Herramientas Kali Linux. Nuevas funciones del legendario escáner de seguridad Intercepter-NG Interceptor ng no funciona

Signos de embarazo después de la implantación del embrión.

Después de 10 años de desarrollo (ese es el tiempo que duró el nacimiento del proyecto), el índice de versión de Intercepter-NG finalmente llegó a 1.0. Según la tradición establecida, las actualizaciones para Windows se publican una vez al año y el lanzamiento del aniversario fue un verdadero éxito. Me gustaría agradecer a todas las personas que durante todos estos años han brindado asistencia en las pruebas, brindado comentarios detallados e inspiración ideológica. Comencemos la revisión con las pequeñas cosas y al final veremos la característica más deliciosa de Intercepter-NG 1.0.

1. En modo RAW, ahora es posible exportar paquetes seleccionados a un archivo .pcap. Cuando el guardado automático está habilitado, los paquetes que contienen datos de autorización se escribirán en un .pcap separado.

2. En el campo Puertos SSL adicionales, que se relaciona con SSL MiTM, ahora puede ingresar varios puertos separados por comas.

3. Al atacar un relé LDAP en un controlador de dominio con un idioma distinto al inglés, en la configuración experta puede especificar el grupo necesario para agregar un usuario, por ejemplo, en lugar de Administradores de dominio, especifique el equivalente ruso de Administradores de dominio.

4. Se solucionó un error en el controlador de hash NTLMv2SSP que impedía adivinar la contraseña correctamente.

5. Múltiples mejoras en el modo Bruteforce. Agregado: soporte SSL para HTTP, soporte UTF8 para protocolos LDAP de fuerza bruta, VNC, Vmware Auth Daemon y RDP. La fuerza bruta de RDP funciona en Windows 7/8/2008/2012. NLA y los inicios de sesión y contraseñas se admiten en cualquier idioma. La capa de seguridad RDP no es compatible.

6. Se agregó la opción "Inyectar Shell inverso" a las inyecciones HTTP. Esta es una descarga forzada con una carga útil de retroconexión al shell interceptor incorporado.

7. Múltiples mejoras y cambios en general. La suplantación de identidad ahora está deshabilitada de forma predeterminada.

DESTINO

El modo FATE combina dos nuevas funciones: FAke siTE y FAke update.

El objetivo clave de FAke siTE es obtener datos de autorización de cualquier recurso web, evitando SSL y otros mecanismos de seguridad. Esto se logra clonando la página de autorización y creando una plantilla que se alojará en el pseudoservidor web integrado. Cómo funciona esto se demuestra en el vídeo al final de la publicación. De forma predeterminada, el interceptor incluye una plantilla para cuentas.google.com, porque la página original requiere que complete un campo con un nombre de usuario y luego una contraseña.

Esta plantilla se ha modificado ligeramente para permitir que ambos campos estén activos al mismo tiempo. Antes del ataque, debes especificar el dominio en el que se alojará la plantilla. Una vez que comienza el ataque, se inyecta una redirección al dominio seleccionado en el tráfico del objetivo y posteriormente el interceptor realizará automáticamente una suplantación de DNS en las direcciones requeridas. Como resultado, la página de autorización seleccionada se abrirá en el navegador. El proceso de clonación de un sitio web también se demuestra en el vídeo utilizando el ejemplo de mail.yandex.ru.


Los amantes de Linux están familiarizados con una herramienta llamada Evilgrade, que permite explotar el mecanismo. Actualización automática e implementar una carga útil arbitraria. De hecho, este vector está muy sobrevalorado: en primer lugar, la impresionante lista de aplicaciones compatibles con Evilgrade está en su mayoría desactualizada y, en segundo lugar, la mayoría de las aplicaciones más populares buscan actualizaciones de forma segura.

Sin embargo, todo el mundo ha oído hablar de las ruidosas omisiones en los mecanismos de actualización de los grandes proveedores y esto probablemente sucederá en el futuro, por lo que apareció un análogo de Evilgrade en Intercepter-NG, pero la lista de software compatible es muy modesta. Si lo deseas, puedes agregar tus propias plantillas; su estructura se puede ver en miscFATEupdates. Envíanos software que se actualice abiertamente, actualizaremos la base de datos.

Escaneo X

Hace muchos años me gustó mucho un escáner de seguridad de red del equipo chino de Xfocus llamado X-Scan. Peso ligero, diseño cómodo, buena funcionalidad. A mediados de la década de 2000 permitió hacer mucho, pero luego su desarrollo se detuvo y en la realidad actual es de poca utilidad. Por esta razón, quería crear un análogo moderno, pero de alguna manera no funcionó... hasta hace poco. Por viejo amor, fue bajo este nombre que apareció Intercepter-NG con su propio escáner de red, que reemplazó al primitivo escáner de puertos de versiones anteriores. Entonces, ¿qué puede hacer?

1. Escanear puertos abiertos y determinar heurísticamente los siguientes protocolos: SSH, Telnet, HTTPProxy, Socks45, VNC, RDP.

2. Determinar la presencia de SSL en puerto abierto, leer pancartas y varios encabezados web.

3. Si se detecta algún proxy o sox comprobar que están abiertos al exterior.

4. Verifique el acceso sin contraseña a los servidores VNC, verifique SSL en HeartBleed. Lea version.bind desde DNS.

5. Verifique la base de datos en busca de scripts en el servidor web que sean potencialmente vulnerables a ShellShock. Consulte la base de datos para obtener una lista de directorios y archivos con 200 OK, así como una lista de directorios de robots.txt.

6. Determine la versión del sistema operativo a través de SMB. Si tiene acceso anónimo, obtenga la hora local, el tiempo de actividad, una lista de recursos compartidos y usuarios locales. Se inicia la búsqueda automática de contraseñas para los usuarios encontrados.

7. Determine a partir de la lista integrada de usuarios de SSH midiendo el tiempo de respuesta. Se inicia la búsqueda automática de contraseñas para los usuarios encontrados. Si la enumeración no produce resultados (no funciona en todas las versiones), la búsqueda se inicia solo para root.

8. Fuerza bruta automática para HTTP Basic y Telnet. Dadas las peculiaridades del protocolo telnet, es posible que se produzcan falsos positivos.

Puede escanear cualquier objetivo, como en red local así como en Internet. Puede especificar una lista de puertos para escanear: 192.168.1.1:80,443 o el rango 192.168.1.1:100-200. Puede especificar el rango de direcciones para el escaneo: 192.168.1.1-192.168.3.255.

Para obtener un resultado más preciso, sólo se pueden escanear 3 hosts a la vez. Literalmente, en el último momento, se agregaron verificaciones de datos de certificados SSL, por ejemplo, si se encuentra la palabra Ubiquiti y el puerto 22 está abierto, entonces se inicia automáticamente la fuerza bruta SSH del usuario ubnt. Lo mismo ocurre con un par de hardware Zyxel con el usuario administrador. Para la primera versión del escáner hay suficiente funcionalidad y está bien depurado. Envíanos tus ideas y deseos.

PD: la primera versión del manual en ruso aparecerá en un futuro próximo.

Sitio: sniff.su
Espejo: github.com/intercepter-ng/mirror
Correo: [correo electrónico protegido]
Gorjeo: twitter.com/IntercepterNG
Foro: intercepterng.boards.net
Blog: intercepter-ng.blogspot.ru

¿Qué es Intercepter-NG?

