Interceptor ng nefunguje. Sniffer pre Windows Intercepter-NG (návod na použitie)

Multifunkčný program umožňuje identifikovať všetky zariadenia v verejná sieť, určiť IP a MAC adresy zariadení, zachytiť prevádzku a nahradiť stiahnuté súbory. Pre skúseného používateľa nebude nič stáť čítanie e-mailovej korešpondencie niekoho iného a prihlásenie sa do jeho účtu. sociálnej sieti pomocou tejto pomôcky.

Charakteristický

Ako je uvedené vyššie, Intercepter-NG je program na, dalo by sa povedať, neoprávnenú interakciu s inými zariadeniami. Niekoľkými kliknutiami môžete určiť IP adresu a Mac adresu zariadenia, zachytiť prenos a Cookies, prečítajte si online korešpondenciu niekoho iného alebo sa prihláste do účtu niekoho iného na sociálnej sieti, aby ste mohli robiť svoje „špinavé“ skutky.

Skúsení používatelia ubezpečujú, že aplikácia funguje a keď je pripojená k jednému bodu Wi-Fi pripojenie na internet môžete zachytiť premávku iných ľudí.

Zvláštnosti

Po prvé, musíte mať minimálne znalosti. Aplikácia neobsahuje pokyny, referenčné knihy ani tréningové režimy. Príslušné informácie bude potrebné hľadať na tematických fórach.

Po druhé, aby nástroj fungoval, musíte získať práva superužívateľa. S ohľadom na riziká, ktoré takéto rozhodnutie so sebou nesie, je dôležité zvážiť klady a zápory. A ak sa rozhodnete získať práva root, určite si stiahnite a nainštalujte pomôcku správcu prístupových práv, pomocou ktorej môžete v reálnom čase kontrolovať prístup aplikácie k právam superužívateľa.

Intercepter-NG vám umožní určiť MAC adresu a IP adresu akéhokoľvek používateľa pripojeného k verejnej sieti. Pomocou programu môžete tiež zachytiť súbory cookie, odchádzajúce a prichádzajúca premávka na nezákonné účely.

Charakteristika

Intercepter-NG je multifunkčná aplikácia, ktorá sa v správnych rukách mení na nástroj na vykonávanie nelegálnych transakcií. Po prvé, môže byť použitý na identifikáciu všetkých zariadení pripojených k verejnej sieti. Údaje zahŕňajú nielen IP adresu, ale aj jedinečnú MAC adresu zariadenia.

Po druhé, aplikácia vám umožňuje zachytiť obojsmernú premávku vybraného používateľa, prezerať, používať a dokonca nahrádzať súbory. Keďže program nie podrobné pokyny na používanie funkcie potrebujete minimálne znalosti. V tomto prípade nielen zistíte IP alebo MAC adresu, ale budete môcť tiež jednoducho zachytiť súbory cookie, aby ste si mohli prečítať korešpondenciu iných ľudí a dokonca vykonávať akcie v mene používateľa.

Zvláštnosti

• Koreňový prístup. Ak chcete využívať všetky funkcie aplikácie, zariadenie musí byť rootované.
• Možnosť zistiť IP a MAC adresu každého používateľa, ktorý používa rovnaký prístupový bod ako vy.
• Schopnosť zachytávať súbory cookie na čítanie korešpondencie, akcie s účtami.
• Schopnosť zachytiť odchádzajúce a prichádzajúce prenosy, nahradiť súbory.

Minimalistické rozhranie a stabilná prevádzka sú ďalšie funkcie aplikácie, vďaka ktorým je populárna v úzkych kruhoch.

Popis Intercepter-NG

Intercepter-NG je multifunkčná sada sieťových nástrojov pre IT špecialistov rôzne druhy. Hlavným cieľom je obnoviť zaujímavé dáta zo sieťového toku a vykonávať rôzne druhy útokov typu man-in-the-middle (MiTM). Okrem toho vám program umožňuje odhaliť spoofing ARP (možno ho použiť na detekciu útokov typu man-in-the-middle), identifikovať a zneužiť určité typy zraniteľností a prihlasovacie údaje hrubou silou. sieťové služby. Program môže pracovať so živým prenosom a analyzovať súbory so zachytenou návštevnosťou na detekciu súborov a poverení.

Program ponúka nasledujúce funkcie:

• Snímanie hesiel/hash nasledujúcich typov: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE, NTLM , RÁDIUS KRB5
• Snímanie chatových správ: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
• Rekonštruovať súbory z: HTTP, FTP, IMAP, POP3, SMTP, SMB
• Rôzne typy skenovania, ako je promiskuitný režim, ARP, DHCP, brána, port a inteligentné skenovanie
• Zachytávanie paketov a následná (offline) analýza / RAW (raw) režim
• Vzdialené zachytávanie prevádzky cez démona RPCAP a PCAP cez IP
• NAT, SOCKS, DHCP
• ARP, DNS cez ICMP, DHCP, SSL, SSLSTRIP, WPAD, SMB relay, SSH MiTM
• SMB Hijack (odpočúvanie), LDAP relé, MySQL LOAD DATA vstrekovanie
• ARP Watch, ARP Cage, HTTP vstrekovanie, Heartbleed exploit, Kerberos Downgrade, Cookie Killer
• Spoofing DNS, NBNS, LLMNR
• Hrubá sila rôznych sieťových služieb

Hlavná verzia beží na Windows, k dispozícii konzolová verzia pre Linux a verziu pre Android.

Licencia: „tak ako je“

Režimy Intercepter-NG

Intercepter-NG má sedem hlavných režimov, ktoré zodpovedajú počtu programových kariet a počtu hlavných tlačidiel:

Toto sú režimy:

• Poslovia
• Vzkriesenie
• Heslá
• Skenuje
• RAW (surové)

Dajte na prvé miesto Režim Messenger(logo ICQ). Stalo sa tak z historických dôvodov – Intercepter-NG bol pôvodne vytvorený ako program na zachytávanie správ ICQ a iných instant messengerov.

Režim vzkriesenia(logo na tlačidle je Phoenix) znamená obnovenie súborov zo sieťového streamu. Môžu to byť súbory obrázkov prezeraných na webových stránkach, ako aj súbory prenesených archívov, dokumentov a iné.

Pri prechode na Režim hesla(tretie tlačidlo – kľúčenka) uvidíte prihlasovacie údaje zachytené zo sieťového streamu. Zobrazia sa adresy stránok, zadané prihlasovacie údaje a heslá.

Keď sa program spustí, otvorí sa Režim skenovania(stredné tlačidlo - radar). Toto je počiatočný režim spúšťania útokov: skenovanie, výber cieľov a nastavenie ďalších parametrov siete prebieha na tejto karte.

Tab MiTM(zväzok prepojovacích káblov) obsahuje polia na zadanie cieľových nastavení, z ktorých mnohé sa vyplnia automaticky počas skenovania na karte Skenovanie. Nechýbajú ani tlačidlá na spustenie rôznych MiTM útokov.

Tab DHCP obsahuje niektoré nastavenia siete a servera DHCP.

Režim RAW (raw) zobrazuje nespracované informácie o údajoch prenášaných v sieťovom prúde. Informácie sú prezentované vo forme podobnej .

Tipy na používanie Intercepter-NG a riešenie problémov:

• Intercepter-NG vyžaduje na fungovanie WinPcap, ale nie je potrebné ho inštalovať samostatne, pretože Intercepter sa dodáva s prenosnou verziou WinPcap.
• Ak nevidíte svoj adaptér v zozname adaptérov, znamená to, že WinPcap nepodporuje vašu kartu.
• Ak s kartou WiFi nič nefunguje, dokonca ani leptanie ARP, potom pomocou ikony NIC, ktorá sa nachádza na ľavej strane zoznamu adaptérov, prepnite do režimu WiFi. Tiež sa uistite, že stealth IP má prístup na internet.
• V niektorých zriedkavých situáciách môže služba BFE (Base Filtering Engine) blokovať lokálne porty zachytávača. Prejavuje sa to nasledovne: ARP funguje, ale ostatné funkcie MiTM nefungujú (v systéme Windows 7 a vyššie). Antivírusové programy ako Avast ich môžu tiež blokovať, aj keď je ochrana siete v ovládacom paneli vypnutá. Ďalším dôvodom tohto správania môže byť súčasná prevádzka WiFi pripojenia a služby Internetové pripojenie Zdieľanie.
• Intercepter podporuje zapuzdrenie 802.11, takže môžete použiť výpisy pcap z programov a . Podporované sú aj PPPoE, GRE(PP2P) a ďalšie hlavičky 802.11. To neznamená, že Intercepter môže analyzovať zašifrované dáta, znamená to, že Intercepter je schopný odstrániť hlavičky ethernet\ip z paketov tohto typu a analyzovať ich.
• Kvôli obmedzeniam protokolu sa zdrojový a cieľový UIN\MAIL\… nemusí zobraziť na karte správy chatu.
• Ak chcete skopírovať údaje z tabuľky hesiel, kliknite na riadok a stlačte ctrl+c.
• Ak chcete skryť okno programu, použite klávesovú skratku Ctrl+Alt+S. Opätovným kliknutím naň znova zobrazíte okno.
• Intercepter môže dokonca bežať na win9x (98 a 95!), ale musíte si nainštalovať WinPcap 3.1 alebo WinPcap 4.0beta2. Nové zostavy WinPcap nepodporujú win9x.
• Režim konzoly pre offline analýzu:

