Kali Linux инструменти. Нови функции на легендарния скенер за сигурност Intercepter-NG Interceptor ng не работи

Признаци на бременност след имплантиране на ембрион

След 10 години разработка (това е времето, за което се роди проектът), индексът на версията на Intercepter-NG най-накрая достигна 1.0. По установена традиция актуализациите за Windows се пускат веднъж годишно и юбилейната версия беше наистина успешна. Бих искал да благодаря на всички хора, които през всичките тези години помогнаха при тестването, предоставиха подробна обратна връзка и идейно вдъхновение. Нека започнем прегледа с малките неща и накрая ще разгледаме най-вкусната функция на Intercepter-NG 1.0.

1. В режим RAW вече е възможно да експортирате избрани пакети в .pcap файл. Когато автоматичното запазване е активирано, пакетите, съдържащи данни за оторизация, ще бъдат записани в отделен .pcap.

2. В полето Extra SSL Ports, което се отнася до SSL MiTM, вече можете да въведете множество портове, разделени със запетаи.

3. Когато атакувате LDAP Relay на домейн контролер с език, различен от английски, в експертните настройки можете да посочите необходимата група за добавяне на потребител, например вместо Domain Admins, укажете руския еквивалент на Domain Administrators.

4. Поправена е грешка в манипулатора на хешове на NTLMv2SSP, която пречи на правилното отгатване на паролата.

5. Множество подобрения в режим Bruteforce. Добавено: SSL поддръжка за HTTP, UTF8 поддръжка за LDAP brute force, VNC, Vmware Auth Daemon и RDP протоколи. RDP brute force работи на Windows 7/8/2008/2012. NLA и влизанията и паролите се поддържат на всеки език. RDP защитният слой не се поддържа.

6. Добавена е опцията „Инжектиране на обратна обвивка“ към HTTP инжекциите. Това е принудително изтегляне с полезен товар за обратно свързване към вградената обвивка на прихващача.

7. Множество подобрения и промени като цяло. Спуфингът вече е деактивиран по подразбиране.

СЪДБА

Режимът FATE съчетава две нови функции: ФАЛШИВЕН САЙТ и ФАЛШИВНО АКТУАЛИЗИРАНЕ.

Основната цел на FAKE SITE е да получи данни за оторизация от всеки уеб ресурс, заобикаляйки SSL и други механизми за сигурност. Това се постига чрез клониране на страницата за оторизация и създаване на шаблон, който ще бъде хостван на вградения псевдо-уеб сървър. Как работи това е демонстрирано във видеото в края на публикацията. По подразбиране прехващачът включва един шаблон за accounts.google.com, тъй като оригиналната страница изисква да попълните поле с потребителско име и след това парола.

Този шаблон е леко модифициран, за да позволи и двете полета да бъдат активни едновременно. Преди атаката трябва да посочите домейна, на който ще бъде хостван шаблонът. След като атаката започне, пренасочване към избрания домейн се инжектира в трафика на целта и впоследствие прихващачът автоматично ще извърши DNS подправяне на необходимите адреси. В резултат на това избраната страница за оторизация ще се отвори в браузъра. Процесът на клониране на уебсайт също е демонстриран във видеото на примера на mail.yandex.ru.


Любителите на Linux са запознати с инструмент, наречен Evilgrade, който ви позволява да използвате механизма автоматична актуализацияи имплементирайте произволен полезен товар. Всъщност този вектор е силно надценен, първо, впечатляващият списък от поддържани приложения в Evilgrade е предимно остарял, и второ, повечето от най-популярните приложения проверяват за актуализации по сигурен начин.

Въпреки това, всички са чували за шумните пропуски в механизмите за актуализиране на големите доставчици и това вероятно ще се случи в бъдеще, така че аналогът на Evilgrade се появи в Intercepter-NG, но списъкът на поддържания софтуер е много скромен. Ако желаете, можете да добавите свои собствени шаблони; тяхната структура може да се види в miscFATEupdates. Изпратете ни софтуер, който се актуализира открито, ние ще актуализираме базата данни.

X-сканиране

Преди много години наистина харесах скенер за мрежова сигурност от китайския екип на Xfocus, наречен X-Scan. Леко тегло, удобен дизайн, добра функционалност. В средата на 2000-те години той позволи да се направи много, но по-късно развитието му спря и в сегашните реалности е малко полезно. Поради тази причина исках да създам негов модерен аналог, но някак си не се получи... доскоро. От стара любов под това име се появи Intercepter-NG със собствен мрежов скенер, който замени примитивния порт скенер от предишни версии. И така, какво може да направи?

1. Сканиране отворени портовеи евристично определяне на следните протоколи: SSH, Telnet, HTTPProxy, Socks45, VNC, RDP.

2. Определете наличието на включен SSL отворен порт, четете банери и различни уеб заглавки.

3. Ако бъде открит прокси или sox, проверете дали са отворени навън.

4. Проверете достъпа без парола до VNC сървъри, проверете SSL на HeartBleed. Прочетете version.bind от DNS.

5. Проверете базата данни за скриптове на уеб сървъра, които са потенциално уязвими за ShellShock. Проверете базата данни за списък с директории и файлове с 200 OK, както и списък с директории от robots.txt.

6. Определете версията на ОС чрез SMB. Ако имате анонимен достъп, получете местно време, време за работа, списък със споделени ресурси и локални потребители. Започва автоматично търсене на пароли за намерени потребители.

7. Определете от вградения списък на SSH потребители чрез измерване на времето за реакция. Започва автоматично търсене на пароли за намерени потребители. Ако изброяването не дава резултати (не работи на всички версии), търсенето се стартира само за root.

8. Автоматична груба сила за HTTP Basic и Telnet. Предвид особеностите на протокола telnet са възможни фалшиви положителни резултати.

Можете да сканирате всяка цел, както в локална мрежакакто и в Интернет. Можете да посочите списък с портове за сканиране: 192.168.1.1:80,443 или диапазона 192.168.1.1:100-200. Можете да посочите диапазона от адреси за сканиране: 192.168.1.1-192.168.3.255.

За по-точен резултат могат да се сканират само 3 хоста наведнъж. Буквално в последния момент бяха добавени проверки за данни от SSL сертификати, например, ако се срещне думата Ubiquiti и порт 22 е отворен, тогава автоматично се стартира SSH brute force на потребителя ubnt. Същото важи и за чифт хардуер Zyxel с администраторски потребител. За първото издание на скенера има достатъчно функционалност и е добре дебъгван. Изпратете ни вашите идеи и желания.

ps: първата версия на ръководството на руски ще се появи в близко бъдеще.

Сайт: sniff.su
Огледало: github.com/intercepter-ng/mirror
поща: [имейл защитен]
Twitter: twitter.com/IntercepterNG
Форум: interceptering.boards.net
Блог: intercepter-ng.blogspot.ru

Какво е Intercepter-NG

Нека разгледаме същността на функционирането на ARP прост пример. Компютър A (IP адрес 10.0.0.1) и Компютър B (IP адрес 10.22.22.2) са свързани чрез Ethernet мрежа. Компютър A иска да изпрати пакет данни до компютър B; той знае IP адреса на компютър B. Въпреки това Ethernet мрежата, към която са свързани, не работи с IP адреси. Следователно, за да предава чрез Ethernet, компютър A трябва да знае адреса на компютър B Ethernet мрежи(MAC адрес в термините на Ethernet). За тази задача се използва ARP протоколът. Използвайки този протокол, компютър А изпраща заявка за излъчване, адресирана до всички компютри в същия домейн за излъчване. Същността на искането: „компютър с IP адрес 10.22.22.2, предоставете вашия MAC адрес на компютъра с MAC адрес (например a0:ea:d1:11:f1:01).“ Ethernet мрежата доставя тази заявка до всички устройства в същия Ethernet сегмент, включително компютър B. Компютър B отговаря на компютър A на заявката и съобщава неговия MAC адрес (напр. 00:ea:d1:11:f1:11) Сега, като получи MAC адреса на компютър B, компютър A може да предава всякакви данни към него чрез Ethernet мрежата.

