirea paszport.yandex.ru, clientul ar trebui să primească adresa IP originală de la passport.yandex.ru ca răspuns.

Această procedură este automatizată și nu necesită intervenție suplimentară a utilizatorului atunci când efectuează un atac. Singurul lucru care este necesar este să faceți mai întâi o listă de înlocuitori în misc\hsts.txt. În mod implicit, există mai multe intrări pentru yandex, gmail, facebook, yahoo. Este important de înțeles că această tehnică de bypass nu va permite interceptarea unei sesiuni sau autorizare dacă utilizatorul introduce facebook.com în browser, deoarece browserul va deschide imediat versiunea securizată a site-ului. În acest caz, atacul este posibil doar dacă linkul către facebook.com este preluat dintr-o altă resursă, de exemplu, la introducerea facebook în google.com. Principalele probleme în implementarea unui atac includ logica imprevizibilă a modului în care funcționează site-urile web cu subdomeniile lor și caracteristicile codului web care pot anula orice încercare de a ocoli HSTS. De aceea nu ar trebui să adăugați niciun site în listă, chiar și domeniile prezente implicit în Intercepter-NG au propriile caracteristici și nu funcționează întotdeauna corect. Nu vreau să fac cârje pentru fiecare resursă, poate că în viitor se vor face unele îmbunătățiri universale, dar deocamdată, așa cum se spune. Încă o nuanță, în implementarea actuală pentru DNS Spoofing este necesar ca server DNS nu era in retea locala astfel încât să puteți vedea cererile DNS către gateway și să le răspundeți după cum este necesar.

• Redirecționare IP. Activează modul pur IP forward. Atacurile MiTM nu sunt disponibile în acest mod, dar vă permite să începeți otrăvirea arp în situațiile în care nu puteți utiliza Stealth IP. Acest lucru este de obicei necesar atunci când gateway-ul are lista albă computere legitime din rețea, astfel încât NAT nu poate funcționa corect.
• Ucigașul de prăjituri— resetează cookie-urile, forțând astfel utilizatorul să reautorizeze - introduceți numele de utilizator și parola pentru ca atacatorul să le poată intercepta. Funcția Cookie Killer funcționează și pentru conexiunile SSL. Disponibil pe negru ( misc\ssl_bl.txt) și liste albe ( misc\ssl_wl.txt). Acestea pot exclude sau, dimpotrivă, specifica strict adrese IP sau domenii la care ar trebui sau nu să se aplice SSL MiTM. Când specificați un port ssl suplimentar, nu este nevoie să specificați tipul de citire/scriere, doar să specificați numărul portului. Tot traficul este scris către ssl_log.txt.
• Captură de la distanță (RPCAP). Libpcap face posibilă transmiterea datelor de rețea de la o gazdă la alta prin propriul protocol numit RPCAP. Aceste. puteți rula demonul rpcap pe gateway-ul dvs. și puteți vedea tot traficul care trece prin el. Odată ce demonul rulează, puteți începe să capturați traficul de la distanță folosind Intercepter. Introduceți numele de gazdă sau IP-ul demonului în câmpul furnizat și apoi selectați adaptorul din listă. Apoi trebuie să setați un filtru „nu IP gazdă”, înlocuind „IP” cu adresa IP reală atribuită cardului dvs. Ethernet (acest lucru este pentru a ignora traficul rpcap dintre dvs. și demon).
• PCAP prin IP

Această funcție este legată de captarea traficului de la distanță și este un înlocuitor excelent pentru vechiul și problematic serviciu rpcapd. Numele vorbește de la sine. Aproape orice Unix are întotdeauna o combinație de tcpdump și netcat, cu care puteți înregistra traficul către un computer care primește la distanță. ÎN în acest caz, Intercepter poate deschide un port în așteptarea unui flux de date în format libpcap și îl poate analiza în timp real.

Nu există nicio diferență fundamentală în ceea ce privește sursa traficului, prin urmare, pe lângă tcpdump, puteți utiliza și utilitarul cat pentru a citi un jurnal .pcap deja existent.

Iată câteva exemple de utilizare, implicit Intercepter ascultă portul 2002:

Tcpdump -i face -w - | nc IP 2002

dacă intenționați să transmiteți trafic prin aceeași interfață de pe care capturați, atunci trebuie să adăugați o regulă de filtrare care exclude traficul de serviciu între server și Intercepter:

Tcpdump -i face -w - nu portul 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

Acesta este un analog al tcpdump, care face parte din flag -P indică faptul că pachetele ar trebui salvate în formatul standard libpcap, mai degrabă decât în ​​noul pcapng.

O modalitate alternativă de a trimite pachete fără a utiliza netcat:

Tcpdump > /dev/tcp/ip/port

WPAD înseamnă „WebProxy Autodiscovering Protocol”, care corespunde caracteristicii „Detectare automată a setărilor” din browsere moderne. Această caracteristică permite browserului să obțină configurația curentă proxy fără intervenția utilizatorului. Aceasta este o amenințare chiar și astăzi și un atacator poate configura cu ușurință un server rău intenționat pentru a intercepta traficul web. Situația este agravată de faptul că Internet Explorer(și și Chrome) acceptă această funcție în mod implicit.

De obicei, WPAD nu este configurat în rețea, așa că comportamentul normal al browserelor este de a face cereri NetBios pentru numele „WPAD” (ocolind metodele DHCP și DNS). Dacă nu se primește niciun răspuns, browserul folosește pur și simplu o conexiune directă. Dar dacă se primește un răspuns, browserul încearcă să descarce fișierul de configurare de la http: /ip_of_wpad_host/wpad.dat.

Intercepter-NG va răspunde fiecărei solicitări și va cere clienților să folosească propria configurație, astfel încât să poată detecta traficul prin proxy. Puteți configura propria configurație pentru orice alt server proxy din rețea sau pur și simplu selectați serverul proxy încorporat. Proxy-ul încorporat vă permite să utilizați caracteristica de injectare HTTP.