• Ak chcete aktivovať automatické čuchanie, musíte ho otvoriť settings.cfg a upraviť" autorun". Predvolená hodnota je 0 , zmeňte na číslo rozhrania, ktoré budete čuchať.
• Intercepter konvertuje výpisy pcap s nespracovanými zapuzdrenými IP dátami na ethernetové zapuzdrenie (pridáva informácie o ethernetovej hlavičke).
• Intercepter dokáže čítať nový formát - pcapng. Keďže všetky zachytávacie súbory pcapng z Wireshark používajú iba typ „Enhanced Packet Block“, Intercepter podporuje iba tento typ bloku paketov. Okrem toho zobrazuje komentáre k balíku.
• V režime raw (RAW) si môžete nastaviť svoje vlastné pravidlá pomocou filtrov pcap na filtrovanie návštevnosti. Podrobnosti nájdete v syntaxi filtrovania pcap. Príklad:

znamená prijímať iba pakety z tcp portu 80 z jadra.

Nie port 80

znamená vylúčiť pakety z portu 80

Môžete kombinovať pravidlá:

Port 80 a nie prístav 25

• V surovom režime by ste nemali pracovať s obrovskými výpismi, pretože Intercepter načíta každý paket do pamäte a nepoužíva ho pevný disk ako odkladací oddiel (súbor).

Tipy pre možnosť Intercepter-NG

Možnosti snímania:

• Ak sa chystáte vykonať offline analýzu výpisu pcap, potom na urýchlenie procesu zrušte začiarknutie políčka „ Vyriešiť hostiteľov”.
• Ak zaškrtnete možnosť " Zámok na zásobníku", potom sa pri obnove okna zo zásobníka zobrazí výzva na zadanie hesla. Predvolené heslo je " 4553 ". Môžete to zmeniť v súbore settings.cfg. Heslo je zakódované v base64.
• možnosť " Uložiť reláciu" znamená, že Intercepter uloží všetky prijaté pakety do súboru pcap. Tento súbor možno použiť na offline analýzu dát. Ide o druh funkcie exportu výsledkov.
• Ak nainštalujete Promiskuitný, potom Intercepter otvorí sieťový adaptér v promiskuitnom režime. To znamená, že bude čítať všetky pakety, aj tie, ktoré nie sú určené pre dané sieťové rozhranie. Ak začiarkavacie políčko nie je začiarknuté, budú čítať iba pakety, ktoré sú odoslané na určené rozhranie. Niektoré karty Wi-Fi tento režim nepodporujú.
• “Jedinečné údaje” - zobrazí iba jedinečné prihlasovacie údaje a heslá. Tie. zobraziť zachytené prihlasovacie mená a heslá iba raz - ak používateľ znova zadal rovnaké prihlasovacie meno a heslo, nezobrazí sa.
• Automatické ukladanie- všetky textové informácie sa uloží každých 10 sekúnd.
• Štandardne je začiarkavacie políčko „ Zobrazenie mriežky" To znamená, že heslá sa zobrazia ako dátová mriežka. Ak chcete zobraziť úplné podrobné informácie, zrušte začiarknutie „ Zobrazenie mriežky”.
• extrémny. V typickom pracovnom postupe sniffer analyzuje preddefinované porty spojené so špecifickými protokolmi. Ak povieme http, máme na mysli port 80 (alebo 8080 alebo čokoľvek, čo je preddefinované v zozname portov priradených k protokolu http). Tie. Iba tieto porty budú analyzované. Ak niektoré aplikácie používajú iný port, napríklad 1234, potom sniffer nebude analyzovať pakety, ktoré ním prechádzajú. V režime extrémny Intercepter bude analyzovať všetky TCP pakety bez kontroly portov. Tie. aj keď niektorá aplikácia používa nedefinovaný port, sniffer bude stále skenovať tieto pakety. Hoci to spomaľuje výkon (je potrebné skontrolovať oveľa viac portov ako zvyčajne) a môže odhaliť nesprávne údaje alebo prehliadnuť správny protokol (napríklad FTP a POP3 používajú rovnaký typ autorizácie), poskytuje to možnosť nájsť a zachytiť zaujímavé údaje o neidentifikovaných prístavoch. Tento režim používajte na vlastné riziko, nebuďte prekvapení, ak sa niečo pokazí, keď je povolený eXtreme režim.
• "Iba zachytiť“ znamená, že Intercepter uloží pakety iba do súboru výpisu bez analýzy v reálnom čase. To je užitočné na zvýšenie výkonu, keď zachytávate veľa sieťových údajov.
• Možnosť Vzkriesenie znamená povoliť režim Resurrection, ktorý rekonštruuje súbory z dát prenášaných v sieťovom prúde.
• IM porty
• HTTP. Porty spojené s HTTP, podrobnosti nájdete v popise možnosti extrémny.
• PONOŽKY
• IRC\BNC

Možnosti útoku Man-in-the-middle (MiTM) v Intercepter-NG

• Pri všetkých útokoch MiTM používa Intercepter spoofing (nahradenie) adries ip\mac (voliteľné Spoof IP\MAC). Ak používate Rozhranie Wi-Fi, potom musíte zrušiť začiarknutie tejto možnosti, pretože 99% ovládačov wifi nepovoľuje odosielanie paketov so sfalšovaným počítačom mac. Hoci odhalíte svoju skutočnú adresu, ste aspoň schopní vykonávať akékoľvek MiTM útoky cez wifi rozhranie. Je to lepšie ako nič. Namiesto vypnutia spoofingu v nastaveniach použite WIFI režim. Mac zobrazený v Expertnom režime môžete zmeniť.
• iOS Killer bol pridaný pre iCloud, ako aj pre Instagram a VK. Táto funkcia (iOS Killer) resetuje relácie špecifikovaných aplikácií a umožňuje vám zachytiť opätovnú autorizáciu.
• Prechod na staršiu verziu Kerberos
• Spoofing HSTS. Obchádzanie HSTS počas SSL Strip. Technika bypassu je pomerne jednoduchá, ale pri implementácii existujú určité ťažkosti, takže by ste nemali očakávať žiadne špeciálne výsledky. Pozrime sa na príklad použitia Yandex Mail Prehliadač Chrome. Ak prejdete na ya.ru, potom v pravom hornom rohu bude https odkaz „Prihlásiť sa do pošty“, ktorý SSL Strip ľahko zvládne. Ďalej sa otvorí autorizačný formulár, kde metóda POSTúdaje sa prenesú na passport.yandex.ru. Aj po odstránení https dôjde k autorizácii cez SSL, pretože hostiteľ passport.yandex.ru je zahrnutý v predinštalovanom zozname chrome. Aby sme mohli stále zachytávať údaje, musíme nahradiť názov hostiteľa passport.yandex.ru niečím iným, aby prehliadač nezistil, že tento zdroj by mal byť navštevovaný výlučne cez zabezpečené pripojenie. Passport.yandex.ru môžete napríklad nahradiť paszport.yandex.ru, v tomto prípade budú údaje odoslané ako čistý text na zmenený názov domény. Ale pretože takáto doména - paszport.yandex.ru neexistuje, potom musíte dodatočne vykonať DNS Spoofing, t.j. pri konverzii paszport.yandex.ru by mal klient ako odpoveď dostať pôvodnú IP adresu z passport.yandex.ru.

Tento postup je automatizovaný a pri vykonávaní útoku nevyžaduje ďalší zásah používateľa. Jediná vec, ktorá sa vyžaduje, je najprv vytvoriť zoznam náhradných osôb misc\hsts.txt. V predvolenom nastavení existuje niekoľko záznamov pre yandex, gmail, facebook, yahoo. Je dôležité pochopiť, že táto technika obchádzania neumožní zachytenie relácie alebo autorizácie, ak používateľ zadá facebook.com do prehliadača, pretože prehliadač okamžite otvorí zabezpečenú verziu stránky. V tomto prípade je útok možný len vtedy, ak je odkaz na facebook.com prevzatý z iného zdroja, napríklad pri zadávaní facebooku na google.com. Medzi hlavné problémy pri implementácii útoku patrí nepredvídateľná logika fungovania webových stránok so svojimi subdoménami a funkciami webového kódu, ktoré môžu negovať akékoľvek pokusy o obídenie HSTS. Preto by ste do zoznamu nemali pridávať žiadne stránky, dokonca aj domény prítomné v Intercepter-NG štandardne majú svoje vlastné charakteristiky a nie vždy fungujú správne. Naozaj nechcem robiť barličky pre každý zdroj, možno sa v budúcnosti urobia nejaké univerzálne vylepšenia, ale zatiaľ, ako sa hovorí, tak je. Ešte jedna nuansa, v súčasnej implementácii pre DNS Spoofing je to potrebné DNS server nebol v lokálna sieť aby ste mohli vidieť požiadavky DNS na bránu a podľa potreby na ne reagovať.