За да се избегне необходимостта от използване на ARP протокола преди всяко изпращане на данни, получените MAC адреси и съответните им IP адреси се записват в таблицата за известно време. Ако трябва да изпратите данни до един и същ IP, тогава няма нужда да анкетирате устройства всеки път в търсене на желания MAC.

Както току-що видяхме, ARP включва заявка и отговор. MAC адресът от отговора се записва в MAC/IP таблицата. Когато се получи отговор, той не се проверява по никакъв начин за автентичност. Освен това дори не проверява дали заявката е направена. Тези. можете незабавно да изпратите ARP отговор до целевите устройства (дори без заявка), с подправени данни, и тези данни ще попаднат в MAC/IP таблицата и ще бъдат използвани за пренос на данни. Това е същността на ARP-spoofing атаката, която понякога се нарича ARP ецване, ARP cache poisoning.

Описание на ARP-spoofing атаката

Два компютъра (възли) M и N в Ethernet локална мрежа обменят съобщения. Нападателят X, намиращ се в същата мрежа, иска да прихване съобщения между тези възли. Преди ARP-spoofing атаката да бъде приложена към мрежовия интерфейс на хост M, ARP таблицата съдържа IP и MAC адреса на хост N. Също така в мрежовия интерфейс на хост N, ARP таблицата съдържа IP и MAC адреса на хост M .

По време на ARP-spoofing атака, възел X (нападателят) изпраща два ARP отговора (без заявка) - към възел M и възел N. ARP отговорът към възел M съдържа IP адреса на N и MAC адреса на X. ARP отговорът към възел N съдържа IP адрес M и MAC адрес X.

Тъй като компютрите M и N поддържат спонтанен ARP, след получаване на ARP отговор, те променят своите ARP таблици и сега ARP таблицата M съдържа MAC адреса X, свързан с IP адреса N, а ARP таблицата N съдържа MAC адреса X, обвързан с IP адрес M.

По този начин ARP-spoofing атаката е завършена и сега всички пакети (рамки) между M и N преминават през X. Например, ако M иска да изпрати пакет до компютър N, тогава M поглежда в своята ARP таблица, намира запис с IP адреса на хоста N, избира MAC адреса от там (и вече има MAC адреса на възел X) и предава пакета. Пакетът пристига на интерфейс X, анализира се от него и след това се препраща към възел N.

Здравейте всички, които четат статията.

Той описва как да прихванете пароли и бисквитки в мрежа с помощта на програмата Intercepter-ng.

Някои поискаха да ни кажат повече за функционалността, други поискаха да покажат повече функции, някой поиска да прегледа най-новата версия (в момента версия 0.9.10.

Трябваше да стана от мързеливия си задник и да започна да изучавам целия материал, който намерих малко по малко.

Когато започнах да пиша черновата, разбрах, че не мога да го направя само с една статия. Следователно днес ще има само теория, описание на някои функции и режими на Intercepter-ng. В рамките на два-три дни ще пиша за практическата работа с програмата и след това ще има няколко видеоклипа (за тези, на които им е по-лесно да се научат).

Ще кажа веднага - нямам дълбоки технически познания, затова пиша с прости думи, и така, че да е ясно на обикновените хора. Ако забележите неточности в моите описания или имате какво да добавите, моля, пишете в коментарите.

Не мога да опиша всяка функция, само това, което мога да намеря сам.

Да започнем да изследваме пациента.

Прехващач-нг. Хакерски инструмент за тестер за проникване.

Функционалност (само малка част от всички възможности).

Нека да разгледаме режимите и бутоните.

1 - Изберете интерфейса, чрез който сте свързани към рутера (иконата отляво превключва Wi-Fi режимиили кабелен режим, изберете вашия).

2 — Режим Messengers. ICQ\AIM\JABBER функция за прихващане на съобщения. Считам го за неуместно в наши дни, така че няма да бъде разгледано.

3. — Режим на възстановяване- режим на възстановяване. Когато жертвата разглежда уебсайтове, има файлове, снимки, някои HTML страници и т.н. Те също са запазени за вас (може не всички да са запазени или само частично). Може би някой ще намери за полезен режима на анализ.

4. - Режим на парола— Тук се показват бисквитките, ако има късмет, паролите, въведени от жертвата, и посетените сайтове. С протокола Https всичко често се свежда до нула и с късмет ще получите само бисквитки. Но благодарение на някои настройки понякога можете да го заобиколите (повече за това по-късно).

5. . Тук ще търсим нашите жертви. За да направите това, щракнете с десния бутон върху прозореца и изберете Smart scan.

Ще бъдат показани всички устройства в мрежата и тяхната приблизителна операционна система.

Stealth IP е вашето скрито IP, под което се криете на работа.

Нека разгледаме по-отблизо режима.

Ако щракнете върху „Promisc detection“, ще видите устройства, които най-вероятно прихващат трафик (често погрешно)... Бъдете внимателни, защото може да покаже, че вашият рутер също е прихващач.

Когато щракнете върху конкретен IP, можете да добавите жертвата към Nat (Добавяне към nat), за да участвате в бъдещо прихващане.

Освен това, ако изберете „Сканиране на портове“, можете да сканирате отворени портове. Функцията Nmap е далече, но ако имате само тази програма под ръка, ще свърши работа.

Тук няма нищо по-интересно.

6. Режим Nat. Nat mode - Основният режим, в който ще работим. Тук се извършва основната подготовка и ARP атаките.

Няма да се съсредоточавам върху това в тази статия; ще го разгледаме в следващата.

7. DHCP режим. DHCP режим - Позволява ви да настроите свой собствен DHCP сървър в мрежата. Не съм работил с този режим и не мога да ви дам съвет за него.

8. RAW режим- Суров режим. Смътно подобен на програмата Wireshark. Показва основната активност в мрежата. Понякога можете да хванете нещо интересно, ако, разбира се, знаете какво да търсите.

9. . Настройки на програмата Intercepter-ng. Това е важна част, така че нека разгледаме по-отблизо.

Заключване на тава— При минимизиране на програмата в трея ще бъде поставена парола. Паролата по подразбиране е 4553.

Запазване на сесията— автоматично записва отчети в PCAP файлове за по-нататъшно проучване и анализ.

Промискуитет- "Безпорядъчен режим." Когато е активирана, програмата чете всички пакети, а ако не е инсталирана, чете само пакети, които са изпратени към посочения интерфейс. Не всеки Wi-Fi модул може да работи с него. Нямам представа за какво служи, не забелязах разлика със или без него.

Автоматично запазване. Автоматично записва отчети в текстов формат в главната папка на програмата.

Мрежов изглед. Преглед като таблици. Ако го изключите, отчетите в програмата ще бъдат изброени. Вижте кое е по-удобно, със или без него.

iOS Killer и Cookie killer. Почти идентични. Cookie killer е проектиран така, че ако жертвата вече има запазена парола на сайта, тя ще излезе от сайта и ще трябва да влезе отново и следователно вие ще получите паролата. iOS killer е предназначен за iPhone и iPad, така че жертвата да може да излезе от социалните клиентски програми (VK, facebook, Icloud и др.).

