Alat Kali Linux. Fitur baru dari pemindai keamanan Intercepter-NG yang legendaris Interceptor ng tidak berfungsi

Tanda-tanda kehamilan setelah implantasi embrio

Setelah 10 tahun pengembangan (selama itulah proyek ini lahir), indeks versi Intercepter-NG akhirnya mencapai 1.0. Menurut tradisi yang sudah ada, pembaruan untuk Windows dirilis setahun sekali, dan rilis ulang tahun tersebut benar-benar sukses. Saya ingin mengucapkan terima kasih kepada semua orang yang selama bertahun-tahun telah memberikan bantuan dalam pengujian, memberikan masukan rinci dan inspirasi ideologis. Mari kita mulai ulasan dengan hal-hal kecil dan pada akhirnya kita akan melihat fitur terlezat dari Intercepter-NG 1.0.

1. Dalam Mode RAW, sekarang dimungkinkan untuk mengekspor paket yang dipilih ke file .pcap. Ketika Simpan Otomatis diaktifkan, paket yang berisi data otorisasi akan ditulis ke .pcap terpisah.

2. Di kolom Extra SSL Ports, yang berhubungan dengan SSL MiTM, kini Anda dapat memasukkan beberapa port yang dipisahkan dengan koma.

3. Saat menyerang Relai LDAP pada pengontrol domain dengan bahasa selain bahasa Inggris, dalam pengaturan ahli Anda dapat menentukan grup yang diperlukan untuk menambahkan pengguna, misalnya, alih-alih Admin Domain, tentukan setara dengan Administrator Domain dalam bahasa Rusia.

4. Bug pada pengendali hash NTLMv2SSP telah diperbaiki sehingga membuat tebakan kata sandi tidak dapat dilakukan dengan benar.

5. Berbagai peningkatan dalam Mode Bruteforce. Ditambahkan: Dukungan SSL untuk HTTP, dukungan UTF8 untuk brute force LDAP, VNC, Vmware Auth Daemon, dan protokol RDP. Kekerasan RDP bekerja pada Windows 7/8/2008/2012. NLA dan login serta kata sandi didukung dalam bahasa apa pun. Lapisan Keamanan RDP tidak didukung.

6. Menambahkan opsi “Inject Reverse Shell” ke HTTP Injections. Ini adalah Unduhan Paksa dengan muatan koneksi balik ke shell interseptor bawaan.

7. Berbagai perbaikan dan perubahan secara umum. Spoofing sekarang dinonaktifkan secara default.

TAKDIR

Mode FATE menggabungkan dua fungsi baru: FAke site dan FAke updateTE.

Tujuan utama situs FAke adalah mendapatkan data otorisasi dari sumber daya web apa pun, melewati SSL dan mekanisme keamanan lainnya. Hal ini dicapai dengan mengkloning halaman otorisasi dan membuat template yang akan dihosting di server web semu bawaan. Cara kerjanya ditunjukkan dalam video di akhir postingan. Secara default, pencegat menyertakan satu template untuk account.google.com, karena halaman asli mengharuskan Anda mengisi kolom dengan login dan kemudian kata sandi.

Templat ini telah sedikit dimodifikasi agar kedua kolom dapat aktif secara bersamaan. Sebelum menyerang, Anda harus menentukan domain tempat template akan dihosting. Setelah serangan dimulai, pengalihan ke domain yang dipilih disuntikkan ke lalu lintas target dan selanjutnya pencegat akan secara otomatis melakukan spoofing DNS ke alamat yang diperlukan. Akibatnya, halaman otorisasi yang dipilih akan terbuka di browser. Proses kloning website juga diperlihatkan dalam video menggunakan contoh mail.yandex.ru.


Pecinta Linux sudah familiar dengan alat bernama Evilgrade, yang memungkinkan Anda mengeksploitasi mekanismenya pembaruan otomatis dan menerapkan muatan sewenang-wenang. Faktanya, vektor ini sangat dilebih-lebihkan, pertama, daftar aplikasi yang didukung di Evilgrade sebagian besar sudah ketinggalan zaman, dan kedua, sebagian besar aplikasi paling populer memeriksa pembaruan dengan cara yang aman.

Namun, semua orang telah mendengar tentang kelalaian besar dalam mekanisme pembaruan dari vendor besar dan ini mungkin akan terjadi di masa depan, jadi analog dari Evilgrade muncul di Intercepter-NG, tetapi daftar perangkat lunak yang didukung sangat sederhana. Jika mau, Anda dapat menambahkan templat Anda sendiri; strukturnya dapat dilihat di miscFATEupdates. Kirimkan kepada kami perangkat lunak yang diperbarui secara terbuka, kami akan memperbarui database.