• IP Forward. Umožňuje čistý režim IP forwarding. Útoky MiTM nie sú v tomto režime dostupné, ale umožňuje vám spustiť otravu arpom v situáciách, keď nemôžete použiť Stealth IP. Toto je zvyčajne potrebné, keď má brána whitelist legitímne počítače v sieti, takže NAT nemôže správne fungovať.
• Cookie Killer— resetuje súbory cookie, čím núti používateľa k opätovnej autorizácii – zadajte prihlasovacie meno a heslo, aby ich útočník mohol zachytiť. Funkcia Cookie Killer funguje aj pre pripojenia SSL. Dostupné v čiernej farbe ( misc\ssl_bl.txt) a biele listiny ( misc\ssl_wl.txt). Môžu vylúčiť alebo naopak striktne špecifikovať IP adresy alebo domény, na ktoré sa má alebo nemá SSL MiTM aplikovať. Pri zadávaní extra ssl portu nie je potrebné špecifikovať typ čítania/zápisu, stačí zadať číslo portu. Všetka návštevnosť je zapísaná na ssl_log.txt.
• Vzdialené snímanie (RPCAP). Libpcap umožňuje posielať sieťové údaje z jedného hostiteľa na druhého prostredníctvom vlastného protokolu nazývaného RPCAP. Tie. môžete spustiť démona rpcap na vašej bráne a vidieť všetku premávku, ktorá cez ňu prechádza. Keď je démon spustený, môžete začať zachytávať vzdialenú prevádzku pomocou programu Intercepter. Do poskytnutého poľa zadajte názov hostiteľa alebo IP démona a potom vyberte adaptér zo zoznamu. Potom musíte nastaviť filter „nie je hostiteľská IP“ a nahradiť „IP“ skutočnou IP adresou priradenou vašej ethernetovej karte (ide o ignorovanie prenosu rpcap medzi vami a démonom).
• PCAP cez IP

Táto funkcia súvisí s diaľkovým zachytávaním prevádzky a je výbornou náhradou za starú a problematickú službu rpcapd. Názov hovorí sám za seba. Takmer každý Unix má vždy kombináciu tcpdump a netcat, pomocou ktorej môžete zaznamenávať prevádzku na vzdialený prijímajúci počítač. IN v tomto prípade Intercepter môže otvoriť port v očakávaní dátového toku vo formáte libpcap a analyzovať ho v reálnom čase.

V zdroji návštevnosti nie je žiadny zásadný rozdiel, preto okrem tcpdump môžete použiť aj utilitu cat na čítanie už existujúceho .pcap logu.

Tu je niekoľko príkladov použitia, Intercepter štandardne počúva port 2002:

Tcpdump -i face -w - | nc IP 2002

ak plánujete prenášať prenos cez rovnaké rozhranie, z ktorého zachytávate, potom musíte pridať pravidlo filtrovania, ktoré vylúči prevádzkový prenos medzi serverom a zachytávačom:

Tcpdump -i face -w - nie port 2002 | nc IP 2002 mačka log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

Toto je analóg tcpdump, ktorý je súčasťou príznaku -P označuje, že balíky by sa mali ukladať v štandardnom formáte libpcap a nie v novom pcapng.

Alternatívny spôsob preposielania paketov bez použitia netcat:

Tcpdump > /dev/tcp/ip/port

WPAD znamená „WebProxy Autodiscovering Protocol“, čo zodpovedá funkcii „Automaticky zisťovať nastavenia“ v moderné prehliadače. Táto funkcia umožňuje prehliadaču získať aktuálnu konfiguráciu servera proxy bez zásahu používateľa. Toto je hrozba aj dnes a útočník môže ľahko nastaviť škodlivý server na zachytenie webovej prevádzky. Situáciu zhoršuje skutočnosť, že Internet Explorer(a Chrome tiež) podporuje túto funkciu v predvolenom nastavení.

WPAD zvyčajne nie je nakonfigurovaný v sieti, takže bežným správaním prehliadačov je vytvárať požiadavky NetBios na názov „WPAD“ (obchádzanie metód DHCP a DNS). Ak nedostanete žiadnu odpoveď, prehliadač jednoducho použije priame pripojenie. Ak však dostane odpoveď, prehliadač sa pokúsi stiahnuť konfiguračný súbor z http: /ip_of_wpad_host/wpad.dat.

Intercepter-NG odpovie na každú požiadavku a požiada klientov, aby použili svoju vlastnú konfiguráciu, aby mohol sledovať prevádzku cez proxy. Môžete si nakonfigurovať vlastnú konfiguráciu pre akýkoľvek iný proxy server v sieti alebo jednoducho vybrať vstavaný proxy server. Vstavaný proxy vám umožňuje používať funkciu vkladania HTTP.

Možnosti expertného režimu Intercepter-NG

• Časový limit SSL Strip (sekundy)— Časový limit v sekundách SSL Strip
• ARP Poison každých (sekundy)— Vykonajte leptanie ARP každú... sekundu
• Časový limit skenovania ARP (sekundy)- Časový limit skenovania ARP
• DNS Cache TTL (sekundy)— Životnosť vo vyrovnávacej pamäti DNS
• Spoofing MAC— MAC adresa, na ktorú bude nahradená útočníkova adresa
• MySQL LOAD DATA Injection
• LDAP relé DN: DC=xxx, DC=xxx
• Zastavte vniknutie na požiadavku NBNS
• Po overení zrušte pripojenie SSH— Po autorizácii resetujte pripojenie SSH
• SMB Hijack -> SMB Relay
• Auto ARP Poison— V automatickom režime pozon stačí do zoznamu cieľov pridať len 1 hostiteľa a samotný Intercepter bude v určitom intervale skenovať sieť a automaticky pridávať nové ciele.
• Obnoviť tabuľku ARP— Obnovte tabuľku ARP
• Vlastné užitočné zaťaženie pre SMB Hijack (max. 64 kb)
• Vlastné užitočné zaťaženie pre GP Hijack
• Spustite Shell- Spustite škrupinu
• Spustite HTTP NTLM Grabber

Typy skenovania

Skenovanie je prvou fázou, t.j. veľa útokov MiTM začína práve ňou. Ak chcete zobraziť ponuku skenov, prejdite na kartu Režim MiTM a kliknite pravým tlačidlom myši na tabuľku.

• Inteligentné skenovanie ning: Kombinuje skenovanie ARP a zisťovanie brán. K bežným informáciám o IP a MAC adresách, výrobca sieťová karta A operačný systém, vypíše sa názov počítača. Počas rovnakého časového obdobia môžete teraz dodatočne zistiť názov Netbios alebo názov zariadenia so systémom iOS. Na vyriešenie tohto problému sa používa protokol MDNS, na základe ktorého funguje protokol Bonjour od spoločnosti Apple Všetky prijaté mená sa teraz ukladajú do súboru vyrovnávacej pamäte a ak sa počas nasledujúcich skenov z nejakého dôvodu nezískali informácie o názve hostiteľa dynamicky, Okrem toho sa pri tomto skenovaní zobrazí tajná IP adresa a automaticky sa nastaví IP brány (ak bola zistená) a utajená IP adresa v príslušných poliach na karte MiTM.
• Skenovanie ARP(ARP scan): jednoducho skontroluje podsieť triedy C priradenú k vybranému ethernetovému adaptéru. Ak je napríklad vaša adresa IP 192.168.0.10, skontroluje sa 255 adries IP v rozsahu 192.168.0.1-255. Od verzie 0.9.5 program kontroluje masku siete, aby správne skenovala všetky podsiete.
• DHCP Discovery(DHCP Discovery): Odosiela vysielania DHCP-Discovery a čaká na odpovede od DHCP servery. Ak niektoré servery odpovedajú, pridá ich do zoznamu.
• Promisc Detection(promiskuitné zisťovanie sieťovej karty): Posiela do siete špeciálne požiadavky ARP. Hostitelia, ktorí odpovedajú, sú zjavne snifferi. Niektoré ethernetové karty (3COM) môžu tiež reagovať, t. j. sú možné falošné poplachy.
• Brána Discovery(objavenie brány): Pošle SYN paket cez všetkých hostiteľov v sieti, ak existuje brána, odošle sa späť odpoveď.