Consideremos la esencia del funcionamiento de ARP en ejemplo sencillo. La computadora A (dirección IP 10.0.0.1) y la computadora B (dirección IP 10.22.22.2) están conectadas mediante una red Ethernet. La computadora A quiere enviar un paquete de datos a la computadora B; conoce la dirección IP de la computadora B. Sin embargo, la red Ethernet a la que están conectados no funciona con direcciones IP. Por lo tanto, para transmitir a través de Ethernet, la computadora A necesita saber la dirección de la computadora B. Redes Ethernet(Dirección MAC en términos de Ethernet). Para esta tarea se utiliza el protocolo ARP. Utilizando este protocolo, la computadora A envía una solicitud de transmisión dirigida a todas las computadoras en el mismo dominio de transmisión. La esencia de la solicitud: "computadora con dirección IP 10.22.22.2, proporcione su dirección MAC a la computadora con dirección MAC (por ejemplo, a0:ea:d1:11:f1:01)". La red Ethernet entrega esta solicitud a todos los dispositivos en el mismo segmento Ethernet, incluida la computadora B. La computadora B responde a la computadora A a la solicitud e informa su dirección MAC (por ejemplo, 00:ea:d1:11:f1:11). recibió la dirección MAC de la computadora B, la computadora A puede transmitirle cualquier dato a través de la red Ethernet.

Para evitar la necesidad de utilizar el protocolo ARP antes de cada envío de datos, las direcciones MAC recibidas y sus correspondientes direcciones IP se registran en la tabla durante algún tiempo. Si necesita enviar datos a la misma IP, no es necesario sondear los dispositivos cada vez en busca de la MAC deseada.

Como acabamos de ver, ARP incluye una solicitud y una respuesta. La dirección MAC de la respuesta se escribe en la tabla MAC/IP. Cuando se recibe una respuesta, no se comprueba de ninguna manera su autenticidad. Además, ni siquiera comprueba si se realizó la solicitud. Aquellos. puede enviar inmediatamente una respuesta ARP a los dispositivos de destino (incluso sin una solicitud), con datos falsificados, y estos datos terminarán en la tabla MAC/IP y se utilizarán para la transferencia de datos. Esta es la esencia del ataque de suplantación de ARP, que a veces se denomina grabado de ARP o envenenamiento de caché de ARP.

Descripción del ataque de suplantación de ARP

Dos computadoras (nodos) M y N en una red local Ethernet intercambian mensajes. El atacante X, ubicado en la misma red, quiere interceptar mensajes entre estos nodos. Antes de que se aplique el ataque de suplantación de ARP en la interfaz de red del host M, la tabla ARP contiene la dirección IP y MAC del host N. También en la interfaz de red del host N, la tabla ARP contiene la dirección IP y MAC del host M .

Durante un ataque de suplantación de ARP, el nodo X (el atacante) envía dos respuestas ARP (sin una solicitud): al nodo M y al nodo N. La respuesta ARP al nodo M contiene la dirección IP de N y la dirección MAC de X. La respuesta ARP al nodo N contiene la dirección IP M y la dirección MAC X.

Dado que las computadoras M y N admiten ARP espontáneo, después de recibir una respuesta ARP, cambian sus tablas ARP y ahora la tabla ARP M contiene la dirección MAC X vinculada a la dirección IP N, y la tabla ARP N contiene la dirección MAC X. vinculado a la dirección IP M.

Por lo tanto, el ataque de suplantación de ARP se completa y ahora todos los paquetes (tramas) entre M y N pasan a través de X. Por ejemplo, si M quiere enviar un paquete a la computadora N, entonces M busca en su tabla ARP y encuentra una entrada. con la dirección IP del host N, selecciona la dirección MAC desde allí (y ya existe la dirección MAC del nodo X) y transmite el paquete. El paquete llega a la interfaz X, es analizado por ésta y luego reenviado al nodo N.

Hola a todos los que leen el artículo.

Describía cómo interceptar contraseñas y cookies dentro de una red utilizando el programa Intercepter-ng.

Algunos pidieron contarnos más sobre la funcionalidad, otros pidieron mostrar más funciones, alguien pidió revisar la última versión (actualmente versión 0.9.10.

Tuve que dejar mi trasero holgazán y empezar a estudiar todo el material que encontré poco a poco.

Cuando comencé a escribir el borrador, me di cuenta de que no podía hacerlo con un solo artículo. Por lo tanto, hoy solo habrá una teoría, una descripción de algunas funciones y modos de Intercepter-ng. Dentro de dos o tres días escribiré sobre cómo trabajar con el programa en la práctica y luego habrá varios videos (para aquellos a quienes les resulte más fácil de aprender).

Lo diré de inmediato: no tengo conocimientos técnicos profundos, por eso escribo en palabras simples, y para que quede claro para la gente corriente. Si nota alguna inexactitud en mis descripciones o tiene algo que agregar, escriba en los comentarios.

No puedo describir todas las funciones, sólo las que pude encontrar yo mismo.

Comencemos a examinar al paciente.

Interceptor-ng. Herramienta hacker de prueba de penetración.

Funcionalidad (sólo una pequeña parte de todas las posibilidades).

Veamos los modos y botones.

1 - Seleccione la interfaz a través de la cual está conectado al enrutador (el icono de la izquierda cambia Modos wifi o modo cableado, elige el tuyo).

2 — Modo mensajeros. Función de interceptación de mensajes ICQ\AIM\JABBER. Lo considero irrelevante en estos días, por lo que no lo consideraré.

3. — Modo de resurrección- modo de recuperación. Cuando la víctima navega por sitios web, se encuentran archivos, imágenes, algunas páginas HTML, etc. También se guardan para usted (puede que no todos se guarden, o sólo parcialmente). Quizás alguien encuentre útil el modo de análisis.

4. - Modo de contraseña— Aquí se muestran las cookies, si hay suerte, las contraseñas introducidas por la víctima y los sitios visitados. Con el protocolo Https, todo suele llegar a cero y, con suerte, sólo obtendrás cookies. Pero gracias a algunas configuraciones, a veces puedes evitarlo (más sobre esto más adelante).

5. . Aquí buscaremos a nuestras víctimas. Para hacer esto, haga clic derecho en la ventana y seleccione Escaneo inteligente.

Se mostrarán todos los dispositivos de la red y su sistema operativo aproximado.

La IP oculta es su IP oculta, bajo la cual se esconde en el trabajo.

Echemos un vistazo más de cerca al modo.

Si hace clic en "Detección promisca", verá los dispositivos que probablemente estén interceptando tráfico (a menudo incorrecto)... Tenga cuidado, porque puede mostrar que su enrutador también es un interceptor.

Cuando hace clic en una IP específica, puede agregar la víctima a Nat (Agregar a nat) para participar en futuras interceptaciones.

Además, si selecciona "Escanear puertos", puede escanear puertos abiertos. La función Nmap está muy lejos, pero si sólo tienes este programa a mano, servirá.

Nada más interesante aquí.

6. modo nacional. Modo Nat: el modo principal en el que trabajaremos. Aquí es donde se llevan a cabo la preparación principal y los ataques ARP.

No me centraré en esto en este artículo; lo veremos en el siguiente.

7. modo DHCP. Modo DHCP: le permite configurar su propio servidor DHCP dentro de la red. No he trabajado con este modo y no puedo darte ningún consejo al respecto.

8. modo crudo- Modo crudo. Vagamente similar al programa Wireshark. Muestra la actividad principal en la red. A veces puedes encontrar algo interesante si, por supuesto, sabes qué buscar.

9. . Configuración del programa Intercepter-ng. Esta es una parte importante, así que echemos un vistazo más de cerca.

Bloquear en bandeja— Al minimizar el programa, se colocará una contraseña en la bandeja. La contraseña predeterminada es 4553.

Guardar la sesión— guarda automáticamente informes en archivos PCAP para su posterior estudio y análisis.

Promiscuo- "Modo desordenado". Cuando se activa, el programa lee todos los paquetes. Si no está instalado, solo lee los paquetes que se envían a la interfaz especificada. No todos los módulos Wi-FI pueden funcionar con él. No tengo idea para qué sirve, no noté ninguna diferencia con o sin él.

Autoguardado. Guarda automáticamente informes en formato de texto en la carpeta raíz del programa.

Vista en cuadrícula. Ver como tablas. Si lo desactiva, se enumerarán los informes dentro del programa. Vea qué es más conveniente, con o sin él.