X-Pindai

Bertahun-tahun yang lalu saya sangat menyukai pemindai keamanan jaringan dari tim Tiongkok di Xfocus yang disebut X-Scan. Ringan, desain nyaman, fungsionalitas bagus. Pada pertengahan tahun 2000-an, banyak hal yang bisa dilakukan, namun kemudian perkembangannya terhenti dan dalam kenyataan saat ini tidak banyak gunanya. Karena alasan ini, saya ingin membuat analoginya yang modern, tetapi entah bagaimana tidak berhasil... sampai saat ini. Karena cinta lama, dengan nama inilah Intercepter-NG muncul dengan pemindai jaringannya sendiri, yang menggantikan pemindai port primitif dari versi sebelumnya. Jadi apa yang bisa dia lakukan?

1. Pindai port terbuka dan secara heuristik menentukan protokol berikut: SSH, Telnet, HTTPProxy, Socks45, VNC, RDP.

2. Tentukan keberadaan SSL aktif pelabuhan terbuka, baca spanduk dan berbagai header web.

3. Jika proxy atau sox terdeteksi, periksa apakah terbuka ke luar.

4. Periksa akses tanpa kata sandi ke server VNC, periksa SSL di HeartBleed. Baca version.bind dari DNS.

5. Periksa database untuk skrip di server web yang berpotensi rentan terhadap ShellShock. Periksa database untuk daftar direktori dan file dengan 200 OK, serta daftar direktori dari robots.txt.

6. Tentukan versi OS melalui SMB. Jika Anda memiliki akses anonim, dapatkan waktu lokal, waktu aktif, daftar sumber daya bersama, dan pengguna lokal. Pencarian kata sandi otomatis dimulai untuk pengguna yang ditemukan.

7. Tentukan dari daftar pengguna SSH bawaan dengan mengukur waktu respons. Pencarian kata sandi otomatis dimulai untuk pengguna yang ditemukan. Jika enumerasi tidak membuahkan hasil (tidak berfungsi pada semua versi), pencarian diluncurkan hanya untuk root.

8. Brute force otomatis untuk HTTP Basic dan Telnet. Mengingat kekhasan protokol telnet, kesalahan positif mungkin terjadi.

Anda dapat memindai target apa pun, seperti pada jaringan lokal serta di Internet. Anda dapat menentukan daftar port untuk pemindaian: 192.168.1.1:80,443 atau kisaran 192.168.1.1:100-200. Anda dapat menentukan rentang alamat untuk pemindaian: 192.168.1.1-192.168.3.255.

Untuk hasil yang lebih akurat, hanya 3 host yang dapat dipindai dalam satu waktu. Secara harfiah di saat-saat terakhir, pemeriksaan data dari sertifikat SSL ditambahkan, misalnya, jika kata Ubiquiti ditemukan dan port 22 terbuka, maka brute force SSH dari pengguna ubnt diluncurkan secara otomatis. Hal yang sama berlaku untuk sepasang perangkat keras Zyxel dengan pengguna admin. Untuk rilis pertama pemindai, fungsionalitasnya cukup dan sudah di-debug dengan baik. Kirimkan ide dan keinginan Anda kepada kami.

ps: versi pertama manual dalam bahasa Rusia akan muncul dalam waktu dekat.

Situs: sniff.su
Cermin: github.com/intercepter-ng/mirror
Surat: [dilindungi email]
Twitter: twitter.com/IntercepterNG
Forum: intersepterng.boards.net
Blog: intersepter-ng.blogspot.ru

Apa itu Intercepter-NG

Mari kita pertimbangkan esensi dari fungsi ARP contoh sederhana. Komputer A (alamat IP 10.0.0.1) dan Komputer B (alamat IP 10.22.22.2) dihubungkan oleh jaringan Ethernet. Komputer A ingin mengirim paket data ke komputer B; ia mengetahui alamat IP komputer B. Namun, jaringan Ethernet yang mereka sambungkan tidak berfungsi dengan alamat IP. Oleh karena itu, untuk mengirimkan melalui Ethernet, komputer A perlu mengetahui alamat komputer B jaringan Ethernet(Alamat MAC dalam istilah Ethernet). Protokol ARP digunakan untuk tugas ini. Dengan menggunakan protokol ini, komputer A mengirimkan permintaan siaran yang ditujukan ke semua komputer di domain siaran yang sama. Inti dari permintaan: “komputer dengan alamat IP 10.22.22.2, berikan alamat MAC Anda ke komputer dengan alamat MAC (misalnya, a0:ea:d1:11:f1:01).” Jaringan Ethernet mengirimkan permintaan ini ke semua perangkat di segmen Ethernet yang sama, termasuk komputer B. Komputer B merespons permintaan tersebut ke komputer A dan melaporkan alamat MAC-nya (misalnya 00:ea:d1:11:f1:11) Sekarang, Memiliki menerima alamat MAC komputer B, komputer A dapat mengirimkan data apa pun ke sana melalui jaringan Ethernet.