Opțiuni pentru modul expert Intercepter-NG

• SSL Strip Timeout (secunde)— Timeout în secunde SSL Strip
• Otrăvire ARP la fiecare (secunde)— Efectuați gravarea ARP la fiecare... secunde
• Timeout scanare ARP (secunde)- Timeout scanare ARP
• DNS Cache TTL (secunde)— Durată de viață în memoria cache DNS
• Falsificarea MAC— Adresa MAC la care va fi înlocuită adresa atacatorului
• MySQL LOAD DATA Injection
• DN releu LDAP: DC=xxx,DC=xxx
• Opriți intruziunea la cererea NBNS
• Renunțați la conexiunea SSH după autentificare— Resetați conexiunea SSH după autorizare
• SMB Hijack -> SMB Relay
• Auto ARP otravă— În modul automat pozon, este suficient să adăugați doar 1 gazdă la lista de ținte, iar Intercepter însuși va scana rețeaua la un anumit interval și va adăuga automat noi ținte.
• Resetați tabelul ARP— Resetați tabelul ARP
• Sarcină utilă personalizată pentru SMB Hijack (max. 64 kb)
• Sarcină utilă personalizată pentru GP Hijack
• Rulați Shell— Lansare shell
• Rulați HTTP NTLM Grabber

Tipuri de scanare

Scanarea este prima etapă, adică multe atacuri MiTM încep cu ea. Pentru a afișa meniul de scanări, accesați fila Modul MiTMși faceți clic dreapta pe tabel.

• Scanare inteligentă ning: Combină scanarea ARP și descoperirea gateway-ului. La informațiile obișnuite despre adresele IP și MAC, producător placa de reteaŞi sistem de operare, se iese numele computerului. În aceeași perioadă de timp, acum puteți afla în plus numele Netbios sau numele unui dispozitiv care rulează iOS. Pentru a rezolva aceasta din urmă, se folosește protocolul MDNS, pe baza căruia funcționează protocolul Apple Bonjour Toate numele primite sunt acum salvate într-un fișier cache, iar dacă în timpul scanărilor ulterioare, din anumite motive, informațiile despre numele gazdei nu au fost obținute în mod dinamic. va fi preluat din cache. În plus, această scanare arată IP-ul Stealth și setează automat IP-ul gateway-ului (dacă a fost detectat) și IP-ul Stealth în câmpurile corespunzătoare din fila MiTM. De asemenea, detectează sistemul de operare pe baza valorilor TTL.
• Scanare ARP(Scanare ARP): pur și simplu verifică subrețeaua de clasă C alocată adaptorului ethernet selectat. De exemplu, dacă IP-ul tău este 192.168.0.10, atunci vor fi verificate 255 de adrese IP din intervalul 192.168.0.1-255. Începând cu versiunea 0.9.5, programul verifică masca de rețea pentru a scana corect toate subrețelele.
• Descoperire DHCP(DHCP Discovery): Trimite transmisii DHCP-Discovery și așteaptă răspunsuri de la Servere DHCP. Dacă vreun server răspunde, îl adaugă la listă.
• Detectare Promisc(descoperire promiscuă a plăcii de rețea): trimite solicitări speciale ARP către rețea. Gazdele care răspund sunt în mod evident niște sniffer. De asemenea, unele carduri Ethernet (3COM) pot răspunde, adică sunt posibile false pozitive.
• Gateway Discovery(descoperire gateway): Trimite un pachet SYN prin toate gazdele din rețea, dacă există un gateway, un răspuns va fi trimis înapoi.

Tehnici de atac Man-in-the-middle (MiTM) în Intercepter-NG

Când apăsați butonul Configurați MiTM-uri(pălărie cu ochi) se deschide caseta de dialog Atacurile MiTM:

Conține o listă de tehnici acceptate.

SSL MiTM

Aceasta este o tehnică clasică veche de falsificare a certificatelor. Vă permite să interceptați date din orice protocol protejat prin SSL. Suportate standard: HTTPS, POP3S, SMTPS, IMAPS. Opțional, puteți specifica orice port suplimentar.

La interceptarea HTTPS, certificatele sunt generate din mers, copiend informațiile originale din resursa solicitată. Pentru toate celelalte cazuri, se folosește un certificat static.

Desigur, atunci când utilizați această funcționalitate, avertismentele din browser și din alte software-uri client sunt inevitabile.

Noua versiune a rescris complet codul pentru SSL MiTM. Acum funcționează rapid și stabil. Algoritmul de generare a certificatelor s-a schimbat și el, li s-au adăugat înregistrări DNS suplimentare și toate certificatele sunt semnate cu o singură cheie ( misc\server). Aceasta înseamnă că prin adăugarea acestui certificat autosemnat la lista celor de încredere de pe computerul țintei, va fi posibil să ascultați traficul SSL către orice resursă (unde nu există nicio fixare SSL). Funcţie Ucigașul de prăjituri acum funcționează pentru conexiuni SSL. Negrul a apărut ( misc\ssl_bl.txt) și liste albe ( misc\ssl_wl.txt). Ele pot exclude sau, dimpotrivă, specifica strict adrese IP sau domenii la care SSL MiTM ar trebui sau nu trebuie aplicat. Când specificați un port ssl suplimentar, nu mai este nevoie să specificați tipul de citire/scriere, este suficient să specificați numărul portului. Tot traficul este scris în ssl_log.txt.

Banda SSL

SSL Strip este o tehnică „silențioasă” pentru interceptarea conexiunilor HTTPS. Pentru o lungă perioadă de timp versiunea de lucru a existat doar sub Unix, acum acțiuni similare pot fi efectuate în mediul NT. Ideea este aceasta: atacatorul este „la mijloc”, se analizează traficul HTTP, toate linkurile https:// sunt identificate și sunt înlocuite cu http://. Astfel, clientul continuă să comunice cu serverul neprotejat modul. Toate cererile de link-uri înlocuite sunt monitorizate și datele din sursele originale https sunt livrate ca răspuns.

Deoarece Niciun certificat nu este înlocuit și nu există avertismente. Pentru a simula o conexiune sigură, pictograma favicon este înlocuită.

D.N.C.<>ICMP

Aceasta este o tehnică complet nouă, menționată anterior sau neimplementată. Se bazează pe același vechi ICMP Redirect MiTM, dar deschide o nouă modalitate de a adulmeca datele. Primul pas al acestui atac este similar cu o redirecționare ICMP clasică, dar există o diferență importantă.

Așa-numitul „ noua intrare" este serverul DNS al victimei. Vom prelua controlul asupra tuturor solicitărilor DNS și vom face ceva magie înainte ca victima să primească răspunsurile.

Când rezolvăm somehost.com, DNS ne trimite un răspuns care conține unul sau mai multe răspunsuri de la IP-ul somehost.com. Mai mult, poate conține răspunsuri „în plus”, iar noi ne vom ocupa și de acestea. După ce prima parte a atacului este finalizată, victima începe să trimită toate solicitările DNS prin gazda atacatorului (NAT). Când NAT primește un răspuns de la DNS, citește toate IP-urile și apoi trimite mesaje de redirecționare ICMP victimei cu IP-ul tradus.