Techniky útoku typu Man-in-the-middle (MiTM) v Intercepter-NG

Keď stlačíte tlačidlo Nakonfigurujte MiTM Otvorí sa dialógové okno (klobúk s okom). MiTM útoky:

Obsahuje zoznam podporovaných techník.

SSL MiTM

Toto je stará klasická technika spoofingu certifikátov. Umožňuje zachytávať dáta z akéhokoľvek protokolu chráneného SSL. Štandardne podporované: HTTPS, POP3S, SMTPS, IMAPS. Voliteľne môžete zadať ľubovoľný ďalší port.

Pri zachytení HTTPS sa certifikáty generujú za behu, kopírujúc pôvodné informácie z požadovaného zdroja. Pre všetky ostatné prípady sa používa statický certifikát.

Pri používaní tejto funkcie sú samozrejme nevyhnutné upozornenia z prehliadača a iného klientskeho softvéru.

Nová verzia úplne prepísala kód pre SSL MiTM. Teraz funguje rýchlo a stabilne. Zmenil sa aj algoritmus na generovanie certifikátov, pribudli k nim ďalšie DNS záznamy a všetky certifikáty sú podpísané jedným kľúčom ( misc\server). To znamená, že pridaním tohto certifikátu s vlastným podpisom do zoznamu dôveryhodných certifikátov na cieľovom počítači bude možné počúvať SSL prevádzku na akomkoľvek zdroji (kde nie je pripnutie SSL). Funkcia Cookie Killer teraz funguje pre pripojenia SSL. Objavila sa čierna ( misc\ssl_bl.txt) a biele listiny ( misc\ssl_wl.txt). Môžu vylúčiť alebo naopak striktne špecifikovať IP adresy alebo domény, na ktoré sa má alebo nemá SSL MiTM aplikovať. Pri zadávaní extra ssl portu už nie je potrebné špecifikovať typ read\write, stačí zadať číslo portu. Všetka návštevnosť sa zapisuje do ssl_log.txt.

Pás SSL

SSL Strip je „tichá“ technika na zachytávanie pripojení HTTPS. Na dlhú dobu pracovná verzia existovala iba pod Unixom, teraz je možné podobné akcie vykonávať v prostredí NT. Ide o to, že útočník je „uprostred“, analyzuje sa HTTP prevádzka, identifikujú sa všetky odkazy https:// a nahradia sa http://. Klient teda pokračuje v nechránenej komunikácii so serverom režim. Všetky žiadosti o nahradené odkazy sú monitorované a ako odpoveď sa doručujú údaje z pôvodných zdrojov https.

Pretože Nie sú nahradené žiadne certifikáty a neexistujú žiadne upozornenia. Na simuláciu zabezpečeného pripojenia sa ikona favicon nahradí.

D.N.C.<>ICMP

Toto je úplne nová technika, už spomenutá alebo neimplementovaná. Je postavený na rovnakom starom ICMP Redirect MiTM, ale otvára nový spôsob snímania údajov. Prvý krok tohto útoku je podobný klasickému presmerovaniu ICMP, no je tu jeden dôležitý rozdiel.

Tzv. nový záznam“ je server DNS obete. Prevezmeme kontrolu nad všetkými požiadavkami DNS a urobíme nejaké kúzla predtým, ako obeť dostane odpovede.

Keď vyriešime somehost.com, DNS nám pošle odpoveď obsahujúcu jednu alebo viac odpovedí z adresy somehost.com. Okrem toho môže obsahovať odpovede „navyše“ a o tie sa tiež postaráme. Po dokončení prvej časti útoku obeť začne posielať všetky požiadavky DNS cez hostiteľa útočníka (NAT). Keď NAT dostane odpoveď od DNS, prečíta všetky IP adresy a potom odošle správy o presmerovaní ICMP obeti s preloženou IP.

Takže v čase, keď NAT odošle odpoveď DNS späť obeti, jej smerovacia tabuľka už obsahuje záznamy pre všetky preložené adresy, ktoré ukazujú na nášho hostiteľa!

To znamená, že budeme čuchať nielen DNS obete, ale všetko, čo bolo vyriešené. Všetka prevádzka bude sfalšovaná cez falošnú IP\MAC.

Táto časť útoku sa vykonáva na strane NAT, preto ju musíte správne nakonfigurovať.

Začiarknite políčko „DNS over ICMP“ a potom vyplňte:

• Adresa IP smerovača je predvolená adresa IP brány, ktorú používa obeť.
• IP klienta je adresa IP obete. Môžete pridať viacero cieľov, ale nezabudnite začať odoslaním paketu presmerovania ICMP na každý cieľ z interceptora.

Po pridaní klientov by ste mali zadať voľnú/nepoužitú IP do poľa "New Gateway" a do "Stealth IP".

Vyberte adaptér, mali by byť rovnaké, pretože budeme smerovať prevádzku v jednej ethernetovej oblasti.

Spustite NAT.

Všetky DNS odpovede sú uložené v špeciálnom zozname a NAT pravidelne (v súlade s časom nastaveným v nastaveniach) opätovne posiela ICMP presmerovania,

Na konci musíte urobiť ešte jednu akciu. Nemôžete dezinfikovať smerovaciu tabuľku obete (ako pri otrave ARP), takže musíte zrušiť začiarknutie políčka „DNS ↔ ICMP“, aby ste zabránili opätovnému odosielaniu presmerovaní ICMP a počkať približne 10-15 minút. Potom už nebudú pridané žiadne nové položky, ale staré budú fungovať bez problémov cez NAT, kým nevyprší ich platnosť.

WPAD MiTM

Podrobnosti nájdete v popise možnosti. Konfigurácia WPAD (PROXY:PORT).

SMB Hijack

SSH MiTM

Môžete zachytiť autentifikačné údaje SSH (login/heslo) a vidieť všetky príkazy prechádzajúce počas vzdialenej relácie. Podporované sú 2 autentifikačné mechanizmy: heslo a interaktívne. Na snímanie údajov obete sa musíme správať ako skutočný sshd a poskytujeme vlastné kľúče rsa/dsa. Ak pôvodný hostiteľský kľúč uloží obeť do vyrovnávacej pamäte, zobrazí sa varovné hlásenie, ak sa neuloží do vyrovnávacej pamäte, na strane klienta nebudú žiadne známky útoku.

Akonáhle je obeť prihlásená, môže pracovať ako zvyčajne, vykonávať príkazy a pseudografické programy, ako napríklad polnočný veliteľ. Intercepter zachytí požiadavky WINDOW_CHANGE, takže ak sa obeť rozhodne zmeniť veľkosť okna, všetko sa správne prekreslí, aby zodpovedalo novej veľkosti okna.

Program pracuje so vzdialenou reláciou, ale nefunguje s SFTP. Ak obeť začne SFTP klient, overovacie údaje budú zachytené, ale potom sa spojenie zahodí a označí. Potom, keď sa obeť pokúsi znova pripojiť, bude mať okrem nášho falošného sshd aj prístup k pôvodnému serveru ssh.

Je potrebné spomenúť, že útočník sa prihlási na vzdialený server a zanechá svoju IP adresu v protokoloch. V expertnom režime si môžete vybrať možnosť zrušiť ssh pripojenie po prijatí poverení obete. Spojenie bude označené a pri ďalšom pokuse program povolí prístup k pôvodnému serveru.

G.P

Ďalšie možnosti pre útoky typu man-in-the-middle (MiTM) v Intercepter-NG

V sekcii sa nachádzajú aj tlačidlá na používanie týchto funkcií Možnosti MiTM(kocky, symbol JDownloader, injekčná striekačka, štít a symbol voľne stojaceho radiačného rizika):

Traffic Changer (zmena textových údajov v toku sieťovej prevádzky)

Môžete nahradiť iba dáta rovnakej veľkosti bez zmeny dĺžky paketov. Povedzme, že prehliadač otvorí site.com/file.txt, ktorý obsahuje reťazec „12345“. Ako odpoveď na požiadavku GET server vráti HTTP hlavičku označujúcu dĺžku prenášaných dát - Content-length: 5. Čo sa stane, ak nahradíme „12345“ za „12356“? Prehliadač stiahne iba 5 bajtov, pričom pridaných „6“ zahodí, a ak zmenšíme veľkosť údajov nahradením „12345“ za „1234“, prehliadač dostane iba 4 bajty a počká na ďalší 1 bajt zo servera, kým spojenie sa ukončí časovým limitom. Preto bolo urobené toto obmedzenie veľkosti. Môžete zmeniť textové aj binárne údaje, syntax pre binárne vzory je rovnaká ako v C – „\x01\x02\x03“.

