Nástroje Kali Linux. Nové funkce legendárního bezpečnostního skeneru Intercepter-NG Interceptor ng nefunguje

Příznaky těhotenství po implantaci embrya

Po 10 letech vývoje (tak dlouho se projekt zrodil) konečně index verze Intercepter-NG dosáhl 1,0. Podle zavedené tradice vycházejí aktualizace pro Windows jednou ročně a výroční vydání se opravdu vydařilo. Chtěl bych poděkovat všem lidem, kteří po celá ta léta poskytovali pomoc při testování, poskytovali podrobnou zpětnou vazbu a ideologickou inspiraci. Začněme recenzi maličkostmi a na konci se podíváme na nejlahodnější vlastnost Intercepter-NG 1.0.

1. V režimu RAW je nyní možné exportovat vybrané balíčky do souboru .pcap. Když je povoleno automatické ukládání, pakety obsahující autorizační data budou zapsány do samostatného .pcap.

2. V poli Extra SSL Ports, které se týká SSL MiTM, můžete nyní zadat více portů oddělených čárkami.

3. Při útoku na LDAP Relay na doménovém řadiči s jiným jazykem než angličtinou můžete v expertním nastavení určit potřebnou skupinu pro přidání uživatele, například místo Domain Admins zadejte ruský ekvivalent Domain Administrators.

4. Byla opravena chyba v obslužné rutině hash NTLMv2SSP, která bránila správnému hádání hesla.

5. Několik vylepšení v režimu Bruteforce. Přidáno: podpora SSL pro HTTP, podpora UTF8 pro LDAP brute force, VNC, Vmware Auth Daemon a protokoly RDP. Hrubá síla RDP funguje na Windows 7/8/2008/2012. NLA a přihlašovací údaje a hesla jsou podporovány v jakémkoli jazyce. Vrstva zabezpečení RDP není podporována.

6. Přidána možnost „Inject Reverse Shell“ do HTTP Injections. Toto je vynucené stahování s užitečným zatížením vestavěného interceptoru.

7. Mnohonásobná vylepšení a změny obecně. Spoofing je nyní ve výchozím nastavení zakázán.

OSUD

Režim FATE kombinuje dvě nové funkce: FAke site a FAke update.

Hlavním cílem FAke site je získat autorizační data z libovolného webového zdroje a obejít SSL a další bezpečnostní mechanismy. Toho je dosaženo klonováním autorizační stránky a vytvořením šablony, která bude hostována na vestavěném pseudowebovém serveru. Jak to funguje, je ukázáno ve videu na konci příspěvku. Ve výchozím nastavení obsahuje interceptor jednu šablonu pro accounts.google.com, protože původní stránka vyžaduje, abyste vyplnili pole s přihlašovacím jménem a poté heslem.

Tato šablona byla mírně upravena, aby umožňovala aktivní obě pole současně. Před útokem musíte určit doménu, na které bude šablona hostována. Po zahájení útoku je do provozu cíle vloženo přesměrování na vybranou doménu a následně interceptor automaticky provede DNS spoofing na požadované adresy. V důsledku toho se v prohlížeči otevře vybraná autorizační stránka. Proces klonování webové stránky je také demonstrován ve videu na příkladu mail.yandex.ru.


Milovníci Linuxu znají nástroj nazvaný Evilgrade, který umožňuje využít mechanismus automatická aktualizace a implementovat libovolné užitečné zatížení. Ve skutečnosti je tento vektor značně přeceňovaný, za prvé, působivý seznam podporovaných aplikací v Evilgrade je většinou zastaralý a za druhé, většina nejpopulárnějších aplikací kontroluje aktualizace bezpečným způsobem.

O hlasitých opomenutích v aktualizačních mechanismech velkých prodejců však slyšel každý a v budoucnu k tomu pravděpodobně dojde, takže v Intercepter-NG se objevila obdoba Evilgrade, ale seznam podporovaného softwaru je velmi skromný. Pokud chcete, můžete přidat své vlastní šablony, jejich strukturu lze zobrazit v miscFATEupdates. Pošlete nám software, který je aktualizovaný otevřeně, aktualizujeme databázi.

X-Scan

Před mnoha lety se mi velmi líbil síťový bezpečnostní skener od čínského týmu Xfocus s názvem X-Scan. Nízká hmotnost, pohodlný design, dobrá funkčnost. V polovině roku 2000 umožnil hodně udělat, ale později se jeho vývoj zastavil a v současné realitě je málo platný. Z toho důvodu jsem chtěl vytvořit jeho moderní obdobu, ale nějak to nevyšlo... až donedávna. Ze staré lásky se právě pod tímto názvem objevil Intercepter-NG s vlastním síťovým skenerem, který nahradil primitivní skener portů z předchozích verzí. Co tedy může dělat?

1. Naskenujte otevřené porty a heuristicky určit následující protokoly: SSH, Telnet, HTTPProxy, Socks45, VNC, RDP.

2. Určete přítomnost SSL zapnuto otevřený port, čtení bannerů a různých webových záhlaví.

3. Pokud je detekován proxy nebo sox, zkontrolujte, zda jsou otevřeny ven.

4. Zkontrolujte přístup bez hesla k serverům VNC, zkontrolujte SSL na HeartBleed. Přečtěte si version.bind z DNS.

5. Zkontrolujte databázi, zda neobsahuje skripty na webovém serveru, které jsou potenciálně zranitelné vůči ShellShock. Zkontrolujte v databázi seznam adresářů a souborů pomocí tlačítka 200 OK a také seznam adresářů z robots.txt.

6. Zjistěte verzi OS pomocí SMB. Pokud máte anonymní přístup, získejte místní čas, dostupnost, seznam sdílených zdrojů a místních uživatelů. Pro nalezené uživatele se spustí automatické vyhledávání hesel.

7. Určete z vestavěného seznamu uživatelů SSH měřením doby odezvy. Pro nalezené uživatele se spustí automatické vyhledávání hesel. Pokud výčet nepřinese výsledky (nefunguje na všech verzích), spustí se vyhledávání pouze pro uživatele root.

8. Automatická hrubá síla pro HTTP Basic a Telnet. Vzhledem ke zvláštnostem protokolu telnet jsou možné falešné poplachy.

Můžete skenovat jakýkoli cíl, jako např lokální síť stejně jako na internetu. Můžete zadat seznam portů pro skenování: 192.168.1.1:80,443 nebo rozsah 192.168.1.1:100-200. Můžete zadat rozsah adres pro skenování: 192.168.1.1-192.168.3.255.

Pro přesnější výsledek je možné skenovat pouze 3 hostitele najednou. Doslova na poslední chvíli přibyly kontroly dat z SSL certifikátů, pokud se například objeví slovo Ubiquiti a je otevřený port 22, automaticky se spustí SSH hrubá síla uživatele ubnt. Totéž platí pro dvojici hardwaru Zyxel s uživatelem admin. Pro první verzi skeneru je dostatek funkcí a je dobře odladěný. Pošlete nám své nápady a přání.

ps: první verze manuálu v ruštině se objeví v blízké budoucnosti.

Web: sniff.su
Zrcadlo: github.com/intercepter-ng/mirror
Pošta: [e-mail chráněný]
Twitter: twitter.com/IntercepterNG
Fórum: intercepterng.boards.net
Blog: intercepter-ng.blogspot.ru

Co je Intercepter-NG

Podívejme se na podstatu fungování ARP jednoduchý příklad. Počítač A (IP adresa 10.0.0.1) a Počítač B (IP adresa 10.22.22.2) jsou propojeny sítí Ethernet. Počítač A chce poslat datový paket do počítače B, zná IP adresu počítače B. Síť Ethernet, ke které jsou připojeni, však nefunguje s adresami IP. Proto, aby mohl počítač A přenášet přes Ethernet, potřebuje znát adresu počítače B Ethernetové sítě(MAC adresa ve smyslu Ethernetu). K tomuto účelu se používá protokol ARP. Pomocí tohoto protokolu odešle počítač A požadavek na vysílání adresovaný všem počítačům ve stejné doméně vysílání. Podstata požadavku: „počítač s IP adresou 10.22.22.2, poskytněte počítači MAC adresu s MAC adresou (například a0:ea:d1:11:f1:01).“ Ethernetová síť doručí tento požadavek všem zařízením na stejném ethernetovém segmentu, včetně počítače B. Počítač B odpoví počítači A na požadavek a oznámí jeho MAC adresu (např. 00:ea:d1:11:f1:11) Nyní, Having obdržel MAC adresu počítače B, počítač A mu může přes síť Ethernet přenášet jakákoli data.