Deci, în momentul în care NAT trimite un răspuns DNS înapoi către victimă, tabelul său de rutare are deja intrări pentru toate adresele traduse care indică gazda noastră!

Asta înseamnă că vom adulmeca nu numai DNS-ul victimei, ci tot ce a fost rezolvat. Tot traficul va fi falsificat printr-un IP\MAC fals.

Această parte a atacului este efectuată pe partea NAT, din acest motiv trebuie să o configurați corect.

Bifați caseta pentru „DNS peste ICMP”, apoi completați:

• IP-ul routerului este IP-ul gateway implicit folosit de victimă.
• IP-ul clientului este IP-ul victimei. Puteți adăuga mai multe ținte, dar nu uitați să începeți prin a trimite un pachet de redirecționare ICMP către fiecare țintă de la Intercepter.

După adăugarea clienților, ar trebui să puneți IP-ul liber/neutilizat în câmpul „New Gateway” și în „Stealth IP”.

Selectați adaptorul, ar trebui să fie aceleași, deoarece vom direcționa traficul într-o zonă ethernet.

Începeți NAT.

Toate răspunsurile DNS sunt stocate într-o listă specială și NAT în mod regulat (în conformitate cu timpul stabilit în setări) retrimite redirecționări ICMP,

La sfârșit trebuie să mai faci o acțiune. Nu puteți igieniza tabelul de rutare a victimei (ca și în cazul intoxicării ARP), așa că trebuie să debifați „DNS ↔ ICMP” pentru a preveni redirecționările ICMP să fie trimise din nou și așteptați aproximativ 10-15 minute. După aceasta, nu vor fi adăugate intrări noi, dar cele vechi vor funcționa bine prin NAT până când expiră.

WPAD MiTM

Pentru detalii, consultați descrierea opțiunii. Configurație WPAD (PROXY:PORT).

Deturnarea IMM-urilor

SSH MiTM

Puteți intercepta datele de autentificare SSH (login/parolă) și puteți vedea toate comenzile care trec în timpul unei sesiuni la distanță. Sunt suportate 2 mecanisme de autentificare: parola și interactiv. Pentru a adulmeca datele victimei, trebuie să acționăm ca un sshd adevărat și să oferim propriile noastre chei rsa/dsa. Dacă cheia gazdă originală este stocată în cache de către victimă, atunci va apărea un mesaj de avertizare, dacă nu este stocată în cache, atunci nu vor exista semne de atac pe partea clientului.

Odată ce victima este autentificată, poate lucra ca de obicei, executând comenzi și programe pseudo-grafice, cum ar fi Midnight Commander. Intercepterul interceptează cererile WINDOW_CHANGE, așa că dacă victima decide să redimensioneze fereastra, totul va fi redesenat corect pentru a se potrivi cu noua dimensiune a ferestrei.

Programul funcționează cu o sesiune la distanță, dar nu funcționează cu SFTP. Dacă victima începe Client SFTP, datele de autentificare vor fi interceptate, dar apoi conexiunea va fi renunțată și marcată. Apoi, când victima încearcă să se reconnecteze, va avea acces la serverul ssh original pe lângă sshd-ul nostru fals.

Este necesar de menționat că atacatorul se conectează la serverul de la distanță și își lasă adresa IP în jurnale. În modul expert, puteți selecta opțiunea de a renunța la conexiunea ssh după ce primiți acreditările victimei. Conexiunea va fi marcată, iar la următoarea încercare programul va permite accesul la serverul original.

Deturnarea G.P

Capabilitati suplimentare pentru atacurile de tip man-in-the-middle (MiTM) in Intercepter-NG

Butoanele pentru utilizarea acestor funcții sunt, de asemenea, localizate în secțiune Opțiuni MiTM(zaruri, simbol JDownloader, seringă, scut și simbol independent de pericol de radiații):

Traffic Changer (modificarea datelor text în fluxul de trafic din rețea)

Puteți înlocui numai date de dimensiune egală fără a modifica lungimea pachetelor. Să presupunem că browserul deschide site.com/file.txt, care conține șirul „12345”. Ca răspuns la o solicitare GET, serverul va returna un antet HTTP care indică lungimea datelor transmise - Lungimea conținutului: 5. Ce se întâmplă dacă înlocuim „12345” cu „12356”? Browserul va descărca doar 5 octeți, eliminând „6” adăugat, iar dacă reducem dimensiunea datelor prin înlocuirea „12345” cu „1234”, browserul va primi doar 4 octeți și va aștepta încă 1 octet de la server până când conexiunea este închisă de timeout. De aceea s-a făcut această limitare de dimensiune. Puteți modifica atât textul, cât și datele binare, sintaxa pentru modelele binare este aceeași ca în C - „\x01\x02\x03”.

Dacă este necesară înlocuirea traficului HTTP, atunci în setări trebuie să activați opțiunea „Dezactivați codificarea HTTP gzip”.

Falsificarea

Spoofing vă permite să redirecționați gazdele către o anumită IP. Sunt acceptate protocoalele DNS, NBNS, LLMNR.

Cu DNS puteți specifica o mască pentru a redirecționa și toate subdomeniile. De obicei, perechi domain.com:IP vor fi stabilite, dar subdomeniile nu vor fi falsificate. Pentru a le redirecționa pe toate, adăugați * (asterisc) înainte de numele domeniului: *host.com

Descărcare forțată și JS Inject

Ambele inovații se referă la modul de injecție HTTP. În rusă, Descărcare forțată poate fi tradusă ca „descărcare forțată”, deoarece acest lucru se întâmplă exact de partea țintei în timpul navigării pe web. La intrarea pe site se oferă descărcarea fișierului specificat de atacator în funcție de setările browserului, acesta poate fi descărcat independent, iar utilizatorul va alege apoi dacă îl rulează sau nu;

După cum înțelegeți, puteți adăuga un fișier .exe cu conținut arbitrar la descărcarea forțată, iar sursa acestui fișier va fi site-ul care se află în în acest moment vizitat de utilizator. Știind că ținta va deschide adobe.com, puteți emite flashplayer.exe și sursa acestui fișier va fi listată ca adobe.com sau unul dintre subdomeniile acestuia.