Ak je potrebná náhrada v prenose HTTP, potom v nastaveniach musíte povoliť možnosť „Zakázať kódovanie HTTP gzip“.

Spoofing

Spoofing vám umožňuje presmerovať hostiteľov na danú IP. Podporované sú protokoly DNS, NBNS, LLMNR.

Pomocou DNS môžete zadať masku na presmerovanie všetkých subdomén. Zvyčajne sa vytvoria páry domain.com:IP, ale subdomény nebudú sfalšované. Ak chcete presmerovať všetky, pridajte * (hviezdičku) pred názov domény: *host.com

Vynútené stiahnutie a vstreknutie JS

Obe novinky sa týkajú režimu HTTP Injection. V ruštine možno vynútené sťahovanie preložiť ako „nútené sťahovanie“, pretože presne to sa deje na strane cieľa počas surfovania na webe. Pri vstupe na stránku sa ponúkne stiahnutie súboru určeného útočníkom v závislosti od nastavení prehliadača, môže sa stiahnuť sám a používateľ si potom vyberie, či ho spustí alebo nie.

Ako viete, do núteného sťahovania môžete pridať súbor .exe s ľubovoľným obsahom a zdrojom tohto súboru bude stránka, ktorá sa nachádza v momentálne navštívil používateľ. Keď viete, že cieľ otvorí adobe.com, môžete vydať flashplayer.exe a zdroj tohto súboru bude uvedený ako adobe.com alebo niektorá z jeho subdomén.

Po jednorazovej injekcii sa nútenie vypne, aby ste mohli znova podať injekciu, musíte znova kliknúť na príslušné začiarkavacie políčko.

JS Inject nie je výslovne prítomný medzi ovládacími prvkami, pretože v skutočnosti je to najbežnejšia injekcia http, ale s jedným rozdielom. Pri výmene jedného súboru za iný, napríklad obrázky.jpg za daný, ide práve o nahradenie jedného obsahu iným. Nahradenie skriptu .js môže s najväčšou pravdepodobnosťou narušiť činnosť zdroja, takže v novej verzii js inject nenahrádza jeden skript druhým, ale pridáva ho k existujúcemu, čím pridáva možnosť zaviesť ďalší kód bez ovplyvnenia pôvodného .

Režim FATE kombinuje dve nové funkcie: FAke site a FAke update.

Hlavným cieľom FAke site je získať autorizačné údaje z akéhokoľvek webového zdroja, pričom sa obíde SSL a iné bezpečnostné mechanizmy. To sa dosiahne klonovaním autorizačnej stránky a vytvorením šablóny, ktorá bude hosťovaná na vstavanom pseudowebovom serveri. V predvolenom nastavení obsahuje zachytávač jednu šablónu pre accounts.google.com, pretože pôvodná stránka vyžaduje, aby ste vyplnili pole s prihlasovacím menom a potom heslom. Táto šablóna bola mierne upravená, aby umožnila obe polia byť aktívne súčasne. Pred útokom musíte zadať doménu, na ktorej bude šablóna hosťovaná. Po začatí útoku sa do cieľovej prevádzky vloží presmerovanie na vybranú doménu a následne interceptor automaticky vykoná DNS spoofing na požadované adresy. V dôsledku toho sa v prehliadači otvorí vybraná autorizačná stránka.

Funkčnosť FAke updaTE (falošné aktualizácie) znamená objavenie sa správ o inštalácii „obete“ softvér a údajne sťahovanie aktualizačného súboru, do ktorého bola pridaná užitočná časť. Zoznam podporovaného softvéru je veľmi skromný. Ak chcete, môžete pridať svoje vlastné šablóny, ich štruktúru si môžete pozrieť v misc\FATE\updates.

ARP Poison (ARP leptanie)

Časť klasického útoku typu man-in-the-middle. Tento útok začína skenovaním hostiteľov. Keď sú hostitelia objavení a niektorí z nich sú vybraní ako ciele, začne otrava ARP, v dôsledku čoho napadnutí hostitelia začnú posielať svoju prevádzku nie na bránu, ale na útočníka. Útočník študuje (sniffuje) túto komunikáciu, vykonáva ďalšie manipulácie a posiela ju na cieľový server. Cieľový server odpovie útočníkovi (ako zdroj požiadavky), táto prevádzka je tiež sniffovaná, upravená a preposlaná obeti. Výsledkom je, že pre obeť nenastanú žiadne významné zmeny – je to ako keby si vymieňala dáta so vzdialeným serverom.

Ďalšie funkcie Intercepter-NG

Štartovacie tlačidlá doplnkové funkcie nachádza sa v samostatnej časti pravého stĺpca v okne programu:

Intercepter-NG má teraz svoj vlastný sieťový skener, ktorý nahradil primitívny skener portov z predchádzajúcich verzií. Jeho hlavné funkcie:

1. Skenujte otvorené porty a heuristicky zistite nasledujúce protokoly: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC, RDP.
2. Zistite prítomnosť SSL na otvorenom porte, prečítajte si bannery a rôzne hlavičky webu.
3. Ak sa zistí proxy alebo sox, skontrolujte, či sú otvorené smerom von.
4. Skontrolujte prístup bez hesla k serverom VNC, skontrolujte SSL na HeartBleed. Prečítajte si version.bind z DNS.
5. Skontrolujte, či sa v databáze nenachádzajú skripty na webovom serveri, ktoré sú potenciálne zraniteľné voči ShellShock. V databáze skontrolujte zoznam adresárov a súborov pomocou 200 OK, ako aj zoznam adresárov z robots.txt.
6. Zistite verziu OS cez SMB. Ak máte anonymný prístup, získajte miestny čas, dostupnosť, zoznam zdieľaných zdrojov a lokálnych používateľov. Pre nájdených používateľov sa spustí automatické vyhľadávanie hesiel.
7. Určte zo vstavaného zoznamu používateľov SSH meraním času odozvy. Pre nájdených používateľov sa spustí automatické vyhľadávanie hesiel. Ak enumerácia neprinesie výsledky (nefunguje vo všetkých verziách), vyhľadávanie sa spustí iba pre root.
8. Automatická hrubá sila pre HTTP Basic a Telnet. Vzhľadom na zvláštnosti protokolu telnet sú možné falošné poplachy.

Môžete skenovať akýkoľvek cieľ v lokálnej sieti aj na internete. Môžete zadať zoznam portov na skenovanie: 192.168.1.1:80,443 alebo rozsah 192.168.1.1:100-200. Môžete určiť rozsah adries pre skenovanie: 192.168.1.1-192.168.3.255.

Pre presnejší výsledok je možné skenovať iba 3 hostiteľov naraz. Doslova na poslednú chvíľu pribudli kontroly údajov z SSL certifikátov, ak sa napríklad vyskytne slovo Ubiquiti a otvorený port 22, tak hrubou silou SSH užívateľ ubnt. To isté platí pre dvojicu hardvéru Zyxel s používateľom admin. Pre prvé vydanie skenera je dostatok funkcií a je dobre odladený.

HeartBleed Exploit

Testuje, či je cieľ zraniteľný voči HeartBleed. Ak je cieľ zraniteľný, zneužije túto zraniteľnosť a dostane časť obsahu RAM vzdialený hostiteľ.

Režim Bruteforce

Útoky hrubou silou (brute force, brute force) sú podporované pre nasledujúce sieťové protokoly:

• POP3 TLS
• SMTP TLS
• HTTP Basic
• Príspevok HTTP
• TELNET
• VMware

Môžete nastaviť počet vlákien, v ktorých sa budú kontrolovať poverenia.

Keď uplynie časový limit, aktívne vlákno sa reštartuje z rovnakého miesta a proces vyhľadávania pokračuje.

Dostupné Single Mode, čo znamená, že každý nový pár login:heslo by sa mal skontrolovať pri nadviazaní nového spojenia pre niektoré protokoly to umožňuje vyššiu rýchlosť; Prevádzkový denník sa uloží do brute.txt.

Funkcie ARP

Okrem leptania ARP a skenovania ARP existuje niekoľko ďalších funkcií spojených s protokolom ARP. Dve z nich sú umiestnené v samostatných tlačidlách v pravom stĺpci v okne programu:

• ARP hodinky: Vybudovaná služba osobného monitorovania ARP. Musíte začať vykonaním skenovania ARP, aby ste vyplnili zoznam dôveryhodných („čistých“) adries MAC. Ak sa niekto pokúsi otráviť vašu vyrovnávaciu pamäť arp, zobrazí sa varovné hlásenie.
• ARP Cage: Izoluje cieľovú IP adresu od ostatných lokálnych hostiteľov sfalšovaním položiek tabuľky arp.