Понижаване на Kerberos.Kerberos е мрежов протокол, един от видовете удостоверяване. Благодарение на функцията, използвайки smb hijaking, можете да заобиколите тази защита. Аз самият не съм срещал такъв протокол, така че няма да го разглеждаме.

Hsts. Интересна функция за заобикаляне на Hsts от последна версия, но не напълно стабилен. Изводът е, че много сайтове автоматично преминават от Http към защитения протокол Https, което ни пречи да прихванем данни. SSl лентата не винаги се справя, така че тази функция понякога може да помогне.Няма да описвам принципа (можете да го намерите на Хабре).

Единственото, което трябва да направите, е да добавите необходимия домейн към файла misc\hsts.txt в папката с програмата. Някои популярни вече са там. Долната линия е, че трябва да присвоите буква на основния домейн. Например vk.com:vvk.com или ok.ru:oks.ru и т.н.

Програмата ще замени защитената страница за авторизация на сайта с фалшива, но IP адресът за авторизация остава същият като на основната.

В моя пример понякога работи от време на време, но е по-добре от нищо. Експериментирайте като цяло.

Wpad конфигурация. Въведете WPAD-WebProxy Auto-Discovery или активирайте стандартния Wpad прокси. За да го активирате, в режим Nat поставете отметка в квадратчето Wpad mitm.

В експертен режим (икона на планета) може да се интересуваме от отметката Auto ARP poison. Тоест, когато хората се свържат към мрежата, те автоматично ще бъдат добавени към nat режим.

Няма какво повече да имате предвид в раздела Настройки, така че продължете напред.

10. - Експлойт на HeartBleed— търсене на уязвимостта HeartBleed.

11. - Режим Bruteforce— груба сила на някои целеви протоколи. Трябва да знаете потребителското име. В програмата има пароли за Brute и можете да използвате свой собствен речник.

12. ARP часовник— в този режим можете да наблюдавате дали е в ход ARP атака (подслушване на трафик и т.н.) В случай на атаки, предупреждение ще се покаже незабавно в режим Nat.
13. ARP клетка— Arp клетка. Изолира хоста. Пренасочва жертвата към друг IP. полезно при съмнение за изходящ спам и др.

Това е цялата информация, която мога да намеря и сортирам.

На сайта Avi1.ruМного евтини VK reposts вече са налични за поръчка. Побързайте да направите изгодна покупка, докато услугата предлага наистина значителни отстъпки на едро. Можете също така да получите други ресурси за всяка страница в мрежата: харесвания, гледания на публикации и видеоклипове, абонати, приятели и т.н.

Малко за режима Nat.

Тъй като цялата основна работа ще се извърши директно с нас чрез този режим, ще се опитам да опиша какво ще срещнем.

IP на рутера - директно IP на рутера, към който сте свързани. Определя се автоматично, когато извършвате Smart сканиране в режим на сканиране.

Stealth Ip - Вашето скрито IP.

Nat клиенти - тук се показват атакуваните „Жертви“.

Mitm опции.

Конфигуриране на mitms - Тук основните Mitm атаки са активирани/деактивирани.

Ще разгледам два: SSL Mitm и SSL Strip.

SSL mitm - Техника, която замества сертификатите с жертвата.

Необходими за прихващане на данни. За съжаление, много браузъри и клиенти мобилни телефонисе научиха да ги блокират, предупреждавайки ни или дори предотвратявайки достъпа ни до интернет.

Ssl Strip – Също функция, която често ще ни трябва. Е по-скрит SSL. "тиха" техника за прихващане на HTTPS връзки. Няма подправяне на сертификат, така че е по-трудно да се открие и няма предупреждения за проблеми със сигурността. Изисква се при използване на Cookie killer. когато трябва да подхвърлим файл на жертвата и т.н. Ще го разгледаме по-подробно в следващата статия.

Traffic changer - заместване на трафика. Безполезна функционалност за забавление. Заместване Http заявкакъм жертвата (например, човек иска да стигне до един сайт и е пренасочен към друг). Но не всичко е гладко тук, повече подробности в следващата статия.

Конфигуриране на http инжектиране - тук конфигурираме жертвата да изтегли файла, от който се нуждаем. Може да е безвредна картина, скрипт или програма. Повече подробности в следващата статия.

Бутоните Start arp poison и Start nat започват нашата атака. Когато активирате Start arp poison, вторият се активира веднага. Но преди да го включите, трябва да активирате Start sniffing в горната част, до избора на интерфейс на рутера.

Това всъщност е всичко в тази статия, изненадан съм от вашата издръжливост, ако сте чели дотук. Ако има какво да коригирате или добавите, пишете в коментарите и аз ще го добавя към статията.

Един от тези дни ще разгледам работата с Intercepter-ng на практика. Така че останете с нас, докато се срещнем отново.

И не забравяйте - Big Brother ви наблюдава!

Описание на Intercepter-NG

Intercepter-NG е многофункционален набор от мрежови инструменти за ИТ специалисти от различен тип. Основната цел е възстановяване на интересни данни от мрежовия поток и извършване на различни видове атаки човек по средата (MiTM). В допълнение, програмата ви позволява да откривате ARP spoofing (може да се използва за откриване на атаки човек по средата), идентифициране и използване на определени типове уязвимости и идентификационни данни за груба сила за влизане за мрежови услуги. Програмата може да работи както с поток от трафик на живо, така и да анализира файлове със заловен трафик, за да открие файлове и идентификационни данни.

Програмата предлага следните функции:

  • Снифиране на пароли/хешове от следните типове: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE, NTLM , KRB5 РАДИУС
  • Снифиране на чат съобщения: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
  • Реконструирайте файлове от: HTTP, FTP, IMAP, POP3, SMTP, SMB
  • Различни типове сканиране като Promiscuous mode, ARP, DHCP, Gateway, Port и Smart сканиране
  • Улавяне на пакети и последващ (офлайн) анализ / RAW (суров) режим
  • Отдалечено улавяне на трафик чрез RPCAP демон и PCAP през IP
  • NAT, SOCKS, DHCP
  • ARP, DNS през ICMP, DHCP, SSL, SSLSTRIP, WPAD, SMB реле, SSH MiTM
  • SMB Hijack (прихващане), LDAP реле, MySQL LOAD DATA инжектиране
  • ARP Watch, ARP Cage, HTTP инжектиране, Heartbleed exploit, Kerberos Downgrade, Cookie Killer
  • Подправяне на DNS, NBNS, LLMNR
  • Груба сила на различни мрежови услуги

Основната версия работи на Windows, има конзолна версия за Linux и версия за Android.

Лиценз: „както е“

Режими на прехващач-NG

Intercepter-NG има седем основни режима, които съответстват на броя на програмните раздели и броя на основните бутони:

Това са режимите:

  • Пратеници
  • Възкресение
  • Пароли
  • Сканира
  • RAW (суров)

Поставете на първо място Режим Messenger(логото на ICQ). Това се случи по исторически причини - Intercepter-NG първоначално е създаден като програма за прихващане на ICQ съобщения и други мигновени съобщения.

Режим на възкресение(логото на бутона е Феникс) означава възстановяване на файлове от мрежов поток. Това могат да бъдат файлове с изображения, гледани на уебсайтове, както и файлове с прехвърлени архиви, документи и всякакви други.