Asesino de iOS y asesino de cookies. Casi idéntico. Cookie Killer está diseñado para que si la víctima ya tiene una contraseña guardada en el sitio, saldrá del sitio y tendrá que iniciar sesión nuevamente y, por lo tanto, recibirá la contraseña. iOS Killer está diseñado para iPhone y iPad para que la víctima pueda cerrar sesión en los programas de clientes sociales (VK, Facebook, iCloud, etc.).

Degradación de Kerberos.Kerberos es un protocolo de red, uno de los tipos de autenticación. Gracias a la función que utiliza el secuestro de smb, puedes evitar esta protección. Yo mismo no me he encontrado con un protocolo de este tipo, por lo que no lo consideraremos.

Hsts. Una característica interesante de omitir Hsts de ultima versión, pero no del todo estable. La conclusión es que muchos sitios cambian automáticamente del protocolo seguro Http al protocolo seguro Https, lo que nos impide interceptar datos. La tira SSl no siempre funciona, por lo que esta función a veces puede ayudar. No describiré el principio (lo puedes encontrar en Habré).

Lo único que debe hacer es agregar el dominio requerido al archivo misc\hsts.txt en la carpeta con el programa. Algunos populares ya están ahí. La conclusión es que necesita asignar una letra al dominio principal. Por ejemplo vk.com:vvk.com u ok.ru:oks.ru, etc.

El programa reemplazará la página de autorización segura en el sitio por una falsa, pero la IP de autorización sigue siendo la misma que en la principal.

En mi ejemplo, a veces funciona de vez en cuando, pero es mejor que nada. Experimento en general.

Configuración de wpad. Ingrese al descubrimiento automático de WPAD-WebProxy o habilite el proxy Wpad estándar. Para activarlo, en modo Nat, marca la casilla Wpad mitm.

En el modo Experto (icono de planeta), puede que nos interese la casilla de verificación de envenenamiento automático de ARP. Es decir, cuando las personas se conecten a la red, automáticamente se agregarán al modo nat.

No hay nada más que considerar en la sección Configuración, así que continúa.

10. - Explotación HeartBleed— busque la vulnerabilidad HeartBleed.

11. - Modo de fuerza bruta– fuerza bruta de algunos protocolos de destino. Necesitas saber el nombre de usuario. Hay contraseñas para Brute en el programa y puedes usar tu propio diccionario.

12. reloj ARP— en este modo puede monitorear si se está llevando a cabo un ataque ARP (escuchas de tráfico, etc.) en caso de ataques, se mostrará rápidamente una advertencia en el modo Nat.
13. Jaula ARP— Celda Arp. Aísla al huésped. Redirige a la víctima a otra IP. útil cuando se sospecha spam saliente, etc.

Esa es toda la información que puedo encontrar y ordenar.

En el sitio avi1.ru Ya se pueden realizar pedidos de reenvíos VK muy económicos. Date prisa para realizar una compra rentable mientras el servicio ofrece descuentos mayoristas realmente importantes. También puedes obtener otros recursos para cualquier página de la red: me gusta, visualizaciones de publicaciones y vídeos, suscriptores, amigos, etc.

Un poco sobre el modo Nat.

Dado que todo el trabajo principal se realizará directamente con nosotros a través de este modo, Intentaré describir lo que encontraremos.

IP del enrutador: directamente la IP del enrutador al que está conectado. Se determina automáticamente cuando realiza un escaneo inteligente en el modo de escaneo.

Stealth Ip: tu IP oculta.

Clientes Nat: aquí se muestran las "víctimas" atacadas.

Opciones de Mitm.

Configurar mitms: aquí se habilitan/deshabilitan los principales ataques de Mitm.

Veré dos: SSL Mitm y SSL Strip.

SSL mitm: una técnica que reemplaza los certificados con los de la víctima.

Necesario para la interceptación de datos. Desafortunadamente, muchos navegadores y clientes teléfonos móviles aprendido a bloquearlos, avisándonos o incluso impidiéndonos acceder a Internet.

Ssl Strip: también una función que necesitaremos con frecuencia. Es SSL más oculto. Técnica "silenciosa" para interceptar conexiones HTTPS. No hay falsificación de certificados, por lo que es más difícil de detectar y no hay advertencias sobre problemas de seguridad. Requerido cuando se utiliza Cookie Killer. cuando necesitamos pasar un archivo a la víctima, etc. Lo veremos con más detalle en el próximo artículo.

Cambiador de tráfico - sustitución de tráfico. Funcionalidad inútil para divertirse. Sustitución solicitud http a la víctima (por ejemplo, una persona quiere llegar a un sitio y es redirigida a otro). Pero no todo es fácil aquí, más detalles en el próximo artículo.

Configurar la inyección http: aquí configuramos a la víctima para que descargue el archivo que necesitamos. Podría ser una imagen, un guión o un programa inofensivo. Más detalles en el próximo artículo.

Los botones Iniciar arp veneno e Iniciar nat comienzan nuestro ataque. Cuando habilitas Iniciar veneno arp, el segundo se activa inmediatamente. Pero antes de encenderlo, debe habilitar Comenzar a rastrear en la parte superior, junto a la selección de la interfaz del enrutador.

En realidad, eso es todo en este artículo. Me sorprende tu resistencia si has leído hasta aquí. Si hay algo que corregir o agregar, escribe en los comentarios y lo agregaré al artículo.

Uno de estos días analizaré cómo trabajar con Intercepter-ng en la práctica. Así que quédate con nosotros hasta que nos volvamos a encontrar.

Y no lo olvides: ¡El Gran Hermano te está mirando!

Descripción de Intercepter-NG

Intercepter-NG es un conjunto multifuncional de herramientas de red para especialistas de TI de diversos tipos. El objetivo principal es recuperar datos interesantes del flujo de la red y realizar varios tipos de ataques de intermediario (MiTM). Además, el programa le permite detectar la suplantación de ARP (se puede utilizar para detectar ataques de intermediario), identificar y explotar ciertos tipos de vulnerabilidades y credenciales de inicio de sesión de fuerza bruta para servicios de red. El programa puede funcionar tanto con un flujo de tráfico en vivo como analizar archivos con tráfico capturado para detectar archivos y credenciales.

El programa ofrece las siguientes funciones:

  • Rastrear contraseñas/hashes de los siguientes tipos: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE, NTLM , RADIO KRB5
  • Olfateando mensajes de chat: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
  • Reconstruir archivos desde: HTTP, FTP, IMAP, POP3, SMTP, SMB
  • Varios tipos de escaneo, como modo promiscuo, ARP, DHCP, puerta de enlace, puerto y escaneo inteligente
  • Captura de paquetes y análisis posterior (fuera de línea) / modo RAW (sin formato)
  • Captura remota de tráfico a través del demonio RPCAP y PCAP sobre IP
  • NAT, CALCETINES, DHCP
  • ARP, DNS sobre ICMP, DHCP, SSL, SSLSTRIP, WPAD, retransmisión SMB, SSH MiTM
  • Secuestro SMB (intercepción), retransmisión LDAP, inyección MySQL LOAD DATA
  • ARP Watch, ARP Cage, inyección HTTP, exploit Heartbleed, degradación de Kerberos, Cookie Killer
  • Suplantación de DNS, NBNS y LLMNR
  • Fuerza bruta de varios servicios de red.

La versión principal se ejecuta en Windows, existe una versión de consola para Linux y una versión para Android.

Licencia: "tal cual"

Modos Intercepter-NG

Intercepter-NG tiene siete modos principales, que corresponden a la cantidad de pestañas del programa y la cantidad de botones principales:

Estos son los modos:

  • Mensajeros
  • Resurrección
  • Contraseñas
  • Escaneos
  • CRUDO (crudo)

Poner en primer lugar modo mensajero(Logotipo ICQ). Esto sucedió por razones históricas: Intercepter-NG se creó originalmente como un programa para interceptar mensajes ICQ y otros mensajeros instantáneos.