Príklady spustenia Intercepter-NG

Ako spustiť MiTM v Intercepter-NG

Začnite výberom sieťový adaptér (Sieťový adaptér):

Kliknite kliknite pravým tlačidlom myši na prázdny stôl a vyberte Inteligentné skenovanie:

Zobrazí sa zoznam cieľov:

Pridajte tie, ktoré potrebujete ako ciele ( Pridať ako cieľ):

Ak chcete začať čuchať, kliknite na príslušnú ikonu:

Prejdite na kartu Režim MiTM(toto je glóbus s prepojovacími káblami) a kliknite na ikonu ARP Poison(symbol radiačného nebezpečenstva):

V záložke Režim hesla(symbol je kľúčenka), zobrazia sa získané poverenia:

Práca s Wi-Fi a práca s Ethernetom

Pri práci s Wi-Fi alebo káblovým pripojením nie sú žiadne rozdiely, ale musíte prejsť na požadovaný režim kliknutím na ikonu:

Offline analýza zachytávacích súborov pcap

Existuje veľa možností, ktoré môžu spomaliť alebo urýchliť čas analýzy.

1. Na začiatok, ak potrebujete prečítať veľký súbor .pcap, vypnite možnosť „ Vyriešiť".
2. Ak váš súbor .pcap obsahuje veľké súbory a je zapnutá funkcia Resurrection, rýchlosť môže klesnúť. Riešením je nastavenie limitu maximálnej veľkosti súboru na obnovu.
3. Ak nepotrebujete nič rekonštruovať, tak túto možnosť vypnite v nastaveniach. Rýchlosť sa zvýši.
4. Ak potrebujete analyzovať iba konkrétny protokol, napríklad ICQ\AIM alebo iba HTTP, nastavte príslušný filter " filter pcap"od RAW REŽIM: tcp port xxx, Kde xxx je číslo portu vášho protokolu.
5. Na analýzu môžete načítať viac ako jeden záber. IN Otvoriť dialóg vyberte niekoľko súborov, všetky budú analyzované jeden po druhom.

Inštalácia Intercepter-NG

Inštalácia na Linux Kali

Ak chcete nainštalovať a spustiť Intercepter-NG v Kali Linux spustite nasledujúce príkazy:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo cp packet/packet. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Load Intercepter-NG v1. 0 a vymazať dll súbory wpcap.dll a Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip rozbaliť Intercepter- NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Inštalácia na Windows

Ak chcete nainštalovať Intercepter-NG na Windows, prejdite na a stiahnite si príslušný archív (bez písmen C.E.). Program nevyžaduje inštaláciu, stačí rozbaliť archív a spustiť súbor .exe.

Inštalácia v systéme Android

Ak chcete nainštalovať Intercepter-NG na Android, prejdite na a stiahnite si súbor apk. Na úspešné spustenie aplikácie sú potrebné práva root.

Snímky obrazovky Intercepter-NG

Čo je Intercepter-NG

Uvažujme o podstate fungovania ARP na jednoduchý príklad. Počítač A (IP adresa 10.0.0.1) a Počítač B (IP adresa 10.22.22.2) sú prepojené ethernetovou sieťou. Počítač A chce poslať dátový paket do počítača B, pozná IP adresu počítača B. Sieť Ethernet, ku ktorej sú pripojené, však nefunguje s adresami IP. Preto, aby mohol počítač A vysielať cez Ethernet, potrebuje poznať adresu počítača B v sieti Ethernet (MAC adresu v ethernetových podmienkach). Na túto úlohu sa používa protokol ARP. Pomocou tohto protokolu počítač A odošle požiadavku na vysielanie adresovanú všetkým počítačom v rovnakej doméne vysielania. Podstata požiadavky: „počítač s IP adresou 10.22.22.2, poskytnite svoju MAC adresu počítaču s MAC adresou (napríklad a0:ea:d1:11:f1:01).“ Ethernetová sieť doručí túto požiadavku všetkým zariadeniam na rovnakom ethernetovom segmente, vrátane počítača B. Počítač B odpovie počítaču A na požiadavku a oznámi svoju MAC adresu (napr. 00:ea:d1:11:f1:11). dostal MAC adresu počítača B, počítač A mu môže cez ethernetovú sieť prenášať akékoľvek dáta.

Aby pred každým odoslaním údajov nebolo potrebné používať protokol ARP, prijaté MAC adresy a im zodpovedajúce IP adresy sa nejaký čas zaznamenávajú do tabuľky. Ak potrebujete posielať údaje na rovnakú IP, potom nie je potrebné zakaždým vyhľadávať zariadenia pri hľadaní požadovaného MAC.

Ako sme práve videli, ARP obsahuje požiadavku a odpoveď. MAC adresa z odpovede sa zapíše do tabuľky MAC/IP. Po prijatí odpovede sa žiadnym spôsobom nekontroluje jej pravosť. Navyše ani nekontroluje, či bola žiadosť podaná. Tie. môžete okamžite poslať ARP odpoveď na cieľové zariadenia (aj bez požiadavky) so sfalšovanými údajmi a tieto údaje skončia v tabuľke MAC/IP a budú použité na prenos údajov. Toto je podstata útoku spoofingu ARP, ktorý sa niekedy nazýva leptanie ARP, otrava ARP cache.

Popis útoku spoofingu ARP

Dva počítače (uzly) M a N v lokálnej sieti Ethernet si vymieňajú správy. Útočník X, ktorý sa nachádza v rovnakej sieti, chce zachytávať správy medzi týmito uzlami. Predtým, ako sa na sieťové rozhranie hostiteľa M použije ARP spoofingový útok, tabuľka ARP obsahuje IP a MAC adresu hostiteľa N. Aj na sieťovom rozhraní hostiteľa N tabuľka ARP obsahuje IP a MAC adresu hostiteľa M .

Počas útoku spoofingu ARP odošle uzol X (útočník) dve odpovede ARP (bez požiadavky) – uzlu M a uzlu N. Odpoveď ARP uzlu M obsahuje IP adresu N a MAC adresu X. Odpoveď ARP na uzol N obsahuje IP adresu M a MAC adresu X.

Keďže počítače M a N podporujú spontánne ARP, po prijatí odpovede ARP zmenia svoje tabuľky ARP a teraz ARP tabuľka M obsahuje MAC adresu X viazanú na IP adresu N a ARP tabuľka N obsahuje MAC adresu X, viazaný na IP adresu M.

Útok ARP-spoofing je teda dokončený a teraz všetky pakety (rámce) medzi M a N prechádzajú cez X. Napríklad, ak M chce poslať paket do počítača N, potom M hľadá vo svojej ARP tabuľke, nájde záznam s IP adresou hostiteľa N, vyberie odtiaľ MAC adresu (a tam už je MAC adresa uzla X) a odošle paket. Paket prichádza na rozhranie X, je ním analyzovaný a potom poslaný do uzla N.

pozretí: 2890

Úvod

S veľkým potešením by som vám rád predstavil novú verziu Intercepter-NG 0.9.10, ktorá podľa môjho názoru
výrazne rozširuje rozsah nástroja. Táto recenzia nebude prezentovaná vo forme suchého zoznamu.
inovácie, ale skôr ako popis nových vektorov útokov spolu s množstvom technických detailov a prvkov hack-story. Začnime...

Sieťové skenovanie

Ako vždy bolo urobených veľa opráv a drobných vylepšení, ktoré nemá zmysel vypisovať.
Každý, kto nástroj často používa, vie, že jedným z hlavných režimov je režim sieťového skenovania a najmä funkcia Smart Scan. K už známym informáciám o IP a MAC adresách, výrobcovi sieťovej karty a operačnom systéme pribudlo zobrazenie názvu počítača.
Počas rovnakého časového obdobia môžete teraz dodatočne zistiť názov Netbios alebo názov zariadenia so systémom iOS.
Na vyriešenie tohto problému sa používa protokol MDNS, na základe ktorého funguje protokol Bonjour od spoločnosti Apple Všetky prijaté mená sa teraz ukladajú do súboru vyrovnávacej pamäte a ak sa počas nasledujúcich skenov z nejakého dôvodu nezískali informácie o názve hostiteľa dynamicky, bude sa brať z cache Tu môžeme spomenúť aj vzhľad funkcie Auto ARP Poison, ktorá je povolená v expertnom nastavení V režime automatického jedu stačí pridať do zoznamu cieľov iba 1 hostiteľa Intercepter bude skenovať sieť sám v určitom intervale a automaticky pridá nové ciele.

Režim Bruteforce

Tento režim pridáva podporu TLS SMTP protokoly a POP3, ako aj autorizáciu hrubou silou TELNET.
Teraz, keď uplynie časový limit, aktívne vlákno sa reštartuje z rovnakého miesta a proces vyhľadávania pokračuje.
Objavil sa režim Single Mode, ktorý naznačuje, že každý nový pár LP by sa mal skontrolovať s vytvorením nového spojenia, pre niektoré protokoly to umožňuje vyššiu rýchlosť. Operačný protokol je uložený v brute.txt.