При преминаване към Режим на парола(трети бутон - ключодържател) ще видите идентификационните данни, заснети от мрежовия поток. Показват се адреси на сайтове, въведени потребителски данни и пароли.

Когато програмата стартира, тя се отваря Режим сканиране(среден бутон - радар). Това е първоначалният режим за стартиране на атаки: сканирането, избирането на цели и задаването на други мрежови параметри се извършва в този раздел.

Раздел MiTM(пакет от свързващи кабели) съдържа полета за въвеждане на целеви настройки, много от които се попълват автоматично по време на сканиране в раздела Сканиране. Има и бутони за стартиране на различни MiTM атаки.

Раздел DHCPсъдържа някои настройки на мрежата и DHCP сървъра.

RAW режим (суров)показва сурова информация за данни, предавани в мрежов поток. Информацията е представена във форма, подобна на .

Съвети за използване на Intercepter-NG и решаване на проблеми:

  • Intercepter-NG изисква WinPcap за работа, но не е необходимо да се инсталира отделно, тъй като Intercepter идва с преносима версия на WinPcap.
  • Ако не виждате вашия адаптер в списъка с адаптери, това означава, че WinPcap не поддържа вашата карта.
  • Ако нищо не работи с WiFi картата, дори ARP гравирането, тогава използвайте иконата на NIC, която се намира от лявата страна на списъка с адаптери, за да превключите към WiFi режим. Също така се уверете, че Stealth IP има достъп до Интернет.
  • В някои редки ситуации услугата BFE (Base Filtering Engine) може да блокира локални портове на Intercepter. Това се проявява по следния начин: ARP работи, но други функции на MiTM не работят (на Windows 7 и по-нови). Антивирусни програми като Avast също могат да ги блокират, дори ако мрежовата защита е деактивирана в контролния панел. Друга причина за това поведение може да бъде едновременната работа WiFi връзкии услуги за споделяне на интернет връзка.
  • Intercepter поддържа 802.11 капсулиране, така че можете да използвате pcap дъмпове от програми и . PPPoE, GRE(PP2P) и допълнителни 802.11 хедъри също се поддържат. Това не означава, че Intercepter може да анализира криптирани данни, това означава, че Intercepter може да премахва ethernet\ip хедъри от пакети от този тип и да ги анализира.
  • Поради ограничения на протокола източникът и дестинацията UIN\MAIL\… може да не се показват в раздела за съобщения в чата.
  • За да копирате данни от таблицата с пароли, щракнете върху реда и натиснете ctrl+c.
  • За да скриете прозореца на програмата, използвайте клавишната комбинация Ctrl+Alt+S. Щракнете върху него отново, за да накарате прозореца да се появи отново.
  • Intercepter може дори да работи на win9x (98 и 95!), но трябва да инсталирате WinPcap 3.1 или WinPcap 4.0beta2. Новите версии на WinPcap не поддържат win9x.
  • Конзолен режим за офлайн анализ:
./intercepter -t dump.cap
  • За да активирате автоматичното надушване, трябва да отворите settings.cfgи редактирай " автоматично стартиране". Стойността по подразбиране е 0 , сменете на номера на интерфейса, който ще подушите.
  • Intercepter преобразува pcap дъмпове със сурови капсулирани IP данни в Ethernet капсулиране (добавяне на информация за Ethernet заглавието).
  • Intercepter може да чете нов формат - pcapng. Тъй като всички файлове за заснемане на pcapng от Wireshark използват само типа „Подобрен пакетен блок“, Intercepter поддържа само този тип пакетен блок. Освен това показва коментари за пакета.
  • В режим raw (RAW) можете да зададете свои собствени правила, като използвате pcap филтри за филтриране на трафика. Вижте синтаксиса за филтриране на pcap за подробности. Пример:
порт 80

означава да получавате само пакети от tcp порт 80 от ядрото.

Не порт 80

означава изключване на пакети от порт 80

Можете да комбинирате правила:

Порт 80, а не порт 25

  • Не трябва да работите с огромни дъмпове в необработен режим, защото Intercepter зарежда всеки пакет в паметта и не използва HDDкато суап дял (файл).

Съвети за опция Intercepter-NG

Опции за снифър:

  • Ако възнамерявате да извършите офлайн анализ на pcap dump, за да ускорите процеса, премахнете отметката от „ Разрешаване на хостове”.
  • Ако поставите отметка на опцията " Заключване на таблата", тогава при възстановяване на прозорец от трея ще бъдете попитани за парола. Паролата по подразбиране е " 4553 ". Можете да го промените във файла settings.cfg. Паролата е кодирана в base64.
  • опция " Запазване на сесията" означава, че Intercepter ще запази всички получени пакети в pcap файл. Този файл може да се използва за офлайн анализ на данни. Това е вид функция за експортиране на резултати.
  • Ако инсталирате Промискуитет, тогава Intercepter отваря мрежовия адаптер в безразборен режим. Това означава, че ще прочете всички пакети, дори и тези, които не са предназначени за това мрежов интерфейс. Ако квадратчето за отметка не е отметнато, то ще чете само пакети, които са изпратени до посочения интерфейс. Някои Wi-Fi карти не поддържат този режим.
  • Уникални данни” - показват само уникални данни за влизане и пароли. Тези. показване на записаните потребителски данни и пароли само веднъж - ако потребителят въведе същото потребителско име и парола отново, те няма да бъдат показани.
  • Автоматично запазване— цялата текстова информация ще се записва на всеки 10 секунди.
  • По подразбиране квадратчето за отметка е „ Мрежов изглед" Това означава, че паролите ще се показват като мрежа с данни. За да видите пълна подробна информация, премахнете отметката от „ Мрежов изглед”.
  • екстремни.В типичен работен процес снифър анализира предварително дефинирани портове, свързани с конкретни протоколи. Ако кажем http, имаме предвид порт 80 (или 8080 или каквото и да е предварително дефинирано в списъка с портове, свързани с http протокола). Тези. Само тези портове ще бъдат анализирани. Ако някои приложения използват различен порт, като например 1234, тогава снифърът няма да анализира пакети, които преминават през него. В режим екстремни Intercepter ще анализира всички TCP пакети, без да проверява портовете. Тези. дори ако някое приложение използва недефиниран порт, снифърът пак ще сканира тези пакети. Въпреки че това забавя производителността (трябва да се проверят много повече портове от обикновено) и може да разкрие неправилни данни или да пропусне правилния протокол (например FTP и POP3 използват един и същи тип оторизация), то предоставя възможност за намиране и прихващане интересни данни за неидентифицирани портове. Използвайте този режим на свой собствен риск, не се изненадвайте, ако нещо се обърка, когато режимът eXtreme е активиран.
  • "Само заснемане" означава, че Intercepter ще записва само пакети в дъмп файл без анализ в реално време. Това е полезно за увеличаване на производителността, когато улавяте много мрежови данни.
  • опция Възкресениеозначава активиране на режима Resurrection, който реконструира файлове от данни, предавани в мрежов поток.
  • IM портове
  • HTTP. Портове, свързани с HTTP, вижте описанието на опцията за подробности екстремни.
  • ЧОРАПИ
  • IRC\BNC