Modo resurrección(el logo en el botón es el Fénix) significa recuperar archivos de una transmisión de red. Pueden ser archivos de imágenes vistas en sitios web, así como archivos de archivos transferidos, documentos y cualquier otro.

Al cambiar a Modo de contraseña(tercer botón: llavero) verá las credenciales capturadas del flujo de red. Se muestran las direcciones del sitio, los inicios de sesión ingresados ​​y las contraseñas.

Cuando se inicia el programa, se abre. Modo de escaneo(botón central - radar). Este es el modo inicial para lanzar ataques: el escaneo, la selección de objetivos y la configuración de otros parámetros de red se realizan en esta pestaña.

Pestaña MiTM(paquete de cables de conexión) contiene campos para ingresar la configuración de destino, muchos de los cuales se completan automáticamente durante el escaneo en la pestaña Escaneo. También hay botones para lanzar varios ataques MiTM.

Pestaña DHCP contiene algunas configuraciones de red y del servidor DHCP.

Modo RAW (sin procesar) muestra información sin procesar sobre los datos transmitidos en un flujo de red. La información se presenta de forma similar a .

Consejos para utilizar Intercepter-NG y resolver problemas:

  • Intercepter-NG requiere WinPcap para funcionar, pero no es necesario instalarlo por separado ya que Intercepter viene con una versión portátil de WinPcap.
  • Si no ve su adaptador en la lista de adaptadores, significa que WinPcap no es compatible con su tarjeta.
  • Si nada funciona con la tarjeta WiFi, ni siquiera el grabado ARP, utilice el icono de NIC, que se encuentra en el lado izquierdo de la lista de adaptadores, para cambiar al modo WiFi. También asegúrese de que Stealth IP tenga acceso a Internet.
  • En algunas situaciones excepcionales, el servicio BFE (Base Filtering Engine) puede bloquear los puertos locales de Intercepter. Esto se manifiesta de la siguiente manera: ARP funciona, pero otras funciones de MiTM no funcionan (en Windows 7 y superior). Los programas antivirus como Avast también pueden bloquearlos, incluso si la protección de red está desactivada en el panel de control. Otra razón para este comportamiento puede ser el trabajo simultáneo. Conexiones wifi y servicios de conexión compartida a Internet.
  • Intercepter admite la encapsulación 802.11, por lo que puede utilizar volcados de pcap desde programas y archivos . También se admiten PPPoE, GRE(PP2P) y encabezados 802.11 adicionales. Esto no significa que Intercepter pueda analizar datos cifrados, significa que Intercepter puede extraer encabezados ethernet\ip de paquetes de este tipo y analizarlos.
  • Debido a limitaciones del protocolo, es posible que el UIN\MAIL\… de origen y destino no se muestren en la pestaña de mensajes de chat.
  • Para copiar datos de la tabla de contraseñas, haga clic en la línea y presione Ctrl+c.
  • Para ocultar la ventana del programa, utilice el método abreviado de teclado Ctrl+Alt+S. Haga clic nuevamente para que la ventana vuelva a aparecer.
  • Intercepter puede incluso ejecutarse en win9x (¡98 y 95!), pero es necesario instalar WinPcap 3.1 o WinPcap 4.0beta2. Las nuevas compilaciones de WinPcap no son compatibles con win9x.
  • Modo de consola para análisis fuera de línea:
./intercepter -t volcado.cap
  • Para activar el rastreo automático es necesario abrir configuración.cfg y editar " ejecución automática". El valor predeterminado es 0 , cambie al número de la interfaz que va a olfatear.
  • Intercepter convierte volcados de pcap con datos IP encapsulados sin procesar a encapsulación Ethernet (agregando información de encabezado de Ethernet).
  • Intercepter puede leer un nuevo formato: pcapng. Dado que todos los archivos de captura pcapng de Wireshark utilizan únicamente el tipo “Bloque de paquetes mejorado”, Intercepter solo admite este tipo de bloque de paquetes. Además, muestra comentarios de paquetes.
  • En el modo sin formato (RAW), puede establecer sus propias reglas utilizando filtros pcap para filtrar el tráfico. Consulte la sintaxis de filtrado de pcap para obtener más detalles. Ejemplo:
puerto 80

significa recibir solo paquetes del puerto tcp 80 del kernel.

No el puerto 80

significa excluir paquetes del puerto 80

Puedes combinar reglas:

Puerto 80 y no puerto 25

  • No deberías trabajar con volcados grandes en modo raw porque Intercepter carga cada paquete en la memoria y no usa disco duro como una partición de intercambio (archivo).

Consejos para la opción Intercepter-NG

Opciones de rastreador:

  • Si va a realizar un análisis fuera de línea de un volcado de pcap, para acelerar el proceso, desmarque la casilla " Resolver hosts”.
  • Si marca la opción " Bloquear en la bandeja", luego, al restaurar una ventana desde la bandeja, se le pedirá una contraseña. La contraseña predeterminada es " 4553 ". Puedes cambiarlo en el archivo. configuración.cfg. La contraseña está codificada en base64.
  • Opción " Guardar la sesión" significa que Intercepter guardará todos los paquetes recibidos en un archivo pcap. Este archivo se puede utilizar para el análisis de datos sin conexión. Es una especie de función de exportación de resultados.
  • Si instalas Promiscuo, luego Intercepter abre el adaptador de red en modo promiscuo. Esto significa que leerá todos los paquetes, incluso aquellos que no están destinados a este interfaz de red. Si la casilla de verificación no está marcada, solo leerá los paquetes que se envíen a la interfaz especificada. Algunas tarjetas Wi-Fi no admiten este modo.
  • Datos únicos”: muestra solo inicios de sesión y contraseñas únicos. Aquellos. muestre los nombres de usuario y contraseñas capturados solo una vez; si el usuario ingresó el mismo nombre de usuario y contraseña nuevamente, no se mostrarán.
  • Autoguardado— toda la información del texto se guardará cada 10 segundos.
  • De forma predeterminada, la casilla de verificación es " Vista en cuadrícula" Esto significa que las contraseñas aparecerán como una cuadrícula de datos. Para ver información detallada completa, desmarque " Vista en cuadrícula”.
  • extremo. En un flujo de trabajo típico, un rastreador analiza puertos predefinidos asociados con protocolos específicos. Si decimos http, nos referimos al puerto 80 (o 8080 o lo que esté predefinido en la lista de puertos asociados con el protocolo http). Aquellos. Sólo se analizarán estos puertos. Si algunas aplicaciones utilizan un puerto diferente, como el 1234, el rastreador no analizará los paquetes que pasen a través de él. en modo extremo Intercepter analizará todos los paquetes TCP sin comprobar los puertos. Aquellos. Incluso si alguna aplicación utiliza un puerto no definido, el rastreador seguirá escaneando estos paquetes. Aunque esto ralentiza el rendimiento (es necesario comprobar muchos más puertos de lo habitual) y puede revelar datos incorrectos o perder el protocolo correcto (por ejemplo, FTP y POP3 utilizan el mismo tipo de autorización), proporciona la capacidad de encontrar e interceptar datos interesantes sobre puertos no identificados. Utilice este modo bajo su propia responsabilidad, no se sorprenda si algo sale mal cuando el modo eXtremo está habilitado.
  • "Sólo captura" significa que Intercepter solo guardará paquetes en un archivo de volcado sin análisis en tiempo real. Esto es útil para aumentar el rendimiento cuando se capturan muchos datos de red.
  • Opción Resurrección significa habilitar el modo Resurrección, que reconstruye archivos a partir de datos transmitidos en un flujo de red.
  • Puertos de mensajería instantánea
  • HTTP. Puertos asociados con HTTP; consulte la descripción de la opción para obtener más detalles extremo.
  • MEDIAS
  • IRC\BNC