Untuk menghindari kebutuhan untuk menggunakan protokol ARP sebelum setiap pengiriman data, alamat MAC yang diterima dan alamat IP terkait dicatat dalam tabel selama beberapa waktu. Jika Anda perlu mengirim data ke IP yang sama, maka tidak perlu melakukan polling perangkat setiap kali mencari MAC yang diinginkan.

Seperti yang baru saja kita lihat, ARP menyertakan permintaan dan respons. Alamat MAC dari respon ditulis ke tabel MAC/IP. Ketika tanggapan diterima, keasliannya tidak diperiksa dengan cara apa pun. Selain itu, ia bahkan tidak memeriksa apakah permintaan tersebut telah dibuat. Itu. Anda dapat segera mengirim respons ARP ke perangkat target (bahkan tanpa permintaan), dengan data palsu, dan data ini akan dimasukkan ke dalam tabel MAC/IP dan akan digunakan untuk transfer data. Inilah inti dari serangan spoofing ARP, yang kadang-kadang disebut ARP etching, keracunan cache ARP.

Deskripsi serangan spoofing ARP

Dua komputer (node) M dan N pada jaringan lokal Ethernet bertukar pesan. Penyerang X, yang berada di jaringan yang sama, ingin mencegat pesan di antara node-node ini. Sebelum serangan ARP-spoofing diterapkan pada antarmuka jaringan host M, tabel ARP berisi alamat IP dan MAC host N. Juga pada antarmuka jaringan host N, tabel ARP berisi alamat IP dan MAC host M .

Selama serangan spoofing ARP, node X (penyerang) mengirimkan dua respons ARP (tanpa permintaan) - ke node M dan node N. Respons ARP ke node M berisi alamat IP N dan alamat MAC X. Respon ARP pada node N berisi alamat IP M dan alamat MAC X.

Karena komputer M dan N mendukung ARP spontan, setelah menerima respons ARP, mereka mengubah tabel ARP-nya, dan sekarang tabel ARP M berisi alamat MAC X yang terikat ke alamat IP N, dan tabel ARP N berisi alamat MAC X, terikat ke alamat IP M.

Dengan demikian, serangan spoofing ARP selesai, dan sekarang semua paket (frame) antara M dan N melewati X. Misalnya, jika M ingin mengirim paket ke komputer N, maka M mencari di tabel ARP-nya, menemukan entri dengan alamat IP host N, pilih alamat MAC dari sana (dan sudah ada alamat MAC node X) dan mengirimkan paket. Paket tiba di antarmuka X, dianalisis olehnya, dan kemudian diteruskan ke node N.

Halo semua yang membaca artikel ini.

Ini menjelaskan cara mencegat kata sandi dan cookie dalam jaringan menggunakan program Intercepter-ng.

Beberapa meminta untuk memberi tahu kami lebih banyak tentang fungsinya, yang lain meminta untuk menampilkan lebih banyak fitur, seseorang meminta untuk meninjau versi terbaru (saat ini versi 0.9.10.

Saya harus melepaskan diri dari rasa malas dan mulai mempelajari semua materi yang saya temukan sedikit demi sedikit.

Ketika saya mulai menulis drafnya, saya menyadari bahwa saya tidak dapat melakukannya hanya dengan satu artikel. Oleh karena itu, saat ini hanya akan ada teori, penjelasan tentang beberapa fungsi dan mode Intercepter-ng. Dalam dua atau tiga hari saya akan menulis tentang bekerja dengan program dalam praktik, dan kemudian akan ada beberapa video (bagi mereka yang merasa lebih mudah mempelajarinya).

Saya akan langsung mengatakannya - saya tidak memiliki pengetahuan teknis yang mendalam, itulah mengapa saya menulis dengan kata-kata sederhana, dan agar jelas bagi orang awam. Jika Anda melihat ada ketidakakuratan dalam deskripsi saya, atau ada yang perlu ditambahkan, silakan tulis di komentar.