Aby nebylo nutné před každým odesláním dat používat protokol ARP, jsou přijaté MAC adresy a jim odpovídající IP adresy po určitou dobu zaznamenávány do tabulky. Pokud potřebujete posílat data na stejnou IP, není třeba pokaždé žádat zařízení při hledání požadované MAC.

Jak jsme právě viděli, ARP obsahuje požadavek a odpověď. MAC adresa z odpovědi se zapíše do tabulky MAC/IP. Po obdržení odpovědi se žádným způsobem nekontroluje její pravost. Navíc ani nekontroluje, zda byla žádost podána. Tito. můžete okamžitě odeslat ARP odpověď na cílová zařízení (i bez požadavku) s podvrženými daty a tato data skončí v tabulce MAC/IP a budou použita pro přenos dat. To je podstata útoku ARP-spoofing, kterému se někdy říká ARP etching, ARP cache poisoning.

Popis útoku spoofingu ARP

Dva počítače (uzly) M a N v místní síti Ethernet si vyměňují zprávy. Útočník X, umístěný ve stejné síti, chce zachytit zprávy mezi těmito uzly. Před použitím ARP-spoofingového útoku na síťové rozhraní hostitele M obsahuje tabulka ARP IP a MAC adresu hostitele N. Také na síťovém rozhraní hostitele N obsahuje tabulka ARP IP a MAC adresu hostitele M .

Během útoku spoofingu ARP odešle uzel X (útočník) dvě odpovědi ARP (bez požadavku) - do uzlu M a do uzlu N. Odpověď ARP do uzlu M obsahuje IP adresu N a MAC adresu X. Odpověď ARP na uzel N obsahuje IP adresu M a MAC adresu X.

Protože počítače M a N podporují spontánní ARP, po obdržení odpovědi ARP změní své tabulky ARP a nyní ARP tabulka M obsahuje MAC adresu X vázanou na IP adresu N a ARP tabulka N obsahuje MAC adresu X, vázaný na IP adresu M.

Útok ARP-spoofing je tedy dokončen a nyní všechny pakety (rámce) mezi M a N procházejí přes X. Například, pokud M chce poslat paket do počítače N, pak M se podívá do své ARP tabulky, najde záznam s IP adresou hostitele N, odtud vybere MAC adresu (a tam již je MAC adresa uzlu X) a odešle paket. Paket dorazí na rozhraní X, je jím analyzován a poté předán do uzlu N.

Zdravím všechny, kdo čtou článek.

Popisovalo, jak zachytit hesla a soubory cookie v rámci sítě pomocí programu Intercepter-ng.

Někteří požádali, aby nám řekli více o funkcích, jiní požádali o zobrazení více funkcí, někdo požádal o recenzi nejnovější verze (aktuálně verze 0.9.10.

Musel jsem vylézt ze svého líného zadku a začít studovat všechen materiál, který jsem našel, kousek po kousku.

Když jsem začal psát koncept, uvědomil jsem si, že to nezvládnu jen jedním článkem. Proto dnes bude pouze teorie, popis některých funkcí a režimů Intercepter-ng. Během dvou až tří dnů napíšu o práci s programem v praxi a pak bude několik videí (pro ty, kterým se to snadněji učí).

Hned řeknu - nemám hluboké technické znalosti, proto píšu jednoduchými slovy, a tak, aby to bylo jasné i obyčejným lidem. Pokud si všimnete nějakých nepřesností v mých popisech, nebo máte co dodat, napište do komentářů.

Nemohu popsat každou funkci, jen to, co jsem našel sám.

Začněme vyšetřovat pacienta.

Intercepter-ng. Nástroj pro hackerský penetrační tester.

Funkčnost (jen malá část všech možností).

Podívejme se na režimy a tlačítka.

1 - Vyberte rozhraní, přes které jste připojeni k routeru (ikona vlevo přepíná Režimy Wi-Fi nebo kabelový režim, vyberte si svůj).

2 — Režim poslů. Funkce zachycení zpráv ICQ\AIM\JABBER. V dnešní době to považuji za irelevantní, takže na to nebude brán zřetel.

3. — Režim vzkříšení- Režim zotavení. Když oběť prohlíží webové stránky, jsou tam soubory, obrázky, nějaké HTML stránky atd. Jsou také uloženy pro vás (nemusí být uloženy všechny, nebo pouze částečně). Možná se někomu bude hodit režim analýzy.

4. - Režim hesla— Zde se zobrazují soubory cookie, pokud máte štěstí, hesla zadaná obětí a navštívené stránky. S protokolem Https se vše často dostane na nulu a se štěstím získáte pouze soubory cookie. Ale díky některým nastavením se to dá občas obejít (o tom později).

5. Zde budeme hledat naše oběti. Chcete-li to provést, klepněte pravým tlačítkem myši v okně a vyberte Smart kontrola.

Zobrazí se všechna zařízení v síti a jejich přibližný operační systém.

Stealth IP je vaše skrytá IP, pod kterou se v práci schováváte.

Pojďme se na režim podívat blíže.

Pokud kliknete na „Detekce Promisc“, uvidíte zařízení, která s největší pravděpodobností zachycují provoz (často chybně)... Buďte opatrní, protože to může ukázat, že váš router je také zachycovač.

Když kliknete na konkrétní IP, můžete přidat oběť do Nat (Add to nat), abyste se mohli zapojit do budoucího odposlechu.

Pokud vyberete „Skenovat porty“, můžete také skenovat otevřené porty. Funkce Nmap je daleko, ale pokud máte po ruce pouze tento program, postačí.

Tady není nic zajímavějšího.

6. Režim Nat. Režim Nat – Hlavní režim, ve kterém budeme pracovat. Zde se provádí hlavní příprava a ARP útoky.

V tomto článku se na to nebudu zaměřovat, podíváme se na to v dalším.

7. režim DHCP. Režim DHCP – Umožňuje vám v síti nastavit vlastní server DHCP. S tímto režimem jsem nepracoval a nemohu vám s tím poradit.

8. Režim RAW- Raw režim. Vágně podobný programu Wireshark. Zobrazuje hlavní aktivitu v síti. Občas se vám podaří ulovit něco zajímavého, pokud ovšem víte, co hledat.

9. Nastavení programu Intercepter-ng. Toto je důležitá část, takže se na to podívejme blíže.

Zámek na zásobníku— Při minimalizaci programu bude do zásobníku umístěno heslo. Výchozí heslo je 4553.

Uložit relaci— automaticky ukládá zprávy do souborů PCAP pro další studium a analýzu.

Promiskuitní- "Poruchový režim." Při aktivaci program čte všechny pakety, pokud není nainstalován, čte pouze pakety, které jsou odesílány na zadané rozhraní. Ne každý Wi-FI modul s ním umí pracovat. Netuším, k čemu to je, nevšiml jsem si žádného rozdílu s nebo bez.

Automatické ukládání. Automaticky ukládá zprávy v textovém formátu do kořenové složky programu.