Opciones de ataque Man-in-the-middle (MiTM) en Intercepter-NG

  • En todos los ataques MiTM, Intercepter utiliza suplantación (sustitución) de direcciones ip\mac (opción Falsificación de IP\MAC). Si está utilizando una interfaz Wi-Fi, debe desmarcar esta opción, ya que el 99% de los controladores wifi no permiten enviar paquetes con una Mac falsificada. Aunque revelas tu dirección real, al menos eres capaz de realizar cualquier ataque MiTM a través de la interfaz wifi. Es mejor que nada. En lugar de deshabilitar la suplantación de identidad en la configuración, use modo WIFI. Puede cambiar la Mac que se muestra en el modo experto.
  • Asesino de iOS Se agregó para iCloud, así como para Instagram y VK. Esta función (iOS Killer) restablece las sesiones de las aplicaciones especificadas y le permite interceptar la reautorización.
  • Degradación de Kerberos
  • Suplantación de HSTS. Omitir HSTS durante SSL Strip. La técnica de derivación es relativamente simple, pero existen ciertas dificultades en su implementación, por lo que no se deben esperar resultados especiales. Veamos un ejemplo en Yandex Mail usando Navegador Chrome. Si va a ya.ru, en la esquina superior derecha habrá un enlace https "Iniciar sesión en el correo", que SSL Strip puede manejar fácilmente. A continuación, se abrirá un formulario de autorización, donde los datos se transfieren a passport.yandex.ru mediante el método POST. Incluso después de eliminar https, la autorización se producirá a través de SSL, porque el host passaporte.yandex.ru está incluido en la lista precargada de Chrome. Para seguir interceptando los datos, debemos reemplazar el nombre de host passaporte.yandex.ru con algo más para que el navegador no detecte que este recurso debe visitarse estrictamente a través de una conexión segura. Por ejemplo, puede reemplazar passport.yandex.ru con paszport.yandex.ru, en este caso los datos se enviarán a formulario abierto al nombre de dominio cambiado. Pero porque dicho dominio: paszport.yandex.ru no existe, entonces también debe realizar una suplantación de DNS, es decir, al convertir paszport.yandex.ru, el cliente debe recibir como respuesta la dirección IP original de pasaporte.yandex.ru.

Este procedimiento está automatizado y no requiere intervención adicional del usuario al realizar un ataque. Lo único que se requiere es hacer primero una lista de reemplazos en misc\hsts.txt. De forma predeterminada, hay varias entradas para yandex, gmail, facebook, yahoo. Es importante entender que esta técnica de bypass no permitirá la interceptación de una sesión o autorización si el usuario ingresa facebook.com en el navegador, porque el navegador abrirá inmediatamente la versión segura del sitio. En este caso, el ataque sólo es posible si el enlace a facebook.com se toma de otro recurso, por ejemplo, al ingresar facebook a google.com. Los principales problemas al implementar un ataque incluyen la lógica impredecible de cómo operan los sitios web con sus subdominios y las características del código web que pueden anular cualquier intento de eludir HSTS. Es por eso que no debes agregar ningún sitio a la lista, incluso los dominios presentes en Intercepter-NG por defecto tienen sus propias características y no siempre funcionan correctamente. Realmente no quiero hacer muletas para cada recurso, tal vez en el futuro se hagan algunas mejoras universales, pero por ahora, como dicen, como está. Un matiz más, en la implementación actual de DNS Spoofing es necesario que servidor DNS no estaba en la red local, por lo que era posible ver las solicitudes de DNS a la puerta de enlace y responderlas según fuera necesario.

  • Reenvío de IP. Habilita el modo de reenvío de IP puro. Los ataques MiTM no están disponibles en este modo, pero le permite iniciar el envenenamiento de arp en situaciones en las que no puede usar Stealth IP. Esto suele ser necesario cuando la puerta de enlace tiene una lista blanca de computadoras legítimas en la red, por lo que NAT no puede funcionar correctamente.
  • Asesino de galletas— restablece las cookies, lo que obliga al usuario a volver a autorizarse: ingrese el nombre de usuario y la contraseña para que el atacante pueda interceptarlos. La función Cookie Killer también funciona para conexiones SSL. Disponible en negro ( miscelánea\ssl_bl.txt) y listas blancas ( miscelánea\ssl_wl.txt). Pueden excluir o, por el contrario, especificar estrictamente direcciones IP o dominios a los que se debe o no aplicar SSL MiTM. Al especificar un puerto SSL adicional, no es necesario especificar el tipo de lectura/escritura, solo especifique el número de puerto. Todo el tráfico está escrito en ssl_log.txt.
  • Captura Remota (RPCAP). Libpcap permite reenviar datos de red de un host a otro a través de su propio protocolo llamado RPCAP. Aquellos. puede ejecutar el demonio rpcap en su puerta de enlace y ver todo el tráfico que pasa por él. Una vez que el demonio se esté ejecutando, puede comenzar a capturar tráfico remoto usando Intercepter. Ingrese el nombre de host o la IP del demonio en el campo provisto y luego seleccione el adaptador de la lista. Luego, debe configurar un filtro "IP no host", reemplazando "IP" con la dirección IP real asignada a su tarjeta Ethernet (esto es para ignorar el tráfico rpcap entre usted y el demonio).
  • PCAP sobre IP

Esta función está relacionada con la captura remota de tráfico y es un excelente reemplazo para el antiguo y problemático servicio rpcapd. El nombre habla por sí solo. Casi cualquier Unix siempre tiene una combinación de tcpdump y netcat, con la que puedes registrar el tráfico a una computadora receptora remota. En este caso, Intercepter puede abrir un puerto anticipando un flujo de datos en formato libpcap y analizarlo en tiempo real.

No existe una diferencia fundamental en la fuente del tráfico, por lo que además de tcpdump, también puede utilizar la utilidad cat para leer un registro .pcap ya existente.

A continuación se muestran algunos ejemplos de uso; de forma predeterminada, Intercepter escucha el puerto 2002:

Tcpdump -i cara -w - | Carolina del Norte IP 2002

Si planea transmitir tráfico a través de la misma interfaz desde la que está capturando, entonces necesita agregar una regla de filtrado que excluya el tráfico de servicio entre el servidor e Intercepter:

Tcpdump -i face -w - no puerto 2002 | nc IP 2002 registro de gato.pcap | nc IP 2002 dumpcap -i cara -P -w - | Carolina del Norte IP 2002

Este es un análogo de tcpdump, que forma parte del . -PAG indica que los paquetes deben guardarse en el formato estándar libpcap en lugar del nuevo pcapng.

Una forma alternativa de reenviar paquetes sin utilizar netcat:

Tcpdump > /dev/tcp/ip/puerto

WPAD significa "Protocolo de detección automática de WebProxy", que corresponde a la función "Detectar configuración automáticamente" en los navegadores modernos. Esta característica permite que el navegador obtenga la configuración de proxy actual sin la intervención del usuario. Esta es una amenaza incluso hoy en día y un atacante puede configurar fácilmente un servidor malicioso para interceptar el tráfico web. La situación se ve agravada por el hecho de que explorador de Internet(y Chrome también) admite esta función de forma predeterminada.

Normalmente, WPAD no está configurado en la red, por lo que el comportamiento normal de los navegadores es realizar solicitudes NetBios para el nombre "WPAD" (sin pasar por los métodos DHCP y DNS). Si no se recibe respuesta, el navegador simplemente utiliza una conexión directa. Pero si se recibe una respuesta, el navegador intenta descargar el archivo de configuración desde http: /ip_of_wpad_host/wpad.dat.

Intercepter-NG responderá a cada solicitud y pedirá a los clientes que utilicen su propia configuración para poder detectar el tráfico a través del proxy. Puede configurar su propia configuración para cualquier otro servidor proxy en la red, o simplemente seleccionar el servidor proxy integrado. El proxy integrado le permite utilizar la función de inyección HTTP.