Saya tidak dapat mendeskripsikan setiap fungsi, hanya fungsi yang dapat saya temukan sendiri.

Mari kita mulai memeriksa pasien.

Pencegat-ng. Alat peretas penguji penetrasi.

Fungsionalitas (hanya sebagian kecil dari semua kemungkinan).

Mari kita lihat mode dan tombolnya.

1 - Pilih antarmuka yang melaluinya Anda terhubung ke router (ikon di sebelah kiri beralih Mode Wi-Fi atau mode kabel, pilih milik Anda).

2 — Modus utusan. Fungsi intersepsi pesan ICQ\AIM\JABBER. Saya menganggapnya tidak relevan saat ini, jadi tidak akan dipertimbangkan.

3. — Mode Resureksi- mode pemulihan. Saat korban menelusuri situs web, ada file, gambar, beberapa halaman HTML, dll. Mereka juga disimpan untuk Anda (tidak semuanya dapat disimpan, atau hanya sebagian). Mungkin mode analisis akan bermanfaat bagi seseorang.

4. - Modus Kata Sandi— Cookie ditampilkan di sini, jika beruntung, kata sandi yang dimasukkan oleh korban dan situs yang dikunjungi. Dengan protokol Https, semuanya sering kali menjadi nol dan jika beruntung Anda hanya akan mendapatkan cookie. Namun berkat beberapa pengaturan, terkadang Anda dapat menyiasatinya (lebih lanjut tentang itu nanti).

5. . Di sini kami akan mencari korban kami. Untuk melakukan ini, klik kanan di jendela dan pilih Pemindaian cerdas.

Semua perangkat di jaringan dan perkiraan OSnya akan ditampilkan.

IP Tersembunyi adalah IP tersembunyi Anda, tempat Anda bersembunyi di tempat kerja.

Mari kita lihat lebih dekat modenya.

Jika Anda mengklik “Deteksi promisc”, Anda akan melihat perangkat yang kemungkinan besar mencegat lalu lintas (seringkali salah)... Hati-hati, karena ini mungkin menunjukkan bahwa router Anda juga merupakan pencegat.

Saat Anda mengklik IP tertentu, Anda dapat menambahkan korban ke Nat (Tambahkan ke nat) untuk melakukan intersepsi di masa mendatang.

Selain itu, jika Anda memilih “Pindai port”, Anda dapat memindai port yang terbuka. Fungsi Nmap masih jauh, tetapi jika Anda hanya memiliki program ini, maka itu akan berfungsi.

Tidak ada yang lebih menarik di sini.

6. Modus Nat. Mode Nat - Mode utama tempat kita akan bekerja. Di sinilah persiapan utama dan serangan ARP dilakukan.

Saya tidak akan fokus pada hal ini dalam artikel ini; kita akan melihatnya di artikel berikutnya.

7. Modus DHCP. Mode DHCP - Memungkinkan Anda mengatur server DHCP Anda sendiri dalam jaringan. Saya belum pernah menggunakan mode ini dan tidak dapat memberi Anda saran apa pun tentangnya.

8. Modus mentah- Modus mentah. Samar-samar mirip dengan program Wireshark. Menampilkan aktivitas utama di jaringan. Terkadang Anda bisa menangkap sesuatu yang menarik, tentu saja, jika Anda tahu apa yang harus dicari.

9. . Pengaturan program pencegat-ng. Ini adalah bagian penting, jadi mari kita lihat lebih dekat.

Kunci pada baki— Saat meminimalkan program, kata sandi akan ditempatkan di baki. Kata sandi defaultnya adalah 4553.

Simpan sesi— secara otomatis menyimpan laporan dalam file PCAP untuk dipelajari dan dianalisis lebih lanjut.

Kacau- "Mode tidak teratur." Ketika diaktifkan, program membaca semua paket, jika tidak diinstal, program hanya membaca paket yang dikirim ke antarmuka yang ditentukan. Tidak semua modul Wi-FI dapat bekerja dengannya. Saya tidak tahu untuk apa, saya tidak melihat adanya perbedaan dengan atau tanpanya.

Penyimpanan otomatis. Secara otomatis menyimpan laporan dalam format teks di folder root program.

Tampilan bergaris. Lihat sebagai tabel. Jika Anda mematikannya, laporan di dalam program akan dicantumkan. Lihat mana yang lebih nyaman, dengan atau tanpa itu.

Pembunuh iOS dan Pembunuh Cookie. Hampir identik. Cookie killer dirancang sedemikian rupa sehingga