Menič dopravy

Viac ako raz sa vyskytli požiadavky na implementáciu funkcie nahrádzania premávky a nezostali nepovšimnuté, ale nemali by ste sa radovať vopred.
Na protiotázku: "Prečo presne potrebujete túto príležitosť?" pre niektorých používateľov bolo ťažké odpovedať alebo povedali, že je vtipné meniť slová v návštevnosti webu. A aby sme každému vtipkárovi nevysvetľovali, prečo výsledok nie vždy spĺňa očakávania, nahradiť môžete len rovnako veľké dáta bez zmeny dĺžky paketov. Obmedzenie vôbec nesúvisí s problémami technickej implementácie, neexistujú žiadne ťažkosti pri rozdeľovaní ethernetových rámcov s prepočítavaním zodpovedajúcich polí TCP. Všetko závisí od aplikačných protokolov. Pozrime sa na príklad s HTTP.

Povedzme, že prehliadač otvorí site.com/file.txt, ktorý obsahuje reťazec „12345“. Ako odpoveď na požiadavku GET server vráti HTTP hlavičku označujúcu dĺžku prenášaných dát - Content-length: 5. Čo sa stane, ak nahradíme „12345“ za „12356“? Prehliadač stiahne iba 5 bajtov, pričom pridaných „6“ zahodí, a ak zmenšíme veľkosť údajov nahradením „12345“ za „1234“, prehliadač dostane iba 4 bajty a počká na ďalší 1 bajt zo servera, kým spojenie sa ukončí časovým limitom. Preto bolo urobené toto obmedzenie veľkosti. Môžete zmeniť textové aj binárne údaje, syntax binárnych vzorov je rovnaká ako v C – „x01x02x03“.
Ak je potrebná náhrada v prenose HTTP, potom v nastaveniach musíte povoliť možnosť „Zakázať kódovanie HTTP gzip“.

Spoofing HSTS

Ako som sľúbil, ukázalo sa HSTS bypass pri vykonávaní SSL Strip. Technika bypassu je pomerne jednoduchá, ale pri implementácii existujú určité ťažkosti, takže by ste nemali očakávať žiadne špeciálne výsledky. Zoberme si príklad na Yandex Mail pomocou prehliadača Chrome. Ak prejdete na , tak v pravom hornom rohu bude https odkaz “Prihlásiť sa do pošty”, s ktorým si SSL Strip jednoducho poradí. Ďalej sa otvorí autorizačný formulár, kde sa údaje prenesú do metódy POST. Aj po odstránení https dôjde k autorizácii cez SSL, pretože hostiteľ passport.yandex.ru je zahrnutý v predinštalovanom zozname chrome. Aby sme mohli stále zachytávať údaje, musíme nahradiť názov hostiteľa passport.yandex.ru niečím iným, aby prehliadač nezistil, že tento zdroj by mal byť navštevovaný výlučne cez zabezpečené pripojenie. Passport.yandex.ru môžete napríklad nahradiť paszport.yandex.ru, v tomto prípade budú údaje odoslané ako čistý text na zmenený názov domény. Ale pretože takáto doména - paszport.yandex.ru neexistuje, potom musíte dodatočne vykonať DNS Spoofing, t.j. Pri riešení paszport.yandex.ru by mal klient ako odpoveď dostať pôvodnú IP adresu z passport.yandex.ru. Tento postup je automatizovaný a pri vykonávaní útoku nevyžaduje ďalší zásah používateľa. Jediné, čo je potrebné, je najprv vytvoriť zoznam náhrad v súbore mischsts.txt. V predvolenom nastavení existuje niekoľko záznamov pre yandex, gmail, facebook, yahoo. Je dôležité pochopiť, že táto technika obchádzania neumožní zachytenie relácie alebo autorizácie, ak používateľ zadá facebook.com do prehliadača, pretože prehliadač okamžite otvorí zabezpečenú verziu stránky. V tomto prípade je útok možný len vtedy, ak je odkaz na facebook.com prevzatý z iného zdroja, napríklad pri zadávaní facebooku do . Medzi hlavné problémy pri implementácii útoku patrí nepredvídateľná logika fungovania stránok so svojimi subdoménami a funkcie webového kódu, ktoré môžu negovať akékoľvek pokusy.
bypass HSTS. Preto by ste do zoznamu nemali pridávať žiadne stránky, dokonca aj domény prítomné v Intercepter-NG štandardne majú svoje vlastné charakteristiky a nie vždy fungujú správne. Naozaj nechcem robiť barličky pre každý zdroj, možno sa v budúcnosti urobia nejaké univerzálne vylepšenia, ale zatiaľ, ako sa hovorí, tak je.
Ešte jedna nuansa, v súčasnej implementácii je na vykonanie DNS Spoofing potrebné, aby DNS server nebol v lokálnej sieti, aby bolo možné vidieť DNS požiadavky na bránu a reagovať na ne podľa potreby.

Je dôležité poznamenať, že nová verzia výrazne zlepšila prácu samotného SSL Stripu.

Vynútené stiahnutie a vstreknutie JS

Obe novinky sa týkajú režimu HTTP Injection. V ruštine možno vynútené sťahovanie preložiť ako „nútené sťahovanie“, pretože presne to sa deje na strane cieľa počas surfovania na webe. Pri vstupe na stránku sa ponúkne stiahnutie súboru určeného útočníkom v závislosti od nastavení prehliadača, môže sa stiahnuť sám a používateľ si potom vyberie, či ho spustí alebo nie.
Ako viete, do núteného sťahovania môžete pridať súbor .exe s ľubovoľným obsahom a zdrojom tohto súboru bude stránka, ktorú používateľ práve navštevuje. Keď viete, že cieľ otvorí adobe.com, môžete vydať flashplayer.exe a zdroj tohto súboru bude uvedený ako adobe.com alebo niektorá z jeho subdomén.
Po jednorazovej injekcii sa nútenie vypne, aby ste mohli znova podať injekciu, musíte znova kliknúť na príslušné začiarkavacie políčko.

JS Inject nie je výslovne prítomný medzi ovládacími prvkami, pretože v skutočnosti je to najbežnejšia injekcia http, ale s jedným rozdielom. Pri výmene jedného súboru za iný, napríklad obrázky.jpg za daný, ide práve o nahradenie jedného obsahu iným. Nahradenie skriptu .js môže s najväčšou pravdepodobnosťou narušiť činnosť zdroja, takže v novej verzii js inject nenahrádza jeden skript druhým, ale pridáva ho k existujúcemu, čím pridáva možnosť zaviesť ďalší kód bez ovplyvnenia pôvodného .

SSL MiTM

Postupne približujeme najzaujímavejšie novinky. Nová verzia úplne prepísala kód pre SSL MiTM. Teraz funguje rýchlo a stabilne. Zmenil sa aj algoritmus na generovanie certifikátov, boli do nich pridané ďalšie DNS záznamy a všetky certifikáty sú podpísané jedným kľúčom (miscserver). To znamená, že pridaním tohto certifikátu s vlastným podpisom do zoznamu dôveryhodných certifikátov na cieľovom počítači bude možné počúvať SSL prevádzku na akomkoľvek zdroji (kde nie je pripnutie SSL). Funkcia Cookie Killer teraz funguje pre pripojenia SSL. Objavili sa čierne listiny (miscssl_bl.txt) a biele listiny (miscssl_wl.txt). Môžu vylúčiť alebo naopak striktne špecifikovať IP adresy alebo domény, na ktoré sa má alebo nemá SSL MiTM aplikovať. Pri zadávaní extra ssl portu už nie je potrebné špecifikovať typ čítania, stačí zadať číslo portu. Všetka návštevnosť sa zapisuje do ssl_log.txt.

Únos skupinovej politiky

Ďalšia vražedná funkcia v Intercepter-NG. Napriek tomu, že techniku ​​som neobjavil, ide o prvú verejnú a plne funkčnú implementáciu tohto útoku. Podrobný popis k dispozícii a .

SMB opäť raz nasralo Microsoftu, pretože vďaka tejto zraniteľnosti môžete približne za hodinu a pol získať prístup k akémukoľvek počítaču v doméne (okrem doménového radiča). aký to má zmysel?

Každých 90+ náhodné číslo od 0 do 30 minút si člen domény vyžiada skupinové pravidlá od DC. To sa deje prostredníctvom SMB, otvorením sieťovej adresy DCSYSVOLdomain.namePoliciesUUIDgpt.ini.