Zobrazení mřížky. Zobrazit jako tabulky. Pokud jej vypnete, zobrazí se přehledy uvnitř programu. Podívejte se, co je pohodlnější, s nebo bez.

iOS Killer a Cookie Killer. Téměř totožné. Cookie killer je navržen tak, že pokud má oběť již na stránce uložené heslo, stránku opustí a bude se muset znovu přihlásit, a proto heslo obdržíte. iOS killer je navržen pro iPhone a iPad tak, aby se oběť mohla odhlásit z programů sociálních klientů (VK, facebook, Icloud atd.).

Downgrade Kerberos.Kerberos je síťový protokol, jeden z typů autentizace. Díky funkci, pomocí smb hijakingu, můžete tuto ochranu obejít. Sám jsem se s takovým protokolem nesetkal, takže o něm nebudeme uvažovat.

Hsts. Zajímavá funkce obcházení Hsts z Nejnovější verze, ale ne zcela stabilní. Pointa je, že mnoho webů automaticky přechází z Http na zabezpečený protokol Https, což nám brání v zachycení dat. Ne vždy si SSl pásek poradí, takže tato funkce může někdy pomoci, princip nebudu popisovat (najdete na Habré).

Jediné, co musíte udělat, je přidat požadovanou doménu do souboru misc\hsts.txt ve složce s programem. Některé populární již existují. Pointa je, že je potřeba přiřadit písmeno k hlavní doméně. Například vk.com:vvk.com nebo ok.ru:oks.ru atd.

Program nahradí zabezpečenou autorizační stránku na webu podvrženou, ale autorizační IP zůstane stejná jako na hlavní.

V mém příkladu to občas funguje, ale je to lepší než nic. Experimentujte obecně.

Konfigurace Wpad. Zadejte WPAD-WebProxy Auto-Discovery nebo povolte standardní Wpad proxy. Chcete-li jej aktivovat, v režimu Nat zaškrtněte políčko Wpad mitm.

V režimu Exppert (ikona planety) nás může zajímat zaškrtávací políčko Auto ARP poison. To znamená, že když se lidé připojí k síti, budou automaticky přidáni do režimu nat.

V sekci Nastavení již není co zvažovat, takže pokračujte.

10. - Využití HeartBleed— hledání zranitelnosti HeartBleed.

11. - Režim Bruteforce— hrubá síla některých cílových protokolů. Musíte znát uživatelské jméno. V programu jsou hesla pro Brute a můžete použít svůj vlastní slovník.

12. hodinky ARP— v tomto režimu můžete sledovat, zda probíhá ARP útok (odposlouchávání dopravy atd.), v případě útoků se v režimu Nat okamžitě zobrazí varování.
13. ARP Cage— Arp cela. Izoluje hostitele. Přesměruje oběť na jinou IP. užitečné při podezření na odchozí spam atd.

To jsou všechny informace, které dokážu najít a utřídit.

Na stránce Avi1.ru Velmi levné VK reposty jsou již k dispozici k objednání. Pospěšte si k výhodnému nákupu, zatímco služba nabízí skutečně výrazné velkoobchodní slevy. Můžete také získat další zdroje pro jakoukoli stránku v síti: lajky, zobrazení příspěvků a videí, odběratele, přátele atd.

Něco málo o režimu Nat.

Protože všechny hlavní práce budou probíhat přímo u nás tento režim, pokusím se popsat, s čím se setkáme.

Router's IP - přímo IP adresa routeru, ke kterému jste připojeni. Je určena automaticky, když provádíte Smart scan v režimu Scan.

Stealth IP - Vaše skrytá IP.

Klienti Nat – zde se zobrazují napadené „Oběti“.

Možnosti Mitm.

Configure mitms – Zde jsou povoleny/deaktivovány hlavní útoky Mitm.

Podívám se na dva: SSL Mitm a SSL Strip.

SSL mitm – Technika, která nahrazuje certifikáty obětí.

Nezbytné pro zachycení dat. Bohužel mnoho prohlížečů a klientů mobilní telefony naučili se je blokovat, varovat nás nebo nám dokonce bránit v přístupu k internetu.

Ssl Strip – Také funkce, kterou budeme často potřebovat. Je více skryté SSL. „tichá“ technika pro zachycení připojení HTTPS. Neexistuje žádný spoofing certifikátů, takže je obtížnější jej odhalit a nejsou zde žádná varování o bezpečnostních problémech. Vyžadováno při použití Cookie killer. když potřebujeme podstrčit soubor oběti atd. Podrobněji se na to podíváme v dalším článku.

Měnič dopravy - substituce dopravy. Zbytečná funkce pro zábavu. Substituce Http požadavek k oběti (například osoba se chce dostat na jednu stránku a je přesměrována na jinou). Ne vše je zde ale hladké, více podrobností v dalším článku.

Konfigurace vkládání http – zde nakonfigurujeme oběť, aby si stáhla soubor, který potřebujeme. Může to být neškodný obrázek, skript nebo program. Více podrobností v dalším článku.

Tlačítka Start arp poison a Start nat zahájí náš útok. Když povolíte Start arp poison, okamžitě se aktivuje druhý. Než jej ale zapnete, musíte nahoře vedle výběru rozhraní routeru povolit Start sniffing.

To je vlastně vše v tomto článku, jsem překvapen vaší výdrží, pokud jste dočetli až sem. Pokud je co opravit nebo doplnit, napište do komentářů a já to do článku doplním.

Jednoho dne se podívám na práci s Intercepter-ng v praxi. Tak zůstaňte s námi, dokud se znovu nesejdeme.

A nezapomeňte – Velký bratr vás sleduje!

Popis Intercepter-NG

Intercepter-NG je multifunkční sada síťových nástrojů pro IT specialisty různých typů. Hlavním cílem je obnovit zajímavá data ze síťového toku a provádět různé druhy útoků typu man-in-the-middle (MiTM). Kromě toho vám program umožňuje odhalit ARP spoofing (lze použít k detekci útoků typu man-in-the-middle), identifikovat a zneužít určité typy zranitelností a hrubou silou přihlašovací údaje pro síťové služby. Program může pracovat jak s živým tokem provozu, tak analyzovat soubory se zachyceným provozem a detekovat soubory a přihlašovací údaje.

Program nabízí následující funkce:

  • Snímání hesel/hash následujících typů: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE, NTLM , RÁDIUS KRB5
  • Sledování chatových zpráv: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
  • Rekonstruujte soubory z: HTTP, FTP, IMAP, POP3, SMTP, SMB
  • Různé typy skenování, jako je promiskuitní režim, ARP, DHCP, brána, port a inteligentní skenování
  • Zachycení paketů a následná (offline) analýza / RAW (raw) režim
  • Vzdálené zachycení provozu pomocí démona RPCAP a PCAP Over IP
  • NAT, SOCKS, DHCP
  • ARP, DNS přes ICMP, DHCP, SSL, SSLSTRIP, WPAD, SMB relay, SSH MiTM
  • SMB Hijack (odposlech), LDAP relay, MySQL LOAD DATA injection
  • ARP Watch, ARP Cage, HTTP injection, Heartbleed exploit, Kerberos Downgrade, Cookie Killer
  • Spoofing DNS, NBNS, LLMNR
  • Hrubá síla různých síťových služeb

Hlavní verze běží na Windows, existuje konzolová verze pro Linux a verze pro Android.

Licence: "tak jak je"

Režimy Intercepter-NG

Intercepter-NG má sedm hlavních režimů, které odpovídají počtu záložek programu a počtu hlavních tlačítek:

Jsou to tyto režimy:

  • Poslové
  • Vzkříšení
  • Hesla
  • Skenuje
  • RAW (raw)

Dejte na první místo Režim Messenger(logo ICQ). Stalo se tak z historických důvodů – Intercepter-NG byl původně vytvořen jako program pro zachycování zpráv ICQ a dalších instant messengerů.

Režim vzkříšení(logo na tlačítku je Phoenix) znamená obnovu souborů ze síťového streamu. Mohou to být soubory obrázků prohlížených na webových stránkách, stejně jako soubory přenesených archivů, dokumentů a dalších.