Opciones del modo experto del Intercepter-NG

  • Tiempo de espera de extracción de SSL (segundos)— Tiempo de espera en segundos Tira SSL
  • Veneno ARP cada (segundos)— Realizar grabado ARP cada... segundos
  • Tiempo de espera de escaneo ARP (segundos)- Tiempo de espera de escaneo ARP
  • TTL de caché de DNS (segundos)— Vida útil en caché de DNS
  • Falsificación de MAC— Dirección MAC a la que se reemplazará la dirección del atacante
  • Inyección de datos de carga MySQL
  • DN del relé LDAP: CC=xxx,CC=xxx
  • Detener la intrusión en la solicitud NBNS
  • Cancelar la conexión SSH después de la autenticación— Restablecer la conexión SSH después de la autorización
  • Secuestro de SMB -> Retransmisión de SMB
  • Veneno ARP automático— En el modo pozon automático, basta con agregar solo 1 host a la lista de objetivos, y el propio Intercepter escaneará la red en un intervalo determinado y agregará automáticamente nuevos objetivos.
  • Restablecer tabla ARP— Restablecer la tabla ARP
  • Carga útil personalizada para SMB Hijack (64kb máx.)
  • Carga útil personalizada para GP Hijack
  • Ejecutar shell— Lanzar caparazón
  • Ejecute el capturador HTTP NTLM

Tipos de escaneo

El escaneo es la primera etapa, es decir, muchos Ataques MiTM empieza con él. Para mostrar el menú de escaneos, vaya a la pestaña Modo MiTM y haga clic derecho en la tabla.

  • Escaneo inteligente: Combina escaneo ARP y descubrimiento de puertas de enlace. A la información habitual sobre direcciones IP y MAC, fabricante de la tarjeta de red y Sistema operativo, se muestra el nombre del ordenador. Durante el mismo período de tiempo, ahora también puede averiguar el nombre de Netbios o el nombre de un dispositivo iOS. Para resolver este último, se utiliza el protocolo MDNS, en base al cual opera el protocolo Bonjour de Apple. Todos los nombres recibidos ahora se guardan en un archivo de caché, y si durante análisis posteriores, por alguna razón, la información sobre el nombre del host no se obtuvo dinámicamente, se tomará del caché. Además, este escaneo muestra la IP Stealth y establece automáticamente la IP de la puerta de enlace (si se detectó) y la IP Stealth en los campos apropiados en la pestaña MiTM. También detecta el sistema operativo en función de los valores TTL.
  • Escaneo ARP(Escaneo ARP): simplemente verifica la subred clase C asignada al adaptador Ethernet seleccionado. Por ejemplo, si su IP es 192.168.0.10, se verificarán 255 direcciones IP en el rango 192.168.0.1-255. A partir de la versión 0.9.5, el programa verifica la máscara de red para escanear correctamente todas las subredes.
  • Descubrimiento de DHCP(descubrimiento de DHCP): envía mensajes de difusión DHCP-Discovery y espera respuestas de los servidores DHCP. Si algún servidor responde, lo agrega a la lista.
  • Detección promisca(detección tarjetas de red en modo promiscuo): envía solicitudes ARP especiales a la red. Los anfitriones que responden son obviamente rastreadores. Algunas tarjetas Ethernet (3COM) también pueden responder, es decir, es posible que se produzcan falsos positivos.
  • Descubrimiento de puerta de enlace(descubrimiento de puerta de enlace): envía un paquete SYN a través de todos los hosts de la red; si hay una puerta de enlace, se enviará una respuesta.

Técnicas de ataque Man-in-the-middle (MiTM) en Intercepter-NG

Cuando presionas el botón Configurar MiTM Se abre el cuadro de diálogo (sombrero con ojo) Ataques MiTM:

Contiene una lista de técnicas compatibles.

SSL MiTM

Esta es una antigua técnica clásica de suplantación de certificados. Le permite interceptar datos de cualquier protocolo protegido por SSL. Compatible de forma estándar: HTTPS, POP3S, SMTPS, IMAPS. Opcionalmente, puede especificar cualquier puerto adicional.

Al interceptar HTTPS, los certificados se generan sobre la marcha, copiando la información original del recurso solicitado. Para todos los demás casos, se utiliza un certificado estático.

Naturalmente, al utilizar esta funcionalidad, las advertencias del navegador y de otro software cliente son inevitables.

EN nueva versión El código de SSL MiTM fue reescrito por completo. Ahora funciona rápido y estable. El algoritmo para generar certificados también ha cambiado, se les han agregado registros DNS adicionales y todos los certificados se firman con una única clave ( miscelánea\servidor). Esto significa que al agregar este certificado autofirmado a la lista de certificados confiables en la computadora del objetivo, será posible escuchar el tráfico SSL hacia cualquier recurso (donde no hay fijación SSL). Función Asesino de galletas Ahora funciona para conexiones SSL. Apareció negro ( miscelánea\ssl_bl.txt) y listas blancas ( miscelánea\ssl_wl.txt). Pueden excluir o, por el contrario, especificar estrictamente direcciones IP o dominios a los que se debe o no aplicar SSL MiTM. Al especificar un puerto SSL adicional, ya no es necesario especificar el tipo de lectura/escritura; basta con especificar el número de puerto. Todo el tráfico se escribe en ssl_log.txt.

Tira SSL

SSL Strip es una técnica "silenciosa" para interceptar conexiones HTTPS. Durante mucho tiempo, la versión funcional solo existía en Unix; ahora se pueden realizar acciones similares en el entorno NT. La cuestión es la siguiente: el atacante está “en el medio”, se analiza el tráfico HTTP, se identifican todos los enlaces https:// y se reemplazan por http://. Así, el cliente continúa comunicándose con el servidor de forma desprotegida. modo. Todas las solicitudes de enlaces reemplazados se monitorean y en respuesta se entregan datos de las fuentes https originales.

Porque No se reemplazan certificados y no hay advertencias. Para simular una conexión segura, se reemplaza el ícono de favicon.

DNC<>ICMP

Esta es una técnica completamente nueva, mencionada anteriormente o no implementada. Se basa en el mismo ICMP Redirect MiTM anterior, pero abre una nueva forma de rastrear datos. El primer paso de este ataque es similar a una redirección ICMP clásica, pero hay una diferencia importante.

El llamado " nueva entrada" es el servidor DNS de la víctima. Tomaremos el control de todas las solicitudes de DNS y haremos algo de magia antes de que la víctima reciba las respuestas.

Cuando resolvemos somehost.com, DNS nos envía una respuesta que contiene una o más respuestas de la IP de somehost.com. Además, puede contener respuestas "adicionales", y también nos ocuparemos de ellas. Una vez completada la primera parte del ataque, la víctima comienza a enviar todas las solicitudes de DNS a través del host del atacante (NAT). Cuando NAT recibe una respuesta de DNS, lee todas las IP y luego envía mensajes de redireccionamiento ICMP a la víctima con la IP traducida.

Entonces, cuando NAT envía una respuesta DNS a la víctima, su tabla de enrutamiento ya tiene entradas para todas las direcciones traducidas que apuntan a nuestro host.

Esto significa que rastrearemos no sólo el DNS de la víctima, sino todo lo que se resolvió. Todo el tráfico será falsificado a través de una IP\MAC falsa.

Esta parte del ataque se realiza del lado NAT, por este motivo debes configurarlo correctamente.

Marque la casilla "DNS sobre ICMP" y luego complete:

  • La IP del enrutador es la IP de puerta de enlace predeterminada utilizada por la víctima.
  • La IP del cliente es la IP de la víctima. Puede agregar varios objetivos, pero recuerde comenzar enviando un paquete de redireccionamiento ICMP a cada objetivo desde el Intercepter.

Después de agregar clientes, debe colocar la IP libre/no utilizada en el campo "Nueva puerta de enlace" y en la "IP oculta".