Опции за атака Man-in-the-middle (MiTM) в Intercepter-NG

  • Във всички MiTM атаки, Intercepter използва подправяне (подмяна) на ip\mac адреси (опция Фалшив IP\MAC). Ако използвате Wi-Fi интерфейс, тогава трябва да махнете отметката от тази опция, тъй като 99% от wifi драйверите не позволяват изпращане на пакети с подправен Mac. Въпреки че разкривате истинския си адрес, вие сте най-малкото способни да извършвате MiTM атаки през wifi интерфейса. По-добре е от нищо. Вместо да деактивирате спуфинг в настройките, използвайте WIFI режим. Можете да промените mac, показан в Експертен режим.
  • iOS Killerбеше добавен за iCloud, както и за Instagram и VK. Тази функция (iOS Killer) нулира сесиите на посочените приложения и ви позволява да прихванете преупълномощаване.
  • Понижаване на Kerberos
  • HSTS спуфинг. Заобикаляне на HSTS по време на SSL Strip. Техниката на байпаса е сравнително проста, но има определени трудности при изпълнението, така че не трябва да очаквате специални резултати. Нека да разгледаме пример за използване на Yandex Mail Браузър Chrome. Ако отидете на ya.ru, тогава в горния десен ъгъл ще има https връзка „Вход към пощата“, с която SSL Strip може лесно да се справи. След това ще се отвори формуляр за оторизация, където данните се прехвърлят към passport.yandex.ru чрез метода POST. Дори след премахване на https, оторизацията ще се извърши чрез SSL, защото хостът passport.yandex.ru е включен в предварително заредения списък на chrome. За да продължим да прихващаме данните, трябва да заменим името на хоста passport.yandex.ru с нещо друго, така че браузърът да не открие, че този ресурс трябва да се посещава строго през защитена връзка. Например, можете да замените passport.yandex.ru с paszport.yandex.ru, в този случай данните ще бъдат изпратени до отворена формакъм промененото име на домейн. Но защото такъв домейн - paszport.yandex.ru не съществува, тогава допълнително трябва да направите DNS Spoofing, т.е. когато преобразува paszport.yandex.ru, клиентът трябва да получи оригиналния IP адрес от passport.yandex.ru в отговор.

Тази процедура е автоматизирана и не изисква допълнителна намеса на потребителя при извършване на атака. Единственото нещо, което се изисква, е първо да се направи списък със замени в misc\hsts.txt. По подразбиране има няколко записа за yandex, gmail, facebook, yahoo. Важно е да се разбере, че тази техника за заобикаляне няма да позволи прихващане на сесия или оторизация, ако потребителят въведе facebook.com в браузъра, т.к. браузърът веднага ще отвори защитената версия на сайта. В този случай атаката е възможна само ако връзката към facebook.com е взета от друг ресурс, например при въвеждане на facebook в google.com. Основните проблеми при прилагането на атака включват непредсказуемата логика на това как уебсайтовете работят с техните поддомейни и функции на уеб кода, които могат да отхвърлят всякакви опити за заобикаляне на HSTS. Ето защо не трябва да добавяте никакви сайтове към списъка, дори домейните, присъстващи в Intercepter-NG по подразбиране, имат свои собствени характеристики и не винаги работят правилно. Наистина не искам да правя патерици за всеки ресурс; може би в бъдеще ще бъдат направени някои универсални подобрения, но засега, както се казва, както е. Още един нюанс, в текущата реализация за DNS Spoofing е необходимо това DNS сървърне беше в локалната мрежа, така че беше възможно да се видят DNS заявките към шлюза и да им се отговори при необходимост.

  • IP препращане. Активира режим на чисто IP пренасочване. MiTM атаките не са налични в този режим, но ви позволява да стартирате arp отравяне в ситуации, в които не можете да използвате Stealth IP. Това обикновено е необходимо, когато шлюзът има бял списък с легитимни компютри в мрежата, така че NAT не може да работи правилно.
  • Убиец на бисквитки— нулира бисквитките, като по този начин принуждава потребителя да се упълномощи повторно - въведете данните за вход и паролата, така че нападателят да може да ги прихване. Функцията Cookie Killer също работи за SSL връзки. Предлага се в черно ( misc\ssl_bl.txt) и бели списъци ( misc\ssl_wl.txt). Те могат да изключат или, напротив, стриктно да определят IP адреси или домейни, към които трябва или не трябва да се прилага SSL MiTM. Когато посочвате допълнителен ssl порт, няма нужда да посочвате типа read\write, просто посочете номера на порта. Целият трафик се записва на ssl_log.txt.
  • Отдалечено заснемане (RPCAP). Libpcap прави възможно препращането на мрежови данни от един хост към друг чрез собствен протокол, наречен RPCAP. Тези. можете да стартирате демона rpcap на вашия шлюз и да видите целия трафик, който минава през него. След като демонът стартира, можете да започнете да улавяте отдалечен трафик с помощта на Intercepter. Въведете името на хоста или IP на демона в предоставеното поле и след това изберете адаптера от списъка. След това трябва да зададете филтър „not host IP“, като замените „IP“ с действителния IP адрес, присвоен на вашата Ethernet карта (това е за игнориране на rpcap трафика между вас и демона).
  • PCAP през IP

Тази функция е свързана с дистанционно улавяне на трафик и е отличен заместител на старата и проблемна услуга rpcapd. Името говори само за себе си. Почти всеки Unix винаги има комбинация от tcpdump и netcat, с които можете да регистрирате трафик към отдалечен получаващ компютър. В този случай Intercepter може да отвори порт в очакване на поток от данни във формат libpcap и да го анализира в реално време.

Няма фундаментална разлика в източника на трафика, така че в допълнение към tcpdump, можете също да използвате помощната програма cat, за да прочетете вече съществуващ .pcap журнал.

Ето няколко примера за използване, по подразбиране Intercepter слуша порт 2002:

Tcpdump -i лице -w - | nc IP 2002

ако планирате да предавате трафик през същия интерфейс, от който улавяте, тогава трябва да добавите правило за филтриране, което изключва трафика на услугата между сървъра и Intercepter:

Tcpdump -i face -w - не порт 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i лице -P -w - | nc IP 2002

Това е аналог на tcpdump, който е част от флага показва, че пакетите трябва да се записват в стандартния формат libpcap, а не в новия pcapng.

Алтернативен начин за препращане на пакети без използване на netcat:

Tcpdump > /dev/tcp/ip/port

WPAD означава „WebProxy Autodiscovering Protocol“, което съответства на функцията „Автоматично откриване на настройките“ в съвременните браузъри. Тази функция позволява на браузъра да получи текущата конфигурация на прокси без намеса на потребителя. Това е заплаха дори днес и нападателят може лесно да настрои злонамерен сървър, който да прихваща уеб трафика. Ситуацията се утежнява от факта, че Internet Explorer(и Chrome също) поддържа тази функция по подразбиране.

Обикновено WPAD не е конфигуриран в мрежата, така че нормалното поведение на браузърите е да правят NetBios заявки за името "WPAD" (заобикаляйки DHCP и DNS методите). Ако не се получи отговор, браузърът просто използва директна връзка. Но ако се получи отговор, браузърът се опитва да изтегли конфигурационния файл от http: /ip_of_wpad_host/wpad.dat.

Intercepter-NG ще отговори на всяка заявка и ще поиска от клиентите да използват собствената си конфигурация, така че да може да надуши трафик през проксито. Можете да конфигурирате своя собствена конфигурация за всеки друг прокси сървър в мрежата или просто да изберете вградения прокси сървър. Вграденият прокси ви позволява да използвате функцията за инжектиране на HTTP.