Při přechodu na Režim hesla(třetí tlačítko - klíčenka) uvidíte přihlašovací údaje zachycené ze síťového streamu. Zobrazí se adresy stránek, zadaná přihlašovací jména a hesla.

Po spuštění se program otevře Režim skenování(prostřední tlačítko - radar). Toto je výchozí režim pro spouštění útoků: na této záložce probíhá skenování, výběr cílů a nastavení dalších parametrů sítě.

Tab MiTM(svazek propojovacích kabelů) obsahuje pole pro zadání cílových nastavení, z nichž mnohá se vyplňují automaticky během skenování na kartě Skenování. Nechybí ani tlačítka pro spouštění různých MiTM útoků.

Tab DHCP obsahuje některá nastavení sítě a DHCP serveru.

Režim RAW (raw) zobrazuje nezpracované informace o datech přenášených v síťovém proudu. Informace jsou prezentovány ve formě podobné .

Tipy pro používání Intercepter-NG a řešení problémů:

  • Intercepter-NG vyžaduje ke svému provozu WinPcap, ale nemusí být instalován samostatně, protože Intercepter je dodáván s přenosnou verzí WinPcap.
  • Pokud svůj adaptér v seznamu adaptérů nevidíte, znamená to, že WinPcap nepodporuje vaši kartu.
  • Pokud s WiFi kartou nefunguje nic, dokonce ani leptání ARP, pak pomocí ikony NIC, která se nachází na levé straně seznamu adaptérů, přepněte do režimu WiFi. Také se ujistěte, že Stealth IP má přístup k internetu.
  • V některých výjimečných situacích může služba BFE (Base Filtering Engine) blokovat místní porty interceptoru. To se projevuje následovně: ARP funguje, ale ostatní funkce MiTM nefungují (ve Windows 7 a výše). Antivirové programy, jako je Avast, je také mohou blokovat, a to i v případě, že je ochrana sítě vypnutá v ovládacím panelu. Dalším důvodem tohoto chování může být souběžná práce WiFi připojení a služby Sdílení připojení k Internetu.
  • Intercepter podporuje zapouzdření 802.11, takže můžete používat výpisy pcap z programů a . Podporovány jsou také PPPoE, GRE(PP2P) a další hlavičky 802.11. To neznamená, že Intercepter může analyzovat zašifrovaná data, znamená to, že Intercepter je schopen odstranit ethernet\ip hlavičky z paketů tohoto typu a analyzovat je.
  • Kvůli omezením protokolu se zdrojový a cílový UIN\MAIL\… nemusí zobrazit na kartě chatové zprávy.
  • Chcete-li zkopírovat data z tabulky hesel, klikněte na řádek a stiskněte ctrl+c.
  • Pro skrytí okna programu použijte klávesovou zkratku Ctrl+Alt+S. Klikněte na něj znovu, aby se okno znovu objevilo.
  • Intercepter může dokonce běžet na win9x (98 a 95!), ale musíte si nainstalovat WinPcap 3.1 nebo WinPcap 4.0beta2. Nové sestavení WinPcap nepodporují win9x.
  • Režim konzoly pro offline analýzu:
./intercepter -t dump.cap
  • Chcete-li aktivovat automatické čichání, musíte otevřít settings.cfg a upravit" autorun". Výchozí hodnota je 0 , změňte na číslo rozhraní, které budete čichat.
  • Intercepter převádí výpisy pcap s nezpracovanými zapouzdřenými IP daty na Ethernetové zapouzdření (přidání informací ethernetových hlaviček).
  • Intercepter umí číst nový formát - pcapng. Protože všechny soubory zachycení pcapng z Wireshark používají pouze typ „Enhanced Packet Block“, Intercepter podporuje pouze tento typ bloku paketů. Navíc zobrazuje komentáře k balíčku.
  • V režimu raw (RAW) můžete nastavit vlastní pravidla pomocí filtrů pcap pro filtrování provozu. Podrobnosti viz syntaxe filtrování pcap. Příklad:
port 80

znamená přijímat pouze pakety z tcp portu 80 z jádra.

Ne port 80

znamená vyloučit pakety z portu 80

Pravidla můžete kombinovat:

Port 80 a ne port 25

  • V nezpracovaném režimu byste neměli pracovat s velkými výpisy, protože Intercepter načte každý paket do paměti a nepoužije HDD jako odkládací oddíl (soubor).

Tipy pro volbu Intercepter-NG

Možnosti snifferu:

  • Pokud se chystáte provést offline analýzu výpisu pcap, pak pro urychlení procesu zrušte zaškrtnutí políčka „ Vyřešit hostitele”.
  • Pokud zaškrtnete možnost " Zámek na zásobníku", pak při obnově okna ze zásobníku budete požádáni o heslo. Výchozí heslo je " 4553 ". Můžete to změnit v souboru settings.cfg. Heslo je zakódováno v base64.
  • možnost " Uložit relaci" znamená, že Intercepter uloží všechny přijaté pakety do souboru pcap. Tento soubor lze použít pro offline analýzu dat. Je to druh funkce exportu výsledků.
  • Pokud nainstalujete Promiskuitní, poté Intercepter otevře síťový adaptér v promiskuitním režimu. To znamená, že bude číst všechny pakety, i ty, které k tomu nejsou určeny síťové rozhraní. Pokud není zaškrtávací políčko zaškrtnuté, budou číst pouze pakety, které jsou odeslány na zadané rozhraní. Některé karty Wi-Fi tento režim nepodporují.
  • Jedinečná data” - zobrazí pouze jedinečná přihlašovací jména a hesla. Tito. zobrazit zachycená přihlašovací jména a hesla pouze jednou - pokud uživatel zadal stejné přihlašovací jméno a heslo znovu, nezobrazí se.
  • Automatické ukládání— všechny textové informace se ukládají každých 10 sekund.
  • Ve výchozím nastavení je zaškrtávací políčko „ Zobrazení mřížky" To znamená, že hesla se zobrazí jako datová mřížka. Chcete-li zobrazit úplné podrobné informace, zrušte zaškrtnutí „ Zobrazení mřížky”.
  • extrémní. V typickém pracovním postupu sniffer analyzuje předdefinované porty spojené se specifickými protokoly. Řekneme-li http, máme na mysli port 80 (nebo 8080 nebo cokoli, co je předdefinováno v seznamu portů spojených s protokolem http). Tito. Analyzovány budou pouze tyto porty. Pokud některé aplikace používají jiný port, například 1234, pak sniffer nebude analyzovat pakety, které přes něj procházejí. V režimu extrémní Intercepter bude analyzovat všechny TCP pakety bez kontroly portů. Tito. i když některá aplikace používá nedefinovaný port, sniffer bude stále skenovat tyto pakety. Ačkoli to zpomaluje výkon (je třeba zkontrolovat mnohem více portů než obvykle) a může identifikovat nesprávná data nebo přehlédnout správný protokol (například FTP a POP3 používají stejný typ autorizace), poskytuje to možnost najít a zachytit zajímavé údaje o neidentifikovaných portech. Tento režim používejte na vlastní nebezpečí, nebuďte překvapeni, když se něco pokazí, když je povolen režim eXtreme.
  • "Pouze zachytit“ znamená, že Intercepter bude ukládat pakety pouze do souboru výpisu bez analýzy v reálném čase. To je užitečné pro zvýšení výkonu, když zachycujete velké množství síťových dat.
  • Volba Vzkříšení znamená povolení režimu Resurrection, který rekonstruuje soubory z dat přenášených v síťovém proudu.
  • IM porty
  • HTTP. Porty přidružené k HTTP, podrobnosti viz popis možnosti extrémní.
  • PONOŽKY
  • IRC\BNC