După o singură injecție, forțarea este oprită pentru a reinjecta, trebuie să faceți din nou clic pe caseta de selectare corespunzătoare.

JS Inject nu este prezent în mod explicit printre controale, deoarece de fapt, aceasta este cea mai comună injectare http, dar cu o singură diferență. Când înlocuiți un fișier cu altul, de exemplu, pictures.jpg cu unul dat, aceasta este tocmai înlocuirea unui conținut cu altul. Înlocuirea unui script .js poate perturba cel mai probabil funcționarea resursei, așa că în noua versiune js inject nu înlocuiește un script cu altul, ci îl adaugă celui existent, adăugând posibilitatea de a introduce cod suplimentar fără a-l afecta pe cel original .

Modul FATE combină două funcții noi: FAke site și FAke update.

Scopul cheie al FAke site este de a obține date de autorizare din orice resursă web, ocolind SSL și alte mecanisme de securitate. Acest lucru se realizează prin clonarea paginii de autorizare și crearea unui șablon care va fi găzduit pe pseudo-serverul web încorporat. În mod implicit, interceptorul include un șablon pentru accounts.google.com, deoarece pagina originală vă cere să completați un câmp cu un login și apoi o parolă. Acest șablon a fost ușor modificat pentru a permite ambelor câmpuri să fie active în același timp. Înainte de atac, trebuie să specificați domeniul pe care va fi găzduit șablonul. După începerea atacului, o redirecționare către domeniul selectat este injectată în traficul țintei și, ulterior, interceptorul va efectua automat falsificarea DNS la adresele necesare. Ca rezultat, pagina de autorizare selectată se va deschide în browser.

Funcționalitate FAke updaTE (actualizări false) înseamnă apariția unor mesaje despre instalarea „victimei” softwareși se presupune că descărcarea unui fișier de actualizare la care a fost adăugată sarcina utilă. Lista software-urilor acceptate este foarte modestă. Dacă doriți, puteți adăuga propriile șabloane, structura lor poate fi vizualizată în misc\FATE\updates.

ARP Poison (gravare ARP)

O parte a atacului clasic de om-in-the-middle. Acest atac începe cu scanarea gazdelor. Când gazdele sunt descoperite și unele dintre ele sunt selectate ca ținte, începe otrăvirea ARP, în urma căreia gazdele atacate încep să-și transmită traficul nu către gateway, ci către atacator. Atacatorul studiază (adulmecă) acest trafic, efectuează alte manipulări și îl trimite către serverul țintă. Serverul țintă răspunde atacatorului (ca sursă a solicitării), acest trafic este, de asemenea, snifat, modificat și redirecționat către victimă. Drept urmare, nu au loc schimbări semnificative pentru victimă - este ca și cum ar face schimb de date cu un server la distanță.

Caracteristici suplimentare ale lui Intercepter-NG

Butoanele de pornire funcții suplimentare situat într-o secțiune separată a coloanei din dreapta din fereastra programului:

Intercepter-NG are acum propriul său scaner de rețea, care a înlocuit scanerul de porturi primitiv din versiunile anterioare. Principalele sale funcții:

1. Scanați porturile deschise și detectați euristic următoarele protocoale: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC, RDP.
2. Determinați prezența SSL pe un port deschis, citiți bannere și diverse anteturi web.
3. Dacă este detectat un proxy sau sox, verificați dacă acestea sunt deschise spre exterior.
4. Verificați accesul fără parolă la serverele VNC, verificați SSL pe HeartBleed. Citiți version.bind din DNS.
5. Verificați baza de date pentru scripturi de pe serverul web care sunt potențial vulnerabile la ShellShock. Verificați baza de date pentru o listă de directoare și fișiere cu 200 OK, precum și o listă de directoare din robots.txt.
6. Determinați versiunea sistemului de operare prin SMB. Dacă aveți acces anonim, obțineți ora locală, timpul de funcționare, lista de resurse partajate și utilizatorii locali. Căutarea automată a parolei începe pentru utilizatorii găsiți.
7. Determinați din lista încorporată de utilizatori SSH prin măsurarea timpului de răspuns. Căutarea automată a parolei începe pentru utilizatorii găsiți. Dacă enumerarea nu produce rezultate (nu funcționează pe toate versiunile), căutarea este lansată doar pentru root.
8. Forța brută automată pentru HTTP Basic și Telnet. Având în vedere particularitățile protocolului telnet, sunt posibile false pozitive.

Puteți scana orice țintă, atât pe rețeaua locală, cât și pe Internet. Puteți specifica o listă de porturi pentru scanare: 192.168.1.1:80,443 sau intervalul 192.168.1.1:100-200. Puteți specifica intervalul de adrese pentru scanare: 192.168.1.1-192.168.3.255.

Pentru un rezultat mai precis, doar 3 gazde pot fi scanate simultan. Literal, în ultimul moment, au fost adăugate verificări pentru datele din certificatele SSL, de exemplu, dacă este întâlnit cuvântul Ubiquiti și portul 22 este deschis, atunci pornește automat SSH de forță brută utilizator ubnt. Același lucru este valabil și pentru o pereche de hardware Zyxel cu utilizatorul admin. Pentru prima versiune a scanerului există suficientă funcționalitate și este bine depanat.

Exploata HeartBleed

Testează dacă ținta este vulnerabilă la HeartBleed. Dacă ținta este vulnerabilă, exploatează această vulnerabilitate și primește o parte din conținut RAM gazdă la distanță.

Modul Bruteforce

Atacurile cu forță brută (forță brută, forță brută) sunt acceptate pentru următoarele protocoale de rețea:

• POP3 TLS
• SMTP TLS
• HTTP Basic
• HTTP Post
• TELNET
• VMware

Puteți seta numărul de fire în care vor fi verificate acreditările.

Când are loc un timeout, firul activ este repornit din același loc și procesul de căutare continuă.

Disponibil Mod unic, care indică faptul că fiecare nouă pereche login:parolă trebuie verificată odată cu stabilirea unei noi conexiuni pentru unele protocoale, aceasta permite o viteză crescută; Jurnalul de operațiuni este salvat în brute.txt.

Funcții ARP

Pe lângă gravarea ARP și scanarea ARP, există câteva alte funcții asociate cu protocolul ARP. Două dintre ele sunt plasate în butoane separate în coloana din dreapta din fereastra programului:

• Ceas ARP: Serviciu personal de monitorizare ARP construit. Trebuie să începeți prin a efectua o scanare ARP pentru a completa lista de adrese MAC de încredere („curate”). Dacă cineva încearcă să vă otrăvească memoria cache arp, va apărea un mesaj de avertizare.
• Cușcă ARP: Izolează adresa IP țintă de alte gazde locale prin falsificarea intrărilor din tabelul arp.