Опции за експертен режим на Intercepter-NG

  • Време за изчакване на SSL лентата (секунди)— Изчакване в секунди SSL лента
  • ARP Poison всеки (секунди)— Правете ARP ецване на всеки... секунди
  • Време за изчакване на ARP сканиране (секунди)- Време за изчакване на ARP сканиране
  • DNS кеш TTL (секунди)— Живот в DNS кеша
  • Подправяне на MAC— MAC адрес, на който ще бъде заменен адресът на нападателя
  • Инжектиране на MySQL LOAD DATA
  • LDAP реле DN: DC=xxx,DC=xxx
  • Спрете проникването на NBNS заявка
  • Прекъснете SSH връзката след удостоверяване— Нулирайте SSH връзката след оторизация
  • SMB Hijack -> SMB Relay
  • Автоматична ARP отрова— В автоматичен режим на pozon е достатъчно да добавите само 1 хост към списъка с цели и самият Intercepter ще сканира мрежата през определен интервал и автоматично ще добавя нови цели.
  • Нулирайте ARP таблицата— Нулирайте ARP таблицата
  • Персонализиран полезен товар за SMB Hijack (64kb максимум)
  • Персонализиран полезен товар за GP Hijack
  • Стартирайте Shell— Снаряд за изстрелване
  • Стартирайте HTTP NTLM Grabber

Видове сканиране

Сканирането е първият етап, т.е. много MiTM атакизапочнете с него. За да покажете менюто за сканиране, отидете на раздела Режим MiTMи щракнете с десния бутон върху масата.

  • Интелигентно сканиране: Комбинира ARP сканиране и откриване на шлюз. Към обичайната информация за IP и MAC адреси, производител на мрежова карта и операционна система, се извежда името на компютъра. През същия период от време вече можете допълнително да разберете Netbios името или името на iOS устройство. За разрешаване на последния се използва протоколът MDNS, на базата на който работи протоколът Bonjour на Apple.Всички получени имена вече се записват в кеш файл и ако по време на последващи сканирания по някаква причина информацията за името на хоста не е получена динамично, ще бъде взето от кеша. Освен това това сканиране показва Stealth IP и автоматично задава IP на шлюза (ако е открит) и Stealth IP в съответните полета в раздела MiTM. То също така открива операционната система въз основа на TTL стойности.
  • ARP сканиране(ARP сканиране): просто проверява подмрежата от C-клас, присвоена на избрания Ethernet адаптер. Например, ако вашият IP е 192.168.0.10, тогава ще бъдат проверени 255 IP адреса в диапазона 192.168.0.1-255. Започвайки от версия 0.9.5, програмата проверява мрежовата маска, за да сканира правилно всички подмрежи.
  • Откриване на DHCP(DHCP откриване): изпраща излъчвани съобщения DHCP-Discovery и чака отговори от DHCP сървъри. Ако някой сървър отговори, той се добавя към списъка.
  • Откриване на Promisc(откриване мрежови картив безразборен режим): изпраща специални ARP заявки към мрежата. Отговарящите хостове очевидно са снифъри. Някои Ethernet карти (3COM) също може да реагират, т.е. възможни са фалшиви положителни резултати.
  • Gateway Discovery(откриване на шлюз): Изпраща SYN пакет през всички хостове в мрежата, ако има шлюз, отговорът ще бъде изпратен обратно.

Техники за атака Man-in-the-middle (MiTM) в Intercepter-NG

Когато натиснете бутона Конфигуриране на MiTM(шапка с око) се отваря диалогов прозорец MiTM атаки:

Той съдържа списък с поддържани техники.

SSL MiTM

Това е стара класическа техника за подправяне на сертификати. Позволява ви да прихващате данни от всеки протокол, защитен от SSL. Стандартно поддържани: HTTPS, POP3S, SMTPS, IMAPS. По желание можете да посочите всеки допълнителен порт.

При прихващане на HTTPS сертификатите се генерират в движение, копирайки оригиналната информация от заявения ресурс. За всички останали случаи се използва статичен сертификат.

Естествено, когато използвате тази функционалност, предупрежденията от браузъра и друг клиентски софтуер са неизбежни.

IN нова версияКодът за SSL MiTM беше напълно пренаписан. Сега работи бързо и стабилно. Променен е и алгоритъмът за генериране на сертификати, към тях са добавени допълнителни DNS записи и всички сертификати се подписват с един ключ ( разни\сървър). Това означава, че чрез добавяне на този самоподписан сертификат към списъка с доверени на компютъра на целта, ще бъде възможно да се слуша SSL трафик към всеки ресурс (където няма SSL Pinning). функция Убиец на бисквиткисега работи за SSL връзки. Появи се черно ( misc\ssl_bl.txt) и бели списъци ( misc\ssl_wl.txt). Те могат да изключат или, напротив, стриктно да определят IP адреси или домейни, към които трябва или не трябва да се прилага SSL MiTM. При посочване на допълнителен ssl порт вече не е необходимо да посочвате типа read\write, достатъчно е да посочите номера на порта. Целият трафик се записва в ssl_log.txt.

SSL лента

SSL Strip е „тиха“ техника за прихващане на HTTPS връзки. Дълго време работещата версия съществуваше само под Unix, сега подобни действия могат да се извършват в средата на NT. Въпросът е следният: нападателят е „по средата“, HTTP трафикът се анализира, всички https:// връзки се идентифицират и се заменят с http://.Така клиентът продължава да комуникира със сървъра в незащитен режим. Всички заявки за заменени връзки се наблюдават и в отговор се доставят данни от оригиналните https източници.

защото Не се сменят сертификати и няма предупреждения. За да симулира защитена връзка, иконата на favicon се заменя.

D.N.C.<>ICMP

Това е напълно нова техника, спомената по-рано или неприложена. Той се основава на същия стар ICMP Redirect MiTM, но отваря нов начин за надушване на данни. Първата стъпка на тази атака е подобна на класическо ICMP пренасочване, но има една важна разлика.

така наречените " нов вход" е DNS сървърът на жертвата. Ще поемем контрола върху всички DNS заявки и ще направим малко магия, преди жертвата да получи отговорите.

Когато разрешаваме somehost.com, DNS ни изпраща отговор, съдържащ един или повече отговори от IP адреса на somehost.com. Освен това може да съдържа „допълнителни“ отговори и ние ще се погрижим и за тях. След като първата част от атаката приключи, жертвата започва да изпраща всички DNS заявки през хоста на атакуващия (NAT). Когато NAT получи отговор от DNS, той чете всички IP адреси и след това изпраща ICMP съобщения за пренасочване към жертвата с преведения IP.

Така че докато NAT изпрати DNS отговор обратно на жертвата, неговата таблица за маршрутизиране вече има записи за всички преведени адреси, които сочат към нашия хост!

Това означава, че ще надушим не само DNS на жертвата, но и всичко, което е разрешено. Целият трафик ще бъде подправен чрез фалшив IP\MAC.

Тази част от атаката се извършва от страна на NAT, поради тази причина трябва да я конфигурирате правилно.

Поставете отметка в квадратчето за „DNS през ICMP“, след което попълнете:

  • IP адресът на рутера е IP адресът на шлюза по подразбиране, използван от жертвата.
  • IP адресът на клиента е IP адресът на жертвата. Можете да добавите множество цели, но не забравяйте да започнете, като изпратите ICMP пакет за пренасочване към всяка цел от прихващача.

След като добавите клиенти, трябва да поставите свободния/неизползван IP адрес в полето "Нов шлюз" и в полето "Stealth IP".

Изберете адаптера, те трябва да са еднакви, тъй като ще насочваме трафика в една ethernet област.

Стартирайте NAT.