Možnosti útoku Man-in-the-middle (MiTM) v Intercepter-NG

  • Ve všech útocích MiTM používá Intercepter spoofing (záměnu) adres ip\mac (volitelně Spoof IP\MAC). Pokud používáte rozhraní Wi-Fi, měli byste zrušit zaškrtnutí této možnosti, protože 99% ovladačů wifi neumožňuje odesílání paketů pomocí podvrženého počítače mac. I když odhalíte svou skutečnou adresu, jste alespoň schopni provádět jakékoli MiTM útoky přes wifi rozhraní. Je to lepší než nic. Místo deaktivace spoofingu v nastavení použijte režim WIFI. Mac zobrazený v expertním režimu můžete změnit.
  • iOS Killer byl přidán pro iCloud, stejně jako Instagram a VK. Tato funkce (iOS Killer) resetuje relace zadaných aplikací a umožňuje zachytit opětovnou autorizaci.
  • Downgrade Kerberos
  • Spoofing HSTS. Vynechání HSTS během SSL Strip. Technika bypassu je poměrně jednoduchá, ale při implementaci existují určité potíže, takže byste neměli očekávat žádné zvláštní výsledky. Podívejme se na příklad použití Yandex Mail Prohlížeč Chrome. Pokud přejdete na ya.ru, pak v pravém horním rohu bude https odkaz „Přihlásit se do pošty“, se kterým si SSL Strip snadno poradí. Dále se otevře autorizační formulář, kde jsou data přenesena na passport.yandex.ru pomocí metody POST. I po odstranění https bude autorizace probíhat přes SSL, protože hostitel passport.yandex.ru je zahrnut v předinstalovaném seznamu chrome. Aby bylo možné data stále zachytit, musíme nahradit název hostitele passport.yandex.ru něčím jiným, aby prohlížeč nezjistil, že by tento zdroj měl být navštěvován výhradně přes zabezpečené připojení. Můžete například nahradit passport.yandex.ru paszport.yandex.ru, v tomto případě budou data odeslána na otevřený formulář na změněný název domény. Ale protože taková doména - paszport.yandex.ru neexistuje, pak musíte navíc provést DNS Spoofing, tzn. při převodu paszport.yandex.ru by měl klient jako odpověď obdržet původní IP adresu z passport.yandex.ru.

Tento postup je automatizovaný a nevyžaduje další zásah uživatele při provádění útoku. Jediné, co je potřeba, je nejprve vytvořit seznam náhradníků misc\hsts.txt. Ve výchozím nastavení existuje několik položek pro yandex, gmail, facebook, yahoo. Je důležité pochopit, že tato technika obcházení neumožní zachycení relace nebo autorizaci, pokud uživatel zadá facebook.com do prohlížeče, protože prohlížeč okamžitě otevře zabezpečenou verzi webu. V tomto případě je útok možný pouze v případě, že je odkaz na facebook.com převzat z jiného zdroje, například při zadání facebooku na google.com. Mezi hlavní problémy při implementaci útoku patří nepředvídatelná logika toho, jak webové stránky fungují se svými subdoménami a funkcemi webového kódu, které mohou negovat jakékoli pokusy obejít HSTS. Proto byste do seznamu neměli přidávat žádné stránky, dokonce i domény přítomné ve výchozím nastavení v Intercepter-NG mají své vlastní charakteristiky a ne vždy fungují správně. Nechci dělat berličky pro každý zdroj, možná v budoucnu dojde k nějakým univerzálním vylepšením, ale zatím, jak se říká, jak je. Ještě jedna nuance, v současné implementaci pro DNS Spoofing je to nutné DNS server nebyl v lokální síti, aby bylo možné vidět DNS požadavky na bránu a reagovat na ně podle potřeby.

  • Přesměrování IP. Umožňuje čistě IP forward mode. Útoky MiTM nejsou v tomto režimu dostupné, ale umožňuje vám spustit otravu arpem v situacích, kdy nemůžete použít Stealth IP. To je obvykle nutné, když má brána seznam povolených legitimních počítačů v síti, takže NAT nemůže správně fungovat.
  • Cookie Killer— resetuje soubory cookie, čímž nutí uživatele k opětovné autorizaci – zadejte přihlašovací jméno a heslo, aby je útočník mohl zachytit. Funkce Cookie Killer funguje také pro připojení SSL. K dispozici v černé barvě ( misc\ssl_bl.txt) a seznamy povolených ( misc\ssl_wl.txt). Mohou vyloučit nebo naopak striktně specifikovat IP adresy či domény, na které má či nemá být SSL MiTM aplikováno. Při zadávání extra ssl portu není potřeba specifikovat typ čtení\zápis, stačí zadat číslo portu. Veškerý provoz je zapsán na ssl_log.txt.
  • Remote Capture (RPCAP). Libpcap umožňuje předávat síťová data z jednoho hostitele na druhého prostřednictvím vlastního protokolu zvaného RPCAP. Tito. můžete spustit démona rpcap na vaší bráně a vidět veškerý provoz, který přes ni prochází. Jakmile je démon spuštěn, můžete začít zachycovat vzdálený provoz pomocí Intercepteru. Do poskytnutého pole zadejte název hostitele nebo IP démona a poté vyberte adaptér ze seznamu. Poté musíte nastavit filtr „not host IP“ a nahradit „IP“ skutečnou IP adresou přiřazenou vaší ethernetové kartě (toto má ignorovat provoz rpcap mezi vámi a démonem).
  • PCAP přes IP

Tato funkce souvisí se vzdáleným zachycením provozu a je výbornou náhradou za starou a problematickou službu rpcapd. Název mluví sám za sebe. Téměř každý Unix má vždy kombinaci tcpdump a netcat, pomocí které můžete protokolovat provoz na vzdálený přijímající počítač. V tomto případě může Intercepter otevřít port v očekávání datového toku ve formátu libpcap a analyzovat jej v reálném čase.

Neexistuje žádný zásadní rozdíl ve zdroji provozu, takže kromě tcpdump můžete použít také utilitu cat pro čtení již existujícího protokolu .pcap.

Zde je několik příkladů použití, ve výchozím nastavení Intercepter naslouchá portu 2002:

Tcpdump -i face -w - | nc IP 2002

pokud plánujete přenášet provoz přes stejné rozhraní, ze kterého zachycujete, musíte přidat pravidlo filtrování, které vyloučí provoz služby mezi serverem a Intercepterem:

Tcpdump -i face -w - není port 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

Toto je analog tcpdump, který je součástí příznaku -P označuje, že balíčky by měly být uloženy ve standardním formátu libpcap spíše než v novém pcapng.

Alternativní způsob, jak předávat pakety bez použití netcat:

Tcpdump > /dev/tcp/ip/port

WPAD znamená „WebProxy Autodiscovering Protocol“, což odpovídá funkci „Automaticky detekovat nastavení“ v moderních prohlížečích. Tato funkce umožňuje prohlížeči získat aktuální konfiguraci proxy bez zásahu uživatele. To je hrozba i dnes a útočník může snadno nastavit škodlivý server k zachycení webového provozu. Situaci zhoršuje skutečnost, že internet Explorer(a Chrome také) podporuje tuto funkci ve výchozím nastavení.

WPAD obvykle není v síti nakonfigurován, takže normální chování prohlížečů je vytvářet požadavky NetBios na název „WPAD“ (obcházení metod DHCP a DNS). Pokud nepřijde žádná odpověď, prohlížeč jednoduše použije přímé připojení. Pokud však obdrží odpověď, prohlížeč se pokusí stáhnout konfigurační soubor z http: /ip_of_wpad_host/wpad.dat.

Intercepter-NG odpoví na každý požadavek a požádá klienty, aby použili svou vlastní konfiguraci, aby mohl sledovat provoz přes proxy. Můžete nakonfigurovat vlastní konfiguraci pro jakýkoli jiný proxy server v síti nebo jednoduše vybrat vestavěný proxy server. Vestavěný proxy vám umožňuje používat funkci vkládání HTTP.