Exemple de lansare Intercepter-NG

Cum să rulați MiTM în Intercepter-NG

Începe cu o alegere adaptor de rețea (Adaptor de rețea):

Clic clic dreapta pe un tabel gol și selectați Scanare inteligentă:

Va fi afișată o listă de ținte:

Adăugați-le pe cele de care aveți nevoie ca ținte ( Adăugați ca țintă):

Pentru a începe adulmecarea, faceți clic pe pictograma corespunzătoare:

Accesați fila Modul MiTM(acesta este un glob cu cabluri de corecție) și faceți clic pe pictogramă Otrava ARP(simbol de pericol de radiații):

În fila Modul parolă(simbolul este un breloc), vor apărea acreditările capturate:

Lucrul cu Wi-Fi și lucrul cu Ethernet

Nu există diferențe atunci când lucrați cu conexiuni Wi-Fi sau prin cablu, dar trebuie să treceți la modul dorit făcând clic pe pictograma:

Analiza offline a fișierelor de captură pcap

Există multe opțiuni care pot încetini sau accelera timpul de analiză.

1. Pentru început, dacă trebuie să citiți un fișier .pcap mare, atunci dezactivați opțiunea " Rezolva".
2. Dacă .pcap conține fișiere mari și Resurrection este activat, viteza poate scădea. Soluția este să stabiliți o limită pentru dimensiunea maximă a fișierului pentru recuperare.
3. Dacă nu trebuie să reconstruiți nimic, atunci dezactivați această opțiune din setări. Viteza va crește.
4. Dacă trebuie să analizați doar un anumit protocol, de exemplu, ICQ\AIM sau numai HTTP, atunci setați filtrul corespunzător " filtru pcap" din MODUL RAW: portul tcp xxx, Unde xxx este numărul de port al protocolului dvs.
5. Puteți încărca mai multe capturi pentru analiză. ÎN Deschide Dialog selectați mai multe fișiere, toate vor fi analizate unul câte unul.

Instalare Intercepter-NG

Instalare pe Linux Kali

Pentru a instala și rula Intercepter-NG în Kali Linux rulați următoarele comenzi:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo cp packet/packet. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Load Intercepter-NG v1. 0 și ștergeți fișiere dll wpcap.dll și Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip unzip Intercepter- NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Instalare pe Windows

Pentru a instala Intercepter-NG pe Windows, accesați și descărcați arhiva corespunzătoare (fără litere C.E.). Programul nu necesită instalare, doar despachetați arhiva și rulați fișierul .exe.

Instalare pe Android

Pentru a instala Intercepter-NG pe Android, accesați și descărcați fișierul apk. Pentru a lansa cu succes aplicația, sunt necesare drepturi de root.

Capturi de ecran Intercepter-NG

Ce este Intercepter-NG

Să luăm în considerare esența funcționării ARP exemplu simplu. Calculatorul A (adresa IP 10.0.0.1) și computerul B (adresa IP 10.22.22.2) sunt conectate printr-o rețea Ethernet. Calculatorul A dorește să trimită un pachet de date către computerul B, acesta știe adresa IP a computerului B. Cu toate acestea, rețeaua Ethernet la care sunt conectați nu funcționează cu adrese IP. Prin urmare, pentru a transmite prin Ethernet, computerul A trebuie să cunoască adresa computerului B din rețeaua Ethernet (adresa MAC în termeni Ethernet). Protocolul ARP este utilizat pentru această sarcină. Folosind acest protocol, computerul A trimite o cerere de difuzare adresată tuturor computerelor din același domeniu de difuzare. Esența solicitării: „calculator cu adresa IP 10.22.22.2, furnizați adresa dvs. MAC computerului cu adresa MAC (de exemplu, a0:ea:d1:11:f1:01).” Rețeaua Ethernet furnizează această solicitare tuturor dispozitivelor de pe același segment Ethernet, inclusiv computerului B. Calculatorul B răspunde computerului A la cerere și raportează adresa sa MAC (de ex. 00:ea:d1:11:f1:11) Acum, având a primit adresa MAC a computerului B, computerul A îi poate transmite orice date prin intermediul rețelei Ethernet.

Pentru a evita necesitatea utilizării protocolului ARP înainte de fiecare trimitere de date, adresele MAC primite și adresele IP corespunzătoare sunt înregistrate în tabel pentru o perioadă de timp. Dacă trebuie să trimiteți date la același IP, atunci nu este nevoie să interogați dispozitivele de fiecare dată în căutarea MAC-ului dorit.

După cum tocmai am văzut, ARP include o cerere și un răspuns. Adresa MAC din răspuns este scrisă în tabelul MAC/IP. Când se primește un răspuns, acesta nu este verificat în niciun fel pentru autenticitate. Mai mult, nici nu verifică dacă cererea a fost făcută. Aceste. puteți trimite imediat un răspuns ARP către dispozitivele țintă (chiar și fără o solicitare), cu date falsificate, iar aceste date vor ajunge în tabelul MAC/IP și vor fi folosite pentru transferul de date. Aceasta este esența atacului de falsificare ARP, care se numește uneori gravare ARP, otrăvire cache ARP.

Descrierea atacului de falsificare ARP

Două computere (noduri) M și N pe o rețea locală Ethernet schimbă mesaje. Atacatorul X, situat pe aceeași rețea, dorește să intercepteze mesaje între aceste noduri. Înainte ca atacul de falsificare ARP să fie aplicat pe interfața de rețea a gazdei M, tabelul ARP conține adresa IP și MAC a gazdei N. De asemenea, pe interfața de rețea a gazdei N, tabelul ARP conține adresa IP și MAC a gazdei M. .

În timpul unui atac de falsificare ARP, nodul X (atacatorul) trimite două răspunsuri ARP (fără o solicitare) - la nodul M și la nodul N. Răspunsul ARP la nodul M conține adresa IP a lui N și adresa MAC a lui X. Răspunsul ARP la nodul N conține adresa IP M și adresa MAC X.

Deoarece computerele M și N acceptă ARP spontan, după ce primesc un răspuns ARP, își schimbă tabelele ARP, iar acum tabelul ARP M conține adresa MAC X legată de adresa IP N, iar tabelul ARP N conține adresa MAC X, legat de adresa IP M.