Obsah tento súbor nasledujúce:

Verzia = 12345

Toto číslo je relatívnou verziou aktuálneho skupinové politiky. Ak s posledná aktualizácia verzia sa nezmenila, potom sa proces získavania skupinových politík zastaví, ale ak je verzia iná, je potrebné ich aktualizovať. V tejto fáze klient požaduje aktívne CSE (rozšírenia na strane klienta) z domény, ktoré zahŕňajú rôzne prihlasovacie skripty, úlohy pre plánovač atď. Prirodzene, útočník, ktorý stojí uprostred, môže nahradiť jednu z úloh, ktoré generuje kontrolér vo forme súboru. V tejto situácii by bola obsluha úplne jednoduchá, ale všetky tieto VVN sú štandardne vypnuté a jediné, čo sa dá urobiť, je upraviť register, pretože pri aktualizácii skupinových politík klient požaduje ďalší súbor – GptTmpl.inf, cez ktorý môžete pridať alebo odstrániť položku. Autori oboch článkov sa rozhodli použiť na demonštráciu spúšťania kódu známu metódu – AppInit_Dll. Nastavili sme požadovaný kľúč databázy Registry na načítanie našej dll zo sieťovej cesty, po čom novovytvorený proces v systéme spustil ľubovoľný kód. Táto metóda je však vhodná len ako dôkaz koncepcie, pretože AppInit_Dll je predvolene zakázaný už mnoho rokov. V tejto súvislosti bola úloha nastavená na nájdenie iného spôsobu vzdialeného spustenia kódu bez toho, aby bolo potrebné čakať na reštart, ako je to v prípade pridávania automatického spustenia do klávesu Run.

Uskutočnilo sa mnoho pokusov dosiahnuť vytúžený cieľ tak či onak, bezvýsledne, až do jedného dobrý človek(thx man) nenavrhol veľmi zaujímavý kľúč databázy Registry, o ktorom som predtým nič nevedel.

Ku kľúču pre akýkoľvek súbor .exe môžete pridať debugger. Zadajte napríklad, že calc.exe sa musí otvoriť cez c:pathdebuger.exe a hneď ako sa spustí kalkulačka, najskôr sa otvorí debugger, v príkazový riadokčo bude cesta k calc To sa už zdalo takmer hotové riešenie, pretože kód bolo možné spustiť aj bez reštartu, aj keď za istých podmienok som sa vtedy uspokojil s obmedzením na nevyhnutnosť účasti používateľov v procese získavania prístupu, t. j. namiesto kalkulačky ste mohli spustiť kód prostredníctvom volania IE alebo Chrome alebo akejkoľvek inej aplikácie, ale objavil sa nový problém. Ak napadnutý používateľ nemal práva správcu, potom ani po prijatí shellu nebolo možné odstrániť ladiaci program, ktorý bol predtým pridaný do registra, čo znamená, že po zastavení útoku alebo po reštarte prestala zneužitá aplikácia fungovať, pretože sfalšovaný sieťovú adresu keďže debuger.exe už neexistuje.
Bolo potrebné nájsť spôsob, ako získať nielen shellový prístup, ale vždy s administrátorskými právami. Vynechajúc všetky následné ťažkosti, popíšem výsledok. Po prijatí skupinových politík ich musí systém použiť, zavolá sa svchost a vytvorí nový proces taskhost.exe s právami SYSTEM. Tým, že sme pôsobili ako debugger pre taskhost.exe, sme zabili dve muchy jednou ranou – shell so SYSTÉMOVÝMI právami sme nielen dostali, ale dostali sme ho aj okamžite, bez akéhokoľvek manuálneho zásahu používateľa. Útok je plne automatizovaný, môžete si vybrať skupinu cieľov naraz a v priebehu jeden a pol až dvoch hodín získate celý súbor aktívnych shell sessions s maximálnymi právami. Na to nemusíte byť ani členom domény. Jediná vec, ktorá je potrebná, je povoliť prístup k sieti: Povolenie všetkých používateľov sa vzťahuje na anonymných používateľov. Pri testovaní, aby ste nečakali hodinu a pol, stačí spustiť gpupdate z konzoly. Testované na opravenom systéme Windows 78.1 v doménach so servermi 2008R22012R2.

Aké sú ochranné opatrenia? Spoločnosť Microsoft vydala opravu pre MS15-011, ktorá predstavuje takzvaný UNC Hardened Access, ktorý vyžaduje manuálne nastavenia. V bulletine je zaujímavá fráza:

"Používatelia, ktorých účty sú nakonfigurované tak, aby mali v systéme menej používateľských práv, by mohli byť menej ovplyvnení ako používatelia, ktorí pracujú s právami správcu."

Ako už bolo jasné, hrozba je rovnako vysoká pre každého používateľa.

Napriek všetkému potenciálu GP Hijacking sa mi zdá, že ďalšia inovácia v tomto vydaní si zaslúži osobitnú pozornosť...

Dezert

To, čo si rozoberieme na konci, nemožno nazvať novou funkciou. Je to skôr vektor útoku, ktorý sa otvorí, keď zdieľanie množstvo už existujúcich riešení v Intercepter-NG.

Dôraz sa v tomto prípade kladie na bezdrôtové siete A mobilných zariadení, najmä so systémom iOS – iPhony a iPady. Každý vie, že základný arp jed týchto zariadení nedáva prakticky nič. Zachytávanie cookies z otvorených stránok v prehliadači je snáď jediná vec, na ktorú sa môžete spoľahnúť, pretože... vo väčšine prípadov používateľ pracuje cez proprietárne aplikácie z rôznych služieb, kde komunikácia so serverom prebieha cez SSL. Aj keď sa pokúsite implementovať SSL MiTM, aplikácie jednoducho prestanú fungovať s nedôveryhodným certifikátom. Preto sa verí, že telefóny a tablety sú v predvolenom nastavení celkom dobre chránené pred odpočúvaním siete.

Predstavte si však nasledujúcu situáciu, v ktorej sedí bežný používateľ Aplikácia Instagram a pozerá cez feed.
Zrazu aplikácia prestane fungovať, sťažuje sa na nedostatok pripojenia a používateľ si v prehliadači otvorí stránku instagram.com, kde vyskočí upozornenie s textom „Ak chcete pokračovať v práci na instagram.com, nainštalujte si nový certifikát Zabezpečenie“ a po zatvorení správy sa na obrazovke objaví požiadavka na inštaláciu nového certifikátu. Ďalší vývoj udalosti samozrejme závisia od používateľa, ale pravdepodobnosť, že aj tak nainštaluje navrhovaný certifikát, je pomerne vysoká, pretože situácia je celkom pravdepodobná: aplikácia prestala fungovať, prešla na stránku, zobrazila sa varovanie o požadovanej aktualizácii, aktualizovala - všetko fungovalo, hoci v skutočnosti útočník zarámoval váš certifikát a teraz číta všetku komunikáciu SSL. Implementácia Forced Download, JS Inject a stabilný SSL MiTM vám umožní implementovať podobný scenár okamžite:

1. Vložte .js s upozornením ("Prosím, nainštalujte nový certifikát pre %doménu%.");
Šablóna %domain% bude vyplnená názvom miesta, kde došlo k injekcii.

2. Vynútiť stiahnutie súboru miscserver.crt - koreňový certifikát v Intercepter-NG.

3. Povoľte SSL MiTM (rovnako ako ssl prúžok na injekcie).

4. Po spustení útoku na cieľové zariadenie prestanú fungovať pripojenia SSL a v prehliadači sa zobrazí upozornenie s certifikátom.

Vynára sa prirodzená otázka: čo robiť s prevádzkou SSL, okrem pasívneho odpočúvania už vytvorených relácií. Na pomoc prichádza Cookie Killer, ktorý správne funguje napríklad na aplikácii Facebook.
iOS má tiež svoj vlastný svätý grál – iCloud, ale resetovanie cookies nepomôže obnoviť jeho reláciu. Bol pridaný špeciálne pre iCloud, ako aj pre Instagram a VK Funkcia iOS Killer, ktorý resetuje relácie špecifikovaných aplikácií a umožní vám zachytiť opätovnú autorizáciu. Tento trik nie je možné vykonať s AppStore, pretože... Zdá sa, že sa tam používa pripnutie SSL. Tento vektor bol testovaný na iOS 56 a 8.4.

V pláne bolo pridať možnosť samostatne vytvárať obslužné programy pomocou LUA alebo prostredníctvom doplnku DLL, ale súdiac podľa reakcií používateľov, nikto nemá skutočný záujem. Nová verzia S najväčšou pravdepodobnosťou to bude budúci rok, možno na jeseň vyjde funkčná aktualizácia Intercepter-NG pre Android. Otázky, spätná väzba, požiadavky na funkcie sú vždy vítané. To je všetko.

Ukážka nových funkcií je prezentovaná vo videu.

Kontakty projektu.