Možnosti expertního režimu Intercepter-NG

  • Časový limit proužku SSL (v sekundách)— Časový limit v sekundách SSL Strip
  • ARP Poison každých (v sekundách)— Provádějte leptání ARP každých... sekund
  • Časový limit skenování ARP (v sekundách)- Časový limit skenování ARP
  • TTL mezipaměti DNS (sekundy)— Životnost v mezipaměti DNS
  • Spoofing MAC— MAC adresa, na kterou bude nahrazena útočníkova adresa
  • MySQL LOAD DATA Injection
  • LDAP relé DN: DC=xxx,DC=xxx
  • Zastavit vniknutí na požadavek NBNS
  • Po ověření zrušte připojení SSH— Po autorizaci resetujte připojení SSH
  • SMB Hijack -> SMB Relay
  • Auto ARP Poison— V automatickém režimu pozon stačí přidat do seznamu cílů pouze 1 hostitele a Intercepter sám bude v určitém intervalu skenovat síť a automaticky přidávat nové cíle.
  • Obnovit tabulku ARP— Resetovat tabulku ARP
  • Vlastní užitečné zatížení pro SMB Hijack (max. 64 kb)
  • Vlastní užitečné zatížení pro GP Hijack
  • Spusťte Shell— Spustit shell
  • Spusťte HTTP NTLM Grabber

Typy skenování

Skenování je první fáze, tedy mnoho MiTM útoky začít s ním. Chcete-li zobrazit nabídku skenování, přejděte na kartu Režim MiTM a klikněte pravým tlačítkem na tabulku.

  • Inteligentní skenování: Kombinuje skenování ARP a zjišťování brány. K běžným informacím o IP a MAC adresách, výrobci síťové karty a operační systém, vypíše se název počítače. Během stejného časového období můžete nyní navíc zjistit název Netbios nebo název zařízení iOS. K vyřešení posledně jmenovaného se používá protokol MDNS, na jehož základě funguje protokol Bonjour společnosti Apple. Všechna přijatá jména se nyní ukládají do souboru mezipaměti, a pokud během následujících skenů z nějakého důvodu nebyly informace o názvu hostitele získány dynamicky, bude převzata z mezipaměti.Navíc tento sken zobrazí Stealth IP a automaticky nastaví IP brány (pokud byla detekována) a Stealth IP do příslušných polí v záložce MiTM.Také detekuje OS na základě hodnot TTL.
  • Skenování ARP(ARP scan): jednoduše zkontroluje podsíť třídy C přiřazenou vybranému ethernetovému adaptéru. Pokud je například vaše IP adresa 192.168.0.10, bude zkontrolováno 255 IP adres v rozsahu 192.168.0.1-255. Počínaje verzí 0.9.5 program kontroluje masku sítě, aby správně skenovala všechny podsítě.
  • DHCP Discovery(DHCP discovery): odešle vysílané zprávy DHCP-Discovery a čeká na odpovědi od serverů DHCP. Pokud nějaké servery odpoví, přidá je do seznamu.
  • Promisc Detection(detekce síťové karty v promiskuitním režimu): odesílá do sítě speciální požadavky ARP. Odpovídající hostitelé jsou zjevně čichači. Některé ethernetové karty (3COM) mohou také reagovat, to znamená, že jsou možné falešné poplachy.
  • Brána Discovery(zjištění brány): Odešle paket SYN přes všechny hostitele v síti, pokud existuje brána, odešle se zpět odpověď.

Techniky útoku typu Man-in-the-middle (MiTM) v Intercepter-NG

Když stisknete tlačítko Nakonfigurujte MiTM Otevře se dialogové okno (klobouk s okem). MiTM útoky:

Obsahuje seznam podporovaných technik.

SSL MiTM

Toto je stará klasická technika spoofingu certifikátů. Umožňuje zachytit data z jakéhokoli protokolu chráněného SSL. Standardně podporovány: HTTPS, POP3S, SMTPS, IMAPS. Volitelně můžete zadat jakýkoli další port.

Při zachycování HTTPS se certifikáty generují za běhu, přičemž se kopírují původní informace z požadovaného zdroje. Pro všechny ostatní případy se používá statický certifikát.

Při používání této funkce jsou samozřejmě nevyhnutelná varování z prohlížeče a dalšího klientského softwaru.

V nová verze Kód pro SSL MiTM byl kompletně přepsán. Nyní funguje rychle a stabilně. Změnil se také algoritmus pro generování certifikátů, byly k nim přidány další DNS záznamy a všechny certifikáty jsou podepisovány jedním klíčem ( misc\server). To znamená, že přidáním tohoto certifikátu podepsaného svým držitelem do seznamu důvěryhodných certifikátů v cílovém počítači bude možné poslouchat provoz SSL na jakýkoli zdroj (kde neexistuje žádné připínání SSL). Funkce Cookie Killer nyní funguje pro připojení SSL. Objevila se černá ( misc\ssl_bl.txt) a seznamy povolených ( misc\ssl_wl.txt). Mohou vyloučit nebo naopak striktně specifikovat IP adresy či domény, na které má či nemá být SSL MiTM aplikováno. Při zadávání extra ssl portu již není nutné uvádět typ čtení\zápis, stačí zadat číslo portu. Veškerý provoz se zapisuje do ssl_log.txt.

SSL pásek

SSL Strip je „tichá“ technika pro zachycení připojení HTTPS. Dlouhou dobu existovala pracovní verze pouze pod Unixem, nyní lze podobné akce provádět v prostředí NT. Jde o toto: útočník je „uprostřed“, HTTP provoz je analyzován, všechny https:// odkazy jsou identifikovány a jsou nahrazeny http://. Klient tak pokračuje v komunikaci se serverem v nechráněném režimu. Všechny požadavky na nahrazené odkazy jsou monitorovány a v reakci na to jsou doručena data z původních zdrojů https.

Protože Žádné certifikáty nejsou nahrazeny a nejsou zde žádná varování. Pro simulaci zabezpečeného připojení je ikona favicon nahrazena.

D.N.C.<>ICMP

Jedná se o zcela novou techniku, již zmíněnou nebo neimplementovanou. Staví na stejném starém ICMP Redirect MiTM, ale otevírá nový způsob, jak čichat data. První krok tohoto útoku je podobný klasickému přesměrování ICMP, ale je zde jeden důležitý rozdíl.

tzv. " nový záznam“ je server DNS oběti. Převezmeme kontrolu nad všemi požadavky DNS a uděláme nějaké kouzlo, než oběť obdrží odpovědi.

Když vyřešíme somehost.com, DNS nám odešle odpověď obsahující jednu nebo více odpovědí z adresy somehost.com. Navíc může obsahovat odpovědi „navíc“ a o ty se také postaráme. Po dokončení první části útoku oběť začne odesílat všechny požadavky DNS prostřednictvím hostitele útočníka (NAT). Když NAT obdrží odpověď od DNS, přečte všechny IP adresy a poté pošle ICMP přesměrovací zprávy oběti s přeloženou IP.

Takže v době, kdy NAT odešle odpověď DNS zpět oběti, její směrovací tabulka již obsahuje záznamy pro všechny přeložené adresy, které ukazují na našeho hostitele!

To znamená, že budeme čichat nejen DNS oběti, ale vše, co bylo vyřešeno. Veškerý provoz bude podvržen přes falešnou IP\MAC.

Tato část útoku se provádí na straně NAT, proto ji musíte správně nakonfigurovat.

Zaškrtněte políčko „DNS over ICMP“ a vyplňte:

  • IP routeru je výchozí IP brány používané obětí.
  • IP klienta je IP oběti. Můžete přidat více cílů, ale nezapomeňte začít odesláním paketu přesměrování ICMP na každý cíl z interceptoru.

Po přidání klientů byste měli zadat volnou/nepoužitou IP do pole „New Gateway“ a do „Stealth IP“.

Vyberte adaptér, měly by být stejné, protože budeme směrovat provoz v jedné ethernetové oblasti.