Всички DNS отговори се съхраняват в специален списък и NAT редовно (в съответствие с времето, зададено в настройките) изпраща повторно ICMP пренасочвания,

В края трябва да направите още едно действие. Не можете да дезинфекцирате маршрутизиращата таблица на жертвата (както при ARP отравяне), така че трябва да махнете отметката от "DNS ↔ ICMP", за да предотвратите повторното изпращане на ICMP пренасочвания и да изчакате около 10-15 минути. След това няма да се добавят нови записи, но старите ще работят добре през NAT, докато не изтекат.

WPAD MiTM

За подробности вижте описанието на опцията. WPAD конфигурация (PROXY:PORT).

Отвличане на SMB

SSH MiTM

Можете да прихванете SSH данни за удостоверяване (вход/парола) и да видите всички команди, преминаващи по време на отдалечена сесия. Поддържат се 2 механизма за удостоверяване: парола и интерактивен. За да надушим данните на жертвата, трябва да действаме като истински sshd и предоставяме наши собствени ключове RSA/DSA. Ако оригиналният хост ключ е кеширан от жертвата, тогава ще се появи предупредително съобщение, ако не е кеширан, тогава няма да има признаци на атака от страна на клиента.

След като жертвата влезе в системата, тя може да работи както обикновено, изпълнявайки команди и псевдографични програми като midnight commander. Intercepter прихваща WINDOW_CHANGE заявки, така че ако жертвата реши да промени размера на прозореца, всичко ще бъде правилно преначертано, за да съответства на новия размер на прозореца.

Програмата работи с отдалечена сесия, но не работи с SFTP. Ако жертвата стартира SFTP клиент, данните за удостоверяване ще бъдат прихванати, но след това връзката ще бъде прекъсната и маркирана. Тогава, когато жертвата се опита да се свърже отново, тя ще има достъп до оригиналния ssh сървър в допълнение към нашия фалшив sshd.

Необходимо е да се спомене, че нападателят влиза в отдалечения сървър и оставя своя IP адрес в регистрационните файлове. В експертен режим можете да изберете опцията за прекъсване на ssh връзката след получаване на идентификационните данни на жертвата. Връзката ще бъде маркирана и при следващия опит програмата ще разреши достъп до оригиналния сървър.

G.P. Отвличане

Допълнителни възможности за атаки човек по средата (MiTM) в Intercepter-NG

Бутоните за използване на тези функции също се намират в секцията MiTM опции(зарове, символ на JDownloader, спринцовка, щит и свободно стоящ символ за опасност от радиация):

Traffic Changer (промяна на текстови данни в потока на мрежовия трафик)

Можете да замените само данни с еднакъв размер, без да променяте дължината на пакетите. Да приемем, че браузърът отваря site.com/file.txt, който съдържа низа „12345“. В отговор на GET заявка, сървърът ще върне HTTP хедър, указващ дължината на предадените данни - Content-length: 5. Какво се случва, ако заменим „12345“ с „12356“? Браузърът ще изтегли само 5 байта, като изхвърли добавеното "6" и ако намалим размера на данните, като заменим "12345" с "1234", браузърът ще получи само 4 байта и ще изчака още 1 байт от сървъра, докато връзката е затворена след изчакване. Ето защо беше направено това ограничение на размера. Можете да промените както текстови, така и двоични данни, синтаксисът за двоичните модели е същият като в C - “\x01\x02\x03”.

Ако се изисква заместване в HTTP трафик, тогава в настройките трябва да активирате опцията „Деактивиране на HTTP gzip кодиране“.

Спуфинг

Spoofing ви позволява да пренасочвате хостове към даден IP. Поддържат се протоколи DNS, NBNS, LLMNR.

С DNS можете да зададете маска за пренасочване на всички поддомейни. Обикновено ще бъдат установени двойки domain.com:IP, но поддомейните няма да бъдат подправени. За да ги пренасочите всички, добавете * (звездичка) преди името на домейна: *host.com

Принудително изтегляне и JS Inject

И двете нововъведения се отнасят до режима HTTP Injection. На руски Forced Download може да се преведе като „принудително изтегляне“, защото точно това се случва от страната на целта по време на сърфиране в мрежата. При влизане в сайта се предлага да изтегли файла, посочен от нападателя; в зависимост от настройките на браузъра той може да бъде изтеглен самостоятелно, след което потребителят ще избере дали да го стартира или не.

Както разбирате, можете да добавите .exe файл с произволно съдържание към принудителното изтегляне и източникът на този файл ще бъде сайтът, който потребителят посещава в момента. Като знаете, че целта ще отвори adobe.com, можете да издадете flashplayer.exe и източникът на този файл ще бъде посочен като adobe.com или един от неговите поддомейни.

След еднократно инжектиране форсирането се изключва; за повторно инжектиране трябва да щракнете отново върху съответното поле за отметка.

JS Inject не присъства изрично сред контролите, защото всъщност това е най-често срещаният http inject, но с една разлика. При замяна на един файл с друг, например картинки.jpg с даден, това е именно замяна на едно съдържание с друго. Замяната на .js скрипт най-вероятно може да наруши работата на ресурса, така че в новата версия js inject не заменя един скрипт с друг, а го добавя към съществуващия, като добавя възможност за въвеждане на допълнителен код, без да засяга оригиналния .

Режимът FATE съчетава две нови функции: ФАЛШИВЕН САЙТ и ФАЛШИВНО АКТУАЛИЗИРАНЕ.

Основната цел на FAKE SITE е да получи данни за оторизация от всеки уеб ресурс, заобикаляйки SSL и други механизми за сигурност. Това се постига чрез клониране на страницата за оторизация и създаване на шаблон, който ще бъде хостван на вградения псевдо-уеб сървър. По подразбиране прехващачът включва един шаблон за accounts.google.com, тъй като оригиналната страница изисква да попълните поле с потребителско име и след това парола. Този шаблон е леко модифициран, за да позволи и двете полета да бъдат активни едновременно. Преди атаката трябва да посочите домейна, на който ще бъде хостван шаблонът. След като атаката започне, пренасочване към избрания домейн се инжектира в трафика на целта и впоследствие прихващачът автоматично ще извърши DNS подправяне на необходимите адреси. В резултат на това избраната страница за оторизация ще се отвори в браузъра.

Функционалност Fake updaTE (фалшиви актуализации) означава появата на съобщения за инсталирането на „жертвата“ софтуери предполагаемо изтегляне на файл за актуализация, към който е добавен полезният товар. Списъкът на поддържания софтуер е много скромен. Ако желаете, можете да добавите свои собствени шаблони, тяхната структура може да се види в misc\FATE\updates.

ARP Poison (ARP офорт)

Част от класическата атака "човек по средата". Тази атака започва със сканиране на хостове. Когато хостовете бъдат открити и някои от тях са избрани като цели, започва ARP отравяне, в резултат на което атакуваните хостове започват да пренасочват своя трафик не към шлюза, а към атакуващия. Нападателят изучава (подушва) този трафик, извършва други манипулации и го изпраща на целевия сървър. Целевият сървър отговаря на нападателя (като източник на заявката), този трафик също се надушва, модифицира и препраща към жертвата. В резултат на това нищо не се случва за жертвата. значителни промени— изглежда, че обменя данни с отдалечен сървър.