Seleccione el adaptador, deberían ser iguales ya que vamos a enrutar el tráfico en un área de Ethernet.

Inicie NAT.

Todas las respuestas DNS se almacenan en una lista especial y NAT reenvía periódicamente (de acuerdo con el tiempo establecido en la configuración) las redirecciones ICMP,

Al final necesitas hacer una acción más. No puede desinfectar la tabla de enrutamiento de la víctima (como ocurre con el envenenamiento de ARP), por lo que debe desmarcar "DNS ↔ ICMP" para evitar que se envíen redireccionamientos ICMP nuevamente y esperar entre 10 y 15 minutos. Después de esto, no se agregarán nuevas entradas, pero las antiguas funcionarán bien a través de NAT hasta que caduquen.

WPAD MitTM

Para más detalles, consulte la descripción de la opción. Configuración WPAD (PROXY:PUERTO).

Secuestro de PYMES

SSH MiTM

Puede interceptar datos de autenticación SSH (inicio de sesión/contraseña) y ver todos los comandos que se transmiten durante una sesión remota. Se admiten 2 mecanismos de autenticación: contraseña e interactivo. Para rastrear los datos de la víctima necesitamos actuar como un sshd real y proporcionamos nuestras propias claves rsa/dsa. Si la víctima almacena en caché la clave de host original, aparecerá un mensaje de advertencia; si no se almacena en caché, no habrá signos de un ataque en el lado del cliente.

Una vez que la víctima inicia sesión, puede trabajar como de costumbre, ejecutando comandos y programas pseudográficos como Midnight Commander. Intercepter intercepta las solicitudes WINDOW_CHANGE, por lo que si la víctima decide cambiar el tamaño de la ventana, todo se volverá a dibujar correctamente para que coincida con el nuevo tamaño de la ventana.

El programa funciona con una sesión remota, pero no funciona con SFTP. Si la víctima ejecuta un cliente SFTP, los datos de autenticación serán interceptados, pero la conexión se interrumpirá y se marcará. Luego, cuando la víctima intente volver a conectarse, tendrá acceso al servidor ssh original además de nuestro sshd falso.

Es necesario mencionar que el atacante inicia sesión en el servidor remoto y deja su dirección IP en los registros. En el modo experto, puede seleccionar la opción para interrumpir la conexión ssh después de recibir las credenciales de la víctima. La conexión quedará marcada y en el siguiente intento el programa permitirá el acceso al servidor original.

Secuestro de GP

Capacidades adicionales para ataques de intermediario (MiTM) en Intercepter-NG

Los botones para usar estas funciones también se encuentran en la sección Opciones MiTM(dado, símbolo de JDownloader, jeringa, escudo y símbolo de peligro de radiación independiente):

Traffic Changer (cambiar datos de texto en el flujo de tráfico de la red)

Puede reemplazar solo datos de igual tamaño sin cambiar la longitud de los paquetes. Digamos que el navegador abre site.com/file.txt, que contiene la cadena "12345". En respuesta a una solicitud GET, el servidor devolverá un encabezado HTTP que indica la longitud de los datos transmitidos - Longitud del contenido: 5. ¿Qué sucede si reemplazamos “12345” por “12356”? El navegador descargará sólo 5 bytes, descartando el "6" añadido, y si reducimos el tamaño de los datos sustituyendo "12345" por "1234", el navegador sólo recibirá 4 bytes y esperará otro 1 byte del servidor hasta la conexión se cierra por tiempo de espera. Es por eso que se hizo esta limitación de tamaño. Puede cambiar tanto texto como datos binarios, la sintaxis para patrones binarios es la misma que en C - “\x01\x02\x03”.

Si se requiere sustitución en el tráfico HTTP, entonces en la configuración debe habilitar la opción "Desactivar codificación HTTP gzip".

suplantación de identidad

La suplantación de identidad le permite redirigir hosts a una IP determinada. Se admiten los protocolos DNS, NBNS, LLMNR.

Con DNS también puedes especificar una máscara para redirigir todos los subdominios. Normalmente se establecerán pares dominio.com:IP, pero los subdominios no serán falsificados. Para redirigirlos a todos, agregue * (asterisco) antes del nombre de dominio: *host.com

Descarga forzada e inyección JS

Ambas innovaciones se relacionan con el modo de inyección HTTP. En ruso, Descarga forzada se puede traducir como “descarga forzada”, porque esto es exactamente lo que sucede en el lado del objetivo durante la navegación web. Al ingresar al sitio, se ofrece descargar el archivo especificado por el atacante, dependiendo de la configuración del navegador, se puede descargar de forma independiente y luego el usuario elegirá si ejecutarlo o no.

Como comprenderá, puede agregar un archivo .exe con contenido arbitrario a la descarga forzada, y la fuente de este archivo será el sitio que el usuario está visitando actualmente. Sabiendo que el destino va a abrir adobe.com, puede ejecutar flashplayer.exe y el origen de este archivo aparecerá como adobe.com o uno de sus subdominios.

Después de una inyección única, el forzado se desactiva; para volver a inyectar, debe hacer clic nuevamente en la casilla de verificación correspondiente.

JS Inject no está presente explícitamente entre los controles, porque de hecho, esta es la inyección http más común, pero con una diferencia. Al reemplazar un archivo por otro, por ejemplo, imágenes.jpg por uno determinado, se trata precisamente de reemplazar un contenido por otro. Reemplazar un script .js probablemente puede interrumpir el funcionamiento del recurso, por lo que en la nueva versión js inject no reemplaza un script por otro, sino que lo agrega al existente, agregando la capacidad de introducir código adicional sin afectar el original. .

El modo FATE combina dos nuevas funciones: FAke siTE y FAke update.

El objetivo clave de FAke siTE es obtener datos de autorización de cualquier recurso web, evitando SSL y otros mecanismos de seguridad. Esto se logra clonando la página de autorización y creando una plantilla que se alojará en el pseudoservidor web integrado. De forma predeterminada, el interceptor incluye una plantilla para cuentas.google.com, porque la página original requiere que complete un campo con un nombre de usuario y luego una contraseña. Esta plantilla se ha modificado ligeramente para permitir que ambos campos estén activos al mismo tiempo. Antes del ataque, debes especificar el dominio en el que se alojará la plantilla. Una vez que comienza el ataque, se inyecta una redirección al dominio seleccionado en el tráfico del objetivo y posteriormente el interceptor realizará automáticamente una suplantación de DNS en las direcciones requeridas. Como resultado, la página de autorización seleccionada se abrirá en el navegador.

Funcionalidad FAke updaTE (actualizaciones falsas) significa la aparición de mensajes sobre la instalación de la "víctima" software y supuestamente descargando un archivo de actualización al que se le ha agregado la carga útil. La lista de software compatible es muy modesta. Si lo deseas, puedes agregar tus propias plantillas; su estructura se puede ver en misc\FATE\updates.

Veneno ARP (grabado ARP)

Parte del clásico ataque del intermediario. Este ataque comienza con el escaneo de hosts. Cuando se descubren los hosts y algunos de ellos son seleccionados como objetivos, comienza el envenenamiento de ARP, como resultado de lo cual los hosts atacados comienzan a reenviar su tráfico no a la puerta de enlace, sino al atacante. El atacante estudia (huele) este tráfico, realiza otras manipulaciones y lo envía al servidor de destino. El servidor de destino responde al atacante (como fuente de la solicitud), este tráfico también se rastrea, modifica y reenvía a la víctima. Como resultado, a la víctima no le sucede nada. cambios significativos- parece estar intercambiando datos con un servidor remoto.