Spusťte NAT.

Všechny DNS odpovědi jsou ukládány do speciálního seznamu a NAT pravidelně (v souladu s časem nastaveným v nastavení) znovu odesílá přesměrování ICMP,

Na konci musíte udělat ještě jednu akci. Nemůžete dezinfikovat směrovací tabulku oběti (jako u otravy ARP), takže musíte zrušit zaškrtnutí "DNS ↔ ICMP", abyste zabránili opětovnému odesílání přesměrování ICMP a počkat asi 10-15 minut. Poté nebudou přidány žádné nové položky, ale staré budou fungovat dobře přes NAT, dokud nevyprší jejich platnost.

WPAD MiTM

Podrobnosti naleznete v popisu možnosti. Konfigurace WPAD (PROXY:PORT).

SMB Hijack

SSH MiTM

Můžete zachytit autentizační data SSH (login/heslo) a zobrazit všechny příkazy procházející během vzdálené relace. Jsou podporovány 2 autentizační mechanismy: heslo a interaktivní. Abychom mohli čichat data oběti, musíme se chovat jako skutečný sshd a poskytujeme vlastní klíče rsa/dsa. Pokud je původní klíč hostitele uložen do mezipaměti obětí, objeví se varovná zpráva, pokud není uložen do mezipaměti, pak na straně klienta nebudou žádné známky útoku.

Jakmile je oběť přihlášena, může pracovat jako obvykle, provádět příkazy a pseudografické programy, jako je například půlnoční velitel. Intercepter zachytí požadavky WINDOW_CHANGE, takže pokud se oběť rozhodne změnit velikost okna, vše se správně překreslí, aby odpovídalo nové velikosti okna.

Program pracuje se vzdálenou relací, ale nepracuje s SFTP. Pokud oběť spustí klienta SFTP, ověřovací data budou zachycena, ale spojení bude přerušeno a označeno. Když se pak oběť pokusí znovu připojit, bude mít kromě našeho falešného sshd také přístup k původnímu ssh serveru.

Je nutné zmínit, že útočník se přihlásí na vzdálený server a v protokolech zanechá jeho IP adresu. V expertním režimu můžete po obdržení přihlašovacích údajů oběti vybrat možnost ukončit připojení ssh. Připojení bude označeno a při dalším pokusu program povolí přístup k původnímu serveru.

G.P. Hijack

Další možnosti pro útoky typu man-in-the-middle (MiTM) v Intercepter-NG

V sekci jsou také umístěna tlačítka pro použití těchto funkcí Možnosti MiTM(kostka, symbol JDownloader, injekční stříkačka, štít a volně stojící symbol rizika radiace):

Traffic Changer (změna textových dat v toku síťového provozu)

Můžete nahradit pouze data stejné velikosti beze změny délky paketů. Řekněme, že prohlížeč otevře site.com/file.txt, který obsahuje řetězec „12345“. Jako odpověď na požadavek GET server vrátí HTTP hlavičku udávající délku přenášených dat - Content-length: 5. Co se stane, když nahradíme „12345“ za „12356“? Prohlížeč stáhne pouze 5 bajtů, přidaných „6“ zahodí, a pokud zmenšíme velikost dat nahrazením „12345“ „1234“, prohlížeč obdrží pouze 4 bajty a bude čekat na další 1 bajt ze serveru, dokud spojení je ukončeno časovým limitem. Proto bylo provedeno toto omezení velikosti. Můžete změnit textová i binární data, syntaxe pro binární vzory je stejná jako v C – „\x01\x02\x03“.

Pokud je vyžadována náhrada v HTTP provozu, musíte v nastavení povolit možnost „Zakázat kódování HTTP gzip“.

Spoofing

Spoofing umožňuje přesměrovat hostitele na danou IP. Podporovány jsou protokoly DNS, NBNS, LLMNR.

Pomocí DNS můžete určit masku pro přesměrování všech subdomén. Obvykle se vytvoří páry domain.com:IP, ale subdomény nebudou podvrženy. Chcete-li je všechny přesměrovat, přidejte před název domény * (hvězdička): *host.com

Vynucené stahování a vložení JS

Obě novinky se týkají režimu HTTP Injection. V ruštině lze vynucené stahování přeložit jako „nucené stahování“, protože přesně to se děje na straně cíle během surfování na webu. Při vstupu na stránky je nabídnuto stažení souboru určeného útočníkem, v závislosti na nastavení prohlížeče jej lze stáhnout samostatně a uživatel si pak zvolí, zda jej spustí či nikoliv.

Jak víte, můžete do vynuceného stahování přidat soubor .exe s libovolným obsahem a zdrojem tohoto souboru bude web, který uživatel právě navštěvuje. S vědomím, že cíl otevře adobe.com, můžete vydat flashplayer.exe a zdroj tohoto souboru bude uveden jako adobe.com nebo jedna z jeho subdomén.

Po jednorázové injekci se nucení vypne, pro opětovné vstříknutí musíte znovu kliknout na odpovídající zaškrtávací políčko.

JS Inject není výslovně přítomen mezi ovládacími prvky, protože ve skutečnosti je to nejběžnější http inject, ale s jedním rozdílem. Při nahrazení jednoho souboru jiným, například images.jpg daným, jde právě o nahrazení jednoho obsahu jiným. Nahrazení skriptu .js může s největší pravděpodobností narušit provoz zdroje, takže v nové verzi js inject nenahrazuje jeden skript druhým, ale přidává ho ke stávajícímu, čímž přidává možnost zavést další kód, aniž by to ovlivnilo ten původní. .

Režim FATE kombinuje dvě nové funkce: FAke site a FAke update.

Hlavním cílem FAke site je získat autorizační data z libovolného webového zdroje a obejít SSL a další bezpečnostní mechanismy. Toho je dosaženo klonováním autorizační stránky a vytvořením šablony, která bude hostována na vestavěném pseudowebovém serveru. Ve výchozím nastavení obsahuje interceptor jednu šablonu pro accounts.google.com, protože původní stránka vyžaduje, abyste vyplnili pole s přihlašovacím jménem a poté heslem. Tato šablona byla mírně upravena, aby umožňovala aktivní obě pole současně. Před útokem musíte určit doménu, na které bude šablona hostována. Po zahájení útoku je do provozu cíle vloženo přesměrování na vybranou doménu a následně interceptor automaticky provede DNS spoofing na požadované adresy. V důsledku toho se v prohlížeči otevře vybraná autorizační stránka.

Funkčnost FAke updaTE (falešné aktualizace) znamená výskyt zpráv o instalaci „oběti“ software a údajně stahování aktualizačního souboru, do kterého byla přidána užitečná zátěž. Seznam podporovaného softwaru je velmi skromný. Pokud chcete, můžete přidat své vlastní šablony, jejich strukturu lze zobrazit v misc\FATE\updates.

ARP Poison (ARP leptání)

Součást klasického útoku typu man-in-the-middle. Tento útok začíná skenováním hostitelů. Když jsou hostitelé objeveni a někteří z nich jsou vybráni jako cíle, začne otrava ARP, v důsledku čehož napadení hostitelé začnou předávat svůj provoz nikoli bráně, ale útočníkovi. Útočník tento provoz prostuduje (sniffuje), provede další manipulace a odešle jej na cílový server. Cílový server odpoví útočníkovi (jako zdroji požadavku), tento provoz je také sniffován, upraven a předán oběti. V důsledku toho se pro oběť nic neděje. významné změny— zdá se, že si vyměňuje data se vzdáleným serverem.