Astfel, atacul ARP-spoofing este finalizat, iar acum toate pachetele (cadrele) dintre M și N trec prin X. De exemplu, dacă M dorește să trimită un pachet către computerul N, atunci M caută în tabelul său ARP, găsește o intrare cu adresa IP N a gazdei, selectează de acolo adresa MAC (și există deja adresa MAC a nodului X) și transmite pachetul. Pachetul ajunge la interfața X, este analizat de acesta și apoi transmis către nodul N.

Vizualizari: 2890

Introducere

Cu mare plăcere aș dori să vă prezint noua versiune a Intercepter-NG 0.9.10, care, în opinia mea,
extinde semnificativ domeniul de aplicare al instrumentului. Această recenzie nu va fi prezentată sub forma unei liste uscate.
inovații, ci mai degrabă ca o descriere a noilor vectori de atac împreună cu o serie de detalii tehnice și elemente de hack-story. Să începem...

Scanare în rețea

Ca întotdeauna, s-au făcut multe corecții și îmbunătățiri minore pe care nu are rost să le listăm.
Oricine folosește des instrumentul știe că unul dintre modurile principale este modul de scanare în rețea și, în special, funcția Smart Scan. La informațiile deja familiare despre adresele IP și MAC, producătorul plăcii de rețea și sistemul de operare, a fost adăugat afișarea numelui computerului.
În aceeași perioadă de timp, acum puteți afla în plus numele Netbios sau numele unui dispozitiv iOS.
Pentru a rezolva aceasta din urmă, se folosește protocolul MDNS, pe baza căruia funcționează protocolul Apple Bonjour Toate numele primite sunt acum salvate într-un fișier cache, iar dacă în timpul scanărilor ulterioare, din anumite motive, informațiile despre numele gazdei nu au fost obținute în mod dinamic. va fi preluat din cache. Aici putem menționa și apariția funcției Auto ARP Poison, care este activată în setările expertului, este suficient să adăugați doar 1 gazdă la lista de ținte Intercepter va scana rețeaua însăși la un anumit interval și va adăuga automat noi ținte.

Modul Bruteforce

Acest mod adaugă suport TLS pentru protocoale SMTPși POP3, precum și autorizarea TELNET de forță brută.
Acum, când are loc un timeout, firul activ este repornit din același loc și procesul de căutare continuă.
A apărut Single Mode, ceea ce indică faptul că fiecare nouă pereche de LP-uri ar trebui verificată odată cu stabilirea unei noi conexiuni, pentru unele protocoale acest lucru permite o viteză crescută. Jurnalul de operațiuni este salvat în brute.txt.

Schimbător de trafic

Nu o dată au existat solicitări de implementare a funcției de înlocuire a traficului și nu au trecut neobservate, dar nu trebuie să vă bucurați din timp.
La contra întrebare: „De ce anume aveți nevoie de această oportunitate?” unor utilizatori le-a fost greu să răspundă sau au spus că este o glumă să schimbi cuvintele în traficul web. Și pentru a nu explica fiecărui joker de ce rezultatul nu este întotdeauna la înălțimea așteptărilor, puteți înlocui doar date de dimensiune egală fără a modifica lungimea pachetelor. Limitarea nu este deloc legată de probleme tehnice de implementare, nu există dificultăți în divizarea cadrelor Ethernet cu recalcularea câmpurilor TCP corespunzătoare. Totul se reduce la protocoalele de aplicație. Să ne uităm la un exemplu cu HTTP.

Să presupunem că browserul deschide site.com/file.txt, care conține șirul „12345”. Ca răspuns la o solicitare GET, serverul va returna un antet HTTP care indică lungimea datelor transmise - Lungimea conținutului: 5. Ce se întâmplă dacă înlocuim „12345” cu „12356”? Browserul va descărca doar 5 octeți, eliminând „6” adăugat, iar dacă reducem dimensiunea datelor prin înlocuirea „12345” cu „1234”, browserul va primi doar 4 octeți și va aștepta încă 1 octet de la server până când conexiunea este închisă de timeout. De aceea s-a făcut această limitare de dimensiune. Puteți modifica atât textul, cât și datele binare; sintaxa pentru modelele binare este aceeași ca în C - „x01x02x03”.
Dacă este necesară înlocuirea traficului HTTP, atunci în setări trebuie să activați opțiunea „Dezactivați codificarea HTTP gzip”.

Falsificarea HSTS

Așa cum am promis, a apărut Bypass HSTS când se efectuează SSL Strip. Tehnica de bypass este relativ simplă, dar există anumite dificultăți în implementare, așa că nu trebuie să vă așteptați la rezultate speciale. Să luăm în considerare un exemplu pe Yandex Mail folosind browserul Chrome. Dacă accesați , atunci în colțul din dreapta sus va apărea un link https „Login to mail”, pe care SSL Strip îl poate gestiona cu ușurință. În continuare, se va deschide un formular de autorizare, unde datele sunt transferate în metoda POST. Chiar și după eliminarea https, autorizarea va avea loc prin SSL, deoarece gazda passport.yandex.ru este inclusă în lista preîncărcată de Chrome. Pentru a intercepta în continuare datele, trebuie să înlocuim numele de gazdă passport.yandex.ru cu altceva, astfel încât browserul să nu detecteze că această resursă ar trebui vizitată strict printr-o conexiune securizată. De exemplu, puteți înlocui passport.yandex.ru cu paszport.yandex.ru, în acest caz datele vor fi trimise în text clar la numele de domeniu schimbat. Dar pentru că un astfel de domeniu - paszport.yandex.ru nu există, atunci mai trebuie să faceți DNS Spoofing, adică. Când rezolvă paszport.yandex.ru, clientul ar trebui să primească adresa IP originală de la paszport.yandex.ru ca răspuns. Această procedură este automatizată și nu necesită intervenție suplimentară a utilizatorului atunci când efectuează un atac. Singurul lucru care este necesar este să creați mai întâi o listă de înlocuitori în mischsts.txt. În mod implicit, există mai multe intrări pentru yandex, gmail, facebook, yahoo. Este important de înțeles că această tehnică de bypass nu va permite interceptarea unei sesiuni sau autorizare dacă utilizatorul introduce facebook.com în browser, deoarece browserul va deschide imediat versiunea securizată a site-ului. În acest caz, atacul este posibil doar dacă linkul către facebook.com este preluat dintr-o altă resursă, de exemplu la intrarea pe facebook în . Principalele probleme în implementarea unui atac includ logica imprevizibilă a modului în care funcționează site-urile cu subdomeniile lor și caracteristicile codului web care pot anula orice încercare.
ocoli HSTS. De aceea nu ar trebui să adăugați niciun site în listă, chiar și domeniile prezente implicit în Intercepter-NG au propriile caracteristici și nu funcționează întotdeauna corect. Nu vreau să fac cârje pentru fiecare resursă, poate că în viitor se vor face unele îmbunătățiri universale, dar deocamdată, așa cum se spune.
Încă o nuanță, în implementarea actuală, pentru a realiza DNS Spoofing, este necesar ca serverul DNS să nu fie în rețeaua locală, astfel încât să fie posibil să vedeți cererile DNS către gateway și să răspundeți la ele după cum este necesar.