Características adicionales de Intercepter-NG

Botones de inicio funciones adicionales ubicado en una sección separada de la columna derecha en la ventana del programa:

Intercepter-NG ahora tiene su propio escáner de red, que reemplaza al primitivo escáner de puertos de versiones anteriores. Sus principales funciones:

  1. Escanee puertos abiertos y detecte heurísticamente los siguientes protocolos: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC, RDP.
  2. Determine la presencia de SSL en un puerto abierto, lea pancartas y varios encabezados web.
  3. Si se detecta algún proxy o sox comprobar que estén abiertos al exterior.
  4. Verifique el acceso sin contraseña a los servidores VNC, verifique SSL en HeartBleed. Lea version.bind desde DNS.
  5. Verifique la base de datos en busca de scripts en el servidor web que sean potencialmente vulnerables a ShellShock. Consulte la base de datos para obtener una lista de directorios y archivos con 200 OK, así como una lista de directorios de robots.txt.
  6. Determine la versión del sistema operativo a través de SMB. Si tiene acceso anónimo, obtenga la hora local, el tiempo de actividad, una lista de recursos compartidos y usuarios locales. Se inicia la búsqueda automática de contraseñas para los usuarios encontrados.
  7. Determine a partir de la lista integrada de usuarios de SSH midiendo el tiempo de respuesta. Se inicia la búsqueda automática de contraseñas para los usuarios encontrados. Si la enumeración no produce resultados (no funciona en todas las versiones), la búsqueda se inicia solo para root.
  8. Fuerza bruta automática para HTTP Basic y Telnet. Dadas las peculiaridades del protocolo telnet, es posible que se produzcan falsos positivos.

Puede escanear cualquier objetivo, tanto en la red local como en Internet. Puede especificar una lista de puertos para escanear: 192.168.1.1:80,443 o el rango 192.168.1.1:100-200. Puede especificar el rango de direcciones para el escaneo: 192.168.1.1-192.168.3.255.

Para obtener un resultado más preciso, sólo se pueden escanear 3 hosts a la vez. Literalmente, en el último momento, se agregaron verificaciones de datos de certificados SSL, por ejemplo, si se encuentra la palabra Ubiquiti y el puerto 22 está abierto, entonces se inicia automáticamente la fuerza bruta SSH del usuario ubnt. Lo mismo ocurre con un par de hardware Zyxel con el usuario administrador. Para la primera versión del escáner hay suficiente funcionalidad y está bien depurado.

Explotación HeartBleed

Prueba si el objetivo es vulnerable a HeartBleed. Si el objetivo es vulnerable, aprovecha esta vulnerabilidad y recibe parte del contenido. memoria de acceso aleatorio servidor remoto.

Modo de fuerza bruta

Los ataques de fuerza bruta (fuerza bruta, fuerza bruta) son compatibles con los siguientes protocolos de red:

  • POP3 TLS
  • TLS SMTP
  • HTTP Básico
  • Publicación HTTP
  • TELNET
  • VMware

Puede establecer la cantidad de subprocesos en los que se verificarán las credenciales.

Cuando se agota el tiempo de espera, el hilo activo se reinicia desde el mismo lugar y el proceso de búsqueda continúa.

Disponible Modo singular, lo que indica que cada nuevo par de inicio de sesión: contraseña debe verificarse con el establecimiento de una nueva conexión; para algunos protocolos, esto permite una mayor velocidad. El registro de operaciones se guarda en bruto.txt.

Funciones ARP

Además del grabado y escaneo ARP, existen otras funciones asociadas con el protocolo ARP. Dos de ellos se encuentran en botones separados en la columna derecha de la ventana del programa:

  • Vigilancia ARP: Servicio de monitoreo ARP personal creado. Debe comenzar realizando un escaneo ARP para completar la lista confiable (“limpia”) Direcciones MAC. Si alguien intenta envenenar su caché arp, aparecerá un mensaje de advertencia.
  • Jaula ARP: Aísla la dirección IP de destino de otros hosts locales falsificando las entradas de la tabla arp.

Ejemplos de lanzamiento del Intercepter-NG

Cómo ejecutar MiTM en Intercepter-NG

Comience con una elección adaptador de red (Adaptador de red):

Haga clic derecho en una tabla vacía y seleccione Escaneo inteligente:

Se mostrará una lista de objetivos:

Agregue los que necesita como objetivos ( Agregar como objetivo):

Para comenzar a olfatear, haga clic en el icono correspondiente:

Ir a la pestaña Modo MiTM(este es un globo terráqueo con cables de conexión) y haga clic en el icono Veneno ARP(símbolo de peligro de radiación):

en la pestaña Modo de contraseña(el símbolo es un llavero), aparecerán las credenciales capturadas:

Trabajar con Wi-Fi y trabajar con Ethernet

No hay diferencias cuando se trabaja con Wi-Fi o conexiones por cable, pero debe cambiar a modo deseado haciendo clic en el icono:

Análisis sin conexión de archivos de captura pcap

Hay muchas opciones que pueden ralentizar o acelerar el tiempo de análisis.

  1. Para empezar, si necesita leer un archivo .pcap grande, desactive la opción " Resolver".
  2. Si su .pcap contiene archivos grandes y Resurrection está habilitado, la velocidad puede disminuir. La solución es establecer un límite en el tamaño máximo de archivo para la recuperación.
  3. Si no necesita reconstruir nada, desactive esta opción en la configuración. La velocidad aumentará.
  4. Si necesita analizar solo un protocolo específico, por ejemplo, ICQ\AIM o solo HTTP, configure el filtro apropiado " filtro pcap" de MODO CRUDO: puerto tcp xxx, Dónde xxx es el número de puerto de su protocolo.
  5. Puede cargar más de una captura para su análisis. EN Abrir diálogo seleccione varios archivos, todos serán analizados uno por uno.

Instalación del interceptor-NG

Instalación en Linux Kali

Para instalar y ejecutar Intercepter-NG en KaliLinux ejecute los siguientes comandos:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo cp paquete/paquete. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ paquete/ sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Cargar Intercepter-NG v1. 0 y eliminar archivos dll wpcap.dll y Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip descomprimir Intercepter- NG.zip rm wpcap.dll rm Packet.dll sudo vino Intercepter-NG.exe

Instalación en Windows

Para instalar Intercepter-NG en Windows, vaya a y descargue el archivo correspondiente (sin letras CE). El programa no requiere instalación, simplemente descomprima el archivo y ejecute el archivo .exe.

Instalación en Android

Para instalar Intercepter-NG en Android, vaya a y descargue el archivo apk. Para iniciar correctamente la aplicación, se requieren derechos de root.

Capturas de pantalla de Intercepter-NG

Intercepter-NG le permitirá determinar la dirección MAC y la dirección IP de cualquier usuario conectado a una red pública. Además, al utilizar el programa, puede interceptar cookies y tráfico entrante y saliente con fines ilegales.

Características

Intercepter-NG es una aplicación multifuncional que, en las manos adecuadas, se convierte en una herramienta para realizar transacciones ilegales. En primer lugar, se puede utilizar para identificar todos los dispositivos conectados a una red pública. Los datos incluyen no sólo la dirección IP, sino también la dirección MAC única del dispositivo.

En segundo lugar, la aplicación le permite interceptar el tráfico bidireccional del usuario seleccionado, viendo, usando e incluso reemplazando archivos. Dado que el programa no instrucciones detalladas Para utilizar la funcionalidad, es necesario tener un conocimiento mínimo. En este caso, no sólo conocerá la dirección IP o MAC, sino que también podrá interceptar fácilmente las cookies para leer la correspondencia de otras personas e incluso realizar acciones en nombre del usuario.

Peculiaridades

  • Acceso raíz. El dispositivo debe estar rooteado para utilizar todas las funciones de la aplicación.
  • La capacidad de conocer la dirección IP y MAC de cualquier usuario que utilice el mismo punto de acceso que usted.
  • Capacidad de interceptar cookies para leer correspondencia, acciones con cuentas.
  • Capacidad para interceptar tráfico saliente y entrante, reemplazar archivos.

Una interfaz minimalista y un funcionamiento estable son un par de características más de la aplicación que la hacen popular en círculos reducidos.

Publicaciones sobre el tema.