Další funkce Intercepter-NG

Startovací tlačítka doplňkové funkce umístěný v samostatné části pravého sloupce v okně programu:

Intercepter-NG má nyní vlastní síťový skener, který nahrazuje primitivní skener portů z předchozích verzí. Jeho hlavní funkce:

  1. Prohledejte otevřené porty a heuristicky zjistěte následující protokoly: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC, RDP.
  2. Zjistit přítomnost SSL na otevřeném portu, číst bannery a různé webové hlavičky.
  3. Pokud je detekován proxy nebo sox, zkontrolujte, zda jsou otevřeny ven.
  4. Zkontrolujte přístup bez hesla k serverům VNC, zkontrolujte SSL na HeartBleed. Přečtěte si version.bind z DNS.
  5. Zkontrolujte databázi, zda neobsahuje skripty na webovém serveru, které jsou potenciálně zranitelné vůči ShellShock. Zkontrolujte v databázi seznam adresářů a souborů pomocí tlačítka 200 OK a také seznam adresářů z robots.txt.
  6. Zjistěte verzi OS pomocí SMB. Pokud máte anonymní přístup, získejte místní čas, dostupnost, seznam sdílených zdrojů a místních uživatelů. Pro nalezené uživatele se spustí automatické vyhledávání hesel.
  7. Určete z vestavěného seznamu uživatelů SSH měřením doby odezvy. Pro nalezené uživatele se spustí automatické vyhledávání hesel. Pokud výčet nepřinese výsledky (nefunguje na všech verzích), spustí se vyhledávání pouze pro uživatele root.
  8. Automatická hrubá síla pro HTTP Basic a Telnet. Vzhledem ke zvláštnostem protokolu telnet jsou možné falešné poplachy.

Můžete skenovat jakýkoli cíl, jak v místní síti, tak na internetu. Můžete zadat seznam portů pro skenování: 192.168.1.1:80,443 nebo rozsah 192.168.1.1:100-200. Můžete zadat rozsah adres pro skenování: 192.168.1.1-192.168.3.255.

Pro přesnější výsledek je možné skenovat pouze 3 hostitele najednou. Doslova na poslední chvíli přibyly kontroly dat z SSL certifikátů, pokud se například objeví slovo Ubiquiti a je otevřený port 22, automaticky se spustí SSH hrubá síla uživatele ubnt. Totéž platí pro dvojici hardwaru Zyxel s uživatelem admin. Pro první verzi skeneru je dostatek funkcí a je dobře odladěný.

HeartBleed Exploit

Testuje, zda je cíl zranitelný vůči HeartBleed. Pokud je cíl zranitelný, zneužije tuto zranitelnost a obdrží část obsahu paměť s náhodným přístupem vzdálený hostitel.

Režim Bruteforce

Útoky hrubou silou (brute force, brute force) jsou podporovány pro následující síťové protokoly:

  • POP3 TLS
  • SMTP TLS
  • Základní HTTP
  • HTTP příspěvek
  • TELNET
  • VMware

Můžete nastavit počet vláken, ve kterých se budou pověření kontrolovat.

Když vyprší časový limit, aktivní vlákno se restartuje ze stejného místa a proces hledání pokračuje.

Dostupný Single Mode, což znamená, že každý nový pár login:heslo by měl být zkontrolován při navazování nového připojení; u některých protokolů to umožňuje zvýšení rychlosti. Provozní protokol je uložen v brute.txt.

Funkce ARP

Kromě leptání ARP a skenování ARP je s protokolem ARP spojeno několik dalších funkcí. Dvě z nich jsou umístěny v samostatných tlačítkách v pravém sloupci v okně programu:

  • Hodinky ARP: Vybudovaná osobní monitorovací služba ARP. Chcete-li naplnit důvěryhodný („čistý“) seznam, musíte začít skenováním ARP MAC adresy. Pokud se někdo pokusí otrávit vaši arp cache, objeví se varovná zpráva.
  • ARP Cage: Izoluje cílovou IP adresu od ostatních lokálních hostitelů falšováním položek tabulky arp.

Příklady startu Intercepter-NG

Jak spustit MiTM v Intercepter-NG

Začněte výběrem síťový adaptér (Síťový adaptér):

Klikněte pravým tlačítkem na prázdnou tabulku a vyberte Smart Scan:

Zobrazí se seznam cílů:

Přidejte ty, které potřebujete jako cíle ( Přidat jako cíl):

Chcete-li začít čichat, klikněte na příslušnou ikonu:

Přejděte na kartu Režim MiTM(toto je zeměkoule s propojovacími kabely) a klikněte na ikonu Jed ARP(symbol radiačního nebezpečí):

V záložce Režim hesla(symbol je klíčenka), objeví se zachycené přihlašovací údaje:

Práce s Wi-Fi a práce s Ethernetem

Při práci s Wi-Fi nebo kabelovým připojením nejsou žádné rozdíly, ale musíte přepnout požadovaný režim kliknutím na ikonu:

Offline analýza souborů zachycení pcap

Existuje mnoho možností, které mohou zpomalit nebo zrychlit čas analýzy.

  1. Chcete-li začít, pokud potřebujete přečíst velký soubor .pcap, vypněte možnost " Odhodlání".
  2. Pokud váš .pcap obsahuje velké soubory a je povoleno Resurrection, rychlost může klesnout. Řešením je nastavit limit na maximální velikost souboru pro obnovu.
  3. Pokud nepotřebujete nic rekonstruovat, pak tuto možnost v nastavení zakažte. Rychlost se zvýší.
  4. Pokud potřebujete analyzovat pouze konkrétní protokol, například ICQ\AIM nebo pouze HTTP, nastavte příslušný filtr " pcap filtr" z REŽIM RAW: tcp port xxx, Kde xxx je číslo portu vašeho protokolu.
  5. Pro analýzu můžete načíst více než jeden snímek. V Otevřít dialog vyberte několik souborů, všechny budou analyzovány jeden po druhém.

Instalace Intercepter-NG

Instalace na Linux Kali

Chcete-li nainstalovat a spustit Intercepter-NG v Kali Linux spusťte následující příkazy:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo cp packet/packet. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Load Intercepter-NG v1. 0 a smazat dll soubory wpcap.dll a Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip rozbalte Intercepter- NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Instalace na Windows

Chcete-li nainstalovat Intercepter-NG na Windows, přejděte na a stáhněte si odpovídající archiv (bez písmen C.E.). Program nevyžaduje instalaci, stačí rozbalit archiv a spustit soubor .exe.

Instalace na Android

Chcete-li nainstalovat Intercepter-NG na Android, přejděte na a stáhněte si soubor apk. Pro úspěšné spuštění aplikace jsou vyžadována práva root.

Snímky obrazovky Intercepter-NG

Intercepter-NG vám umožní určit MAC adresu a IP adresu libovolného uživatele připojeného k veřejné síti. Pomocí programu můžete také zachytit soubory cookie, odchozí a příchozí provoz pro nezákonné účely.

Charakteristika

Intercepter-NG je multifunkční aplikace, která se ve správných rukou promění v nástroj pro provádění nelegálních transakcí. Za prvé, může být použit k identifikaci všech zařízení připojených k veřejné síti. Data zahrnují nejen IP adresu, ale také unikátní MAC adresu zařízení.

Za druhé, aplikace vám umožňuje zachytit obousměrný provoz vybraného uživatele, prohlížet, používat a dokonce nahrazovat soubory. Protože program ne podrobné pokyny Chcete-li funkci používat, musíte mít minimální znalosti. V tomto případě nejen zjistíte IP nebo MAC adresu, ale budete také moci snadno zachytit soubory cookie, abyste mohli číst korespondenci jiných lidí a dokonce provádět akce jménem uživatele.

Zvláštnosti

  • Kořenový přístup. Aby bylo možné využívat všechny funkce aplikace, musí být zařízení rootované.
  • Možnost zjistit IP a MAC adresu každého uživatele, který používá stejný přístupový bod jako vy.
  • Schopnost zachytit soubory cookie pro čtení korespondence, akce s účty.
  • Schopnost zachytit odchozí a příchozí provoz, nahradit soubory.

Minimalistické rozhraní a stabilní provoz jsou další funkce aplikace, díky kterým je oblíbená v úzkých kruzích.

Publikace na dané téma