Este important să rețineți că noua versiune a îmbunătățit semnificativ funcționarea SSL Strip în sine.

Descărcare forțată și JS Inject

Ambele inovații se referă la modul de injecție HTTP. În rusă, Descărcare forțată poate fi tradusă ca „descărcare forțată”, deoarece acest lucru se întâmplă exact de partea țintei în timpul navigării pe web. La intrarea pe site se oferă descărcarea fișierului specificat de atacator în funcție de setările browserului, acesta poate fi descărcat independent, iar utilizatorul va alege apoi dacă îl rulează sau nu;
După cum înțelegeți, puteți adăuga un fișier .exe cu conținut arbitrar la descărcarea forțată, iar sursa acestui fișier va fi site-ul pe care utilizatorul îl vizitează în prezent. Știind că ținta va deschide adobe.com, puteți emite flashplayer.exe și sursa acestui fișier va fi listată ca adobe.com sau unul dintre subdomeniile acestuia.
După o singură injecție, forțarea este oprită pentru a reinjecta, trebuie să faceți din nou clic pe caseta de selectare corespunzătoare.

JS Inject nu este prezent în mod explicit printre controale, deoarece de fapt, aceasta este cea mai comună injectare http, dar cu o singură diferență. Când înlocuiți un fișier cu altul, de exemplu, pictures.jpg cu unul dat, aceasta este tocmai înlocuirea unui conținut cu altul. Înlocuirea unui script .js poate perturba cel mai probabil funcționarea resursei, așa că în noua versiune js inject nu înlocuiește un script cu altul, ci îl adaugă celui existent, adăugând posibilitatea de a introduce cod suplimentar fără a-l afecta pe cel original .

SSL MiTM

Ne apropiem treptat de cele mai interesante produse noi. Noua versiune a rescris complet codul pentru SSL MiTM. Acum funcționează rapid și stabil. Algoritmul de generare a certificatelor s-a modificat și ele au fost adăugate înregistrări DNS suplimentare, iar toate certificatele sunt semnate cu o singură cheie (miscserver). Aceasta înseamnă că prin adăugarea acestui certificat autosemnat la lista celor de încredere de pe computerul țintei, va fi posibil să ascultați traficul SSL către orice resursă (unde nu există nicio fixare SSL). Funcția Cookie Killer funcționează acum pentru conexiunile SSL. Au apărut liste negre (miscssl_bl.txt) și liste albe (miscssl_wl.txt). Ele pot exclude sau, dimpotrivă, specifica strict adrese IP sau domenii la care SSL MiTM ar trebui sau nu trebuie aplicat. La specificarea unui port ssl suplimentar, nu mai este necesar să specificați tipul de readwrite, este suficient să specificați numărul portului. Tot traficul este scris în ssl_log.txt.

Deturnarea politicii de grup

O altă caracteristică ucigașă în Intercepter-NG. În ciuda faptului că tehnica nu a fost descoperită de mine, aceasta este prima implementare publică și complet funcțională a acestui atac. Descriere detaliată disponibil și .

Încă o dată, SMB-ul a dat peste cap Microsoft, pentru că datorită acestei vulnerabilități, în aproximativ o oră și jumătate poți obține acces la orice computer din domeniu (cu excepția controlerului de domeniu). Care este rostul?

La fiecare 90+ numere aleatoare de la 0 la 30 de minute, un membru al domeniului solicită politici de grup de la DC. Acest lucru se întâmplă prin intermediul SMB, prin deschiderea adresei de rețea DCSYSVOLdomain.namePoliciesUUIDgpt.ini.

Conţinut acest fisier urmatoarele:

Versiune=12345

Acest număr este o versiune relativă a curentului politici de grup. Dacă cu ultima actualizare versiunea nu s-a schimbat, atunci procesul de obținere a politicilor de grup se oprește, dar dacă versiunea este diferită, atunci acestea trebuie actualizate. În această etapă, clientul solicită CSE-uri active (extensii pe partea clientului) din domeniu, care includ diverse scripturi de conectare, sarcini pentru planificator și așa mai departe. Desigur, un atacator, care stă la mijloc, poate înlocui una dintre sarcinile generate de controler sub forma unui fișier. În această situație, operarea ar fi complet simplă, dar toate aceste CSE-uri sunt dezactivate implicit și singurul lucru care se poate face este modificarea registrului, deoarece la actualizarea politicilor de grup, clientul solicită un alt fișier - GptTmpl.inf, prin care puteți adăuga sau șterge o intrare. Autorii ambelor articole au decis să folosească o metodă binecunoscută - AppInit_Dll - pentru a demonstra execuția codului. Am setat cheia de registry necesară pentru a încărca dll-ul nostru din calea de rețea, după care procesul nou creat în sistem a executat cod arbitrar. Dar această metodă este potrivită doar ca o dovadă a conceptului, deoarece AppInit_Dll a fost dezactivată implicit de mulți ani. În acest sens, sarcina a fost setată să găsească o altă modalitate de a executa codul de la distanță, fără a fi nevoie să aștepte o repornire, așa cum este cazul adăugării de autorun la cheia Run.

S-au făcut multe încercări de a atinge scopul dorit într-un fel sau altul, fără rezultat, până la unul om bun(thx man) nu a sugerat o cheie de registry foarte interesantă despre care nu știam nimic înainte.