Допълнителни функции на Intercepter-NG

Бутони за стартиране допълнителни функцииразположен в отделен раздел на дясната колона в прозореца на програмата:

Intercepter-NG вече има собствен мрежов скенер, който заменя примитивния порт скенер от предишни версии. Основните му функции:

  1. Сканирайте отворените портове и евристично открийте следните протоколи: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC, RDP.
  2. Определете наличието на SSL на отворен порт, прочетете банери и различни уеб заглавки.
  3. Ако бъде открит прокси или sox, проверете дали са отворени навън.
  4. Проверете достъпа без парола до VNC сървъри, проверете SSL на HeartBleed. Прочетете version.bind от DNS.
  5. Проверете базата данни за скриптове на уеб сървъра, които са потенциално уязвими за ShellShock. Проверете базата данни за списък с директории и файлове с 200 OK, както и списък с директории от robots.txt.
  6. Определете версията на ОС чрез SMB. Ако имате анонимен достъп, получете местно време, време за работа, списък със споделени ресурси и локални потребители. Започва автоматично търсене на пароли за намерени потребители.
  7. Определете от вградения списък на SSH потребители, като измерите времето за реакция. Започва автоматично търсене на пароли за намерени потребители. Ако изброяването не дава резултати (не работи на всички версии), търсенето се стартира само за root.
  8. Автоматична груба сила за HTTP Basic и Telnet. Предвид особеностите на протокола telnet са възможни фалшиви положителни резултати.

Можете да сканирате всяка цел, както в локалната мрежа, така и в Интернет. Можете да посочите списък с портове за сканиране: 192.168.1.1:80,443 или диапазона 192.168.1.1:100-200. Можете да посочите диапазона от адреси за сканиране: 192.168.1.1-192.168.3.255.

За по-точен резултат могат да се сканират само 3 хоста наведнъж. Буквално в последния момент бяха добавени проверки за данни от SSL сертификати, например, ако се срещне думата Ubiquiti и порт 22 е отворен, тогава автоматично се стартира SSH brute force на потребителя ubnt. Същото важи и за чифт хардуер Zyxel с администраторски потребител. За първото издание на скенера има достатъчно функционалност и е добре дебъгван.

Експлойт на HeartBleed

Тества дали целта е уязвима към HeartBleed. Ако целта е уязвима, тя използва тази уязвимост и получава част от съдържанието оперативна паметотдалечен хост.

Режим Bruteforce

Атаките с груба сила (груба сила, груба сила) се поддържат за следните мрежови протоколи:

  • POP3 TLS
  • SMTP TLS
  • HTTP Basic
  • HTTP публикация
  • TELNET
  • VMware

Можете да зададете броя на нишките, в които ще се проверяват идентификационните данни.

Когато настъпи таймаут, активната нишка се рестартира от същото място и процесът на търсене продължава.

На разположение Единичен режим, което показва, че всяка нова двойка вход:парола трябва да се проверява с установяването на нова връзка; за някои протоколи това позволява повишена скорост. Операционният дневник се записва в brute.txt.

ARP функции

Освен ARP гравиране и ARP сканиране, има няколко други функции, свързани с ARP протокола. Два от тях са поставени в отделни бутони в дясната колона в прозореца на програмата:

  • Гледайте ARP: Вградена персонална услуга за ARP мониторинг. Трябва да започнете, като извършите ARP сканиране, за да попълните надеждния („чист“) списък MAC адреси. Ако някой се опита да отрови вашия arp кеш, ще се появи предупредително съобщение.
  • ARP клетка: Изолира целевия IP адрес от други локални хостове чрез подправяне на записи в arp таблица.

Примери за изстрелване на Interceptor-NG

Как да стартирате MiTM в Intercepter-NG

Започнете с избор мрежов адаптер (Мрежов адаптер):

Щракнете с десния бутон върху празна маса и изберете Интелигентно сканиране:

Ще се покаже списък с цели:

Добавете нужните като цели ( Добавяне като цел):

За да започнете да душите, щракнете върху съответната икона:

Отидете в раздела Режим MiTM(това е глобус с пач кабели) и щракнете върху иконата ARP отрова(символ за радиационна опасност):

В раздела Режим на парола(символът е ключодържател), ще се появят заснетите идентификационни данни:

Работа с Wi-Fi и работа с Ethernet

Няма разлики при работа с Wi-Fi или кабелни връзки, но трябва да преминете към желан режимкато щракнете върху иконата:

Офлайн анализ на файлове за заснемане на pcap

Има много опции, които могат да забавят или ускорят времето за анализ.

  1. Като начало, ако трябва да прочетете голям .pcap файл, деактивирайте опцията " Разрешете".
  2. Ако вашият .pcap съдържа големи файлове и Resurrection е активирано, скоростта може да спадне. Решението е да зададете ограничение за максималния размер на файла за възстановяване.
  3. Ако не е необходимо да реконструирате нищо, деактивирайте тази опция в настройките. Скоростта ще се увеличи.
  4. Ако трябва да анализирате само определен протокол, например ICQ\AIM или само HTTP, задайте съответния филтър " pcap филтър„от RAW РЕЖИМ: tcp порт xxx, Където xxxе номерът на порта на вашия протокол.
  5. Можете да заредите повече от едно заснемане за анализ. IN Отворете диалоговия прозорецизберете няколко файла, всички те ще бъдат анализирани един по един.

Инсталация Intercepter-NG

Инсталиране на Linux Kali

За да инсталирате и стартирате Intercepter-NG в Kali Linuxизпълнете следните команди:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt инсталирайте libpcap-dev sudo dpkg --add-architecture i386 sudo apt актуализация sudo apt инсталирайте wine32 sudo apt инсталирайте tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo cp пакет/пакет. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Load Intercepter-NG v1. 0 и изтрийте dll файлове wpcap.dll и Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip разархивирайте Intercepter- NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Инсталация на Windows

За да инсталирате Intercepter-NG на Windows, отидете и изтеглете съответния архив (без букви н.е.). Програмата не изисква инсталация, просто разархивирайте архива и стартирайте файла .exe.

Инсталация на Android

За да инсталирате Intercepter-NG на Android, отидете и изтеглете файла apk. За успешно стартиране на приложението са необходими root права.

Екранни снимки на Intercepter-NG

Intercepter-NG ще ви позволи да определите MAC адреса и IP адреса на всеки потребител, свързан към обществена мрежа. Също така, като използвате програмата, можете да прихващате бисквитки, изходящ и входящ трафик за незаконни цели.

Характеристики

Intercepter-NG е многофункционално приложение, което в правилните ръце се превръща в инструмент за извършване на незаконни транзакции. Първо, може да се използва за идентифициране на всички устройства, свързани към обществена мрежа. Данните включват не само IP адреса, но и уникалния MAC адрес на устройството.

Второ, приложението ви позволява да прихващате двупосочния трафик на избрания потребител, преглеждайки, използвайки и дори заменяйки файлове. Тъй като програмата не го прави подробни инструкцииза да използвате функционалността, трябва да имате минимални познания. В този случай не само ще разберете IP или MAC адреса, но и ще можете лесно да прихващате бисквитки, за да четете кореспонденцията на други хора и дори да извършвате действия от името на потребителя.

Особености

  • Root достъп. Устройството трябва да бъде руутнато, за да използва цялата функционалност на приложението.
  • Възможността да откриете IP и MAC адреса на всеки потребител, който използва същата точка за достъп като вас.
  • Възможност за прихващане на бисквитки за четене на кореспонденция, действия с акаунти.
  • Възможност за прихващане на изходящ и входящ трафик, замяна на файлове.

Минималистичният интерфейс и стабилната работа са още няколко характеристики на приложението, които го правят популярно в тесни кръгове.

Публикации по темата