Puteți adăuga un depanator la cheie pentru orice fișier .exe. De exemplu, indicați că calc.exe trebuie deschis prin c:pathdebuger.exe și de îndată ce calculatorul este lansat, depanatorul se va deschide primul, în linie de comandă care va fi calea către calc. Aceasta părea deja o soluție aproape gata, deoarece era posibil să se execute codul fără repornire, deși în anumite condiții, eram mulțumit de restricția privind inevitabilitatea participării utilizatorilor în procesul de obținere a accesului, adică în loc de un calculator pe care îl puteți, a fost să executați codul printr-un apel către IE sau Chrome sau orice altă aplicație, dar a apărut noua problema. Dacă utilizatorul atacat nu avea drepturi administrative, atunci chiar și după primirea shell-ului, nu exista nicio modalitate de a șterge depanatorul adăugat anterior în registru, ceea ce înseamnă că după ce atacul a fost oprit sau la repornire, aplicația exploatată a încetat să funcționeze, deoarece cel falsificat adresa de rețea din moment ce debuger.exe nu mai exista.
A fost necesar să se găsească o modalitate de a obține nu doar acces la shell, ci întotdeauna cu drepturi de administrator. Omitând toate dificultățile ulterioare, voi descrie rezultatul. După primirea politicilor de grup, sistemul trebuie să le aplice pentru aceasta, svchost este apelat și creează un nou proces taskhost.exe cu drepturi de SISTEM. Acționând ca un depanator pentru taskhost.exe, am ucis două păsări dintr-o lovitură - nu numai că am primit un shell cu drepturi de SISTEM, dar l-am și primit imediat, fără nicio intervenție manuală din partea utilizatorului. Atacul este complet automatizat, puteți selecta un grup de ținte deodată și în decurs de una și jumătate până la două ore, primiți un set întreg de sesiuni shell active cu drepturi maxime. Nici măcar nu trebuie să fii membru al domeniului pentru a face acest lucru. Singurul lucru care este necesar este să activați accesul la rețea: permiteți-le tuturor să se aplice utilizatorilor anonimi. La testare, pentru a nu aștepta o oră și jumătate, rulați gpupdate din consolă. Testat pe Windows 78.1 corecţionat în domenii cu servere 2008R22012R2.

Care sunt măsurile de protecție? Microsoft a lansat un patch pentru MS15-011, introducând așa-numitul UNC Hardened Access, care necesită setări manuale. Există o frază interesantă în buletinul informativ:

„Utilizatorii ale căror conturi sunt configurate să aibă mai puține drepturi de utilizator pe sistem ar putea fi mai puțin afectați decât utilizatorii care operează cu drepturi de utilizator administrativ.”

După cum a devenit deja clar, amenințarea este la fel de mare pentru orice utilizator.

În ciuda întregului potențial al GP Hijacking-ului, mi se pare că o altă inovație în această versiune merită o atenție specială...

Desert

Ceea ce vom discuta la final nu poate fi numită o nouă funcție. Mai degrabă, este un vector de atac care se deschide când partajarea o serie de soluții deja existente în Intercepter-NG.

Accentul în acest caz este pus pe rețele fără firŞi dispozitive mobile, în special rulând iOS - iPhone-uri și iPad-uri. Toată lumea știe că otrava arp de bază a acestor dispozitive nu dă practic nimic. Interceptarea cookie-urilor de pe site-uri deschise în browser este poate singurul lucru pe care te poți baza, deoarece... în cele mai multe cazuri, utilizatorul lucrează prin aplicații proprietare din diverse servicii, unde comunicarea cu serverul are loc prin SSL. Chiar dacă încercați să implementați SSL MiTM, aplicațiile nu vor funcționa pur și simplu cu un certificat care nu este de încredere. Prin urmare, se crede că telefoanele și tabletele sunt destul de bine protejate în mod implicit de interceptarea rețelei.

Dar imaginați-vă următoarea situație, în care se află utilizatorul obișnuit aplicația Instagramși se uită prin feed.
Dintr-o dată aplicația nu mai funcționează, plângându-se de lipsa conexiunii, iar utilizatorul deschide instagram.com în browser, unde apare o alertă cu textul „Pentru a continua să lucrezi pe instagram.com, instalează certificat nou Securitate” și după închiderea mesajului, pe ecran apare o solicitare de instalare a unui nou certificat. Dezvoltare în continuare evenimentele depind desigur de utilizator, dar probabilitatea ca acesta să instaleze în continuare certificatul propus este destul de mare, deoarece situația este destul de plauzibilă: aplicația a încetat să funcționeze, a mers pe site, a văzut un avertisment despre actualizarea necesară, actualizată - totul a funcționat, deși de fapt atacatorul ți-a încadrat certificatul și acum citește tot traficul SSL. Implementarea Forced Download, JS Inject și un SSL MiTM stabil vă permit să implementați un scenariu similar în cel mai scurt timp:

1. Injectați .js cu alertă ("Vă rugăm să instalați un nou certificat pentru %domain%.");
Șablonul %domain% va fi completat cu numele site-ului unde a avut loc injecția.

2. Forțați descărcarea miscserver.crt - certificat rădăcinăîn Intercepter-NG.

3. Activați SSL MiTM (precum și banda ssl pentru injecții).

4. După lansarea atacului asupra dispozitivului țintei, conexiunile SSL nu vor mai funcționa, iar în browser va fi emisă o alertă cu un certificat.

Apare o întrebare firească: ce să faci cu traficul SSL, în afară de interceptarea pasivă a sesiunilor deja stabilite. Vine în ajutor Cookie Killer, care funcționează corect, de exemplu, pe aplicația Facebook.
iOS are și propriul său Sfânt Graal - iCloud, dar resetarea cookie-urilor nu va ajuta la resetarea sesiunii. A fost adăugat special pentru iCloud, precum și pentru Instagram și VK Funcția iOS Killer, care resetează sesiunile aplicațiilor specificate și vă permite să interceptați re-autorizarea. Acest truc nu se poate face cu AppStore, deoarece... Fixarea SSL pare să fie folosită acolo. Acest vector a fost testat pe iOS 56 și 8.4.

Planurile erau de a adăuga capacitatea de a crea în mod independent handlere folosind LUA sau printr-un plugin DLL, dar judecând după reacția utilizatorilor, nimeni nu are niciun interes real. Versiune nouă Cel mai probabil va fi anul viitor, poate o actualizare funcțională a Intercepter-NG pentru Android va fi lansată în toamnă. Întrebările, feedback-ul, solicitările de funcții sunt întotdeauna binevenite. Asta e tot.

O demonstrație a noilor funcții este prezentată în videoclip.

Contacte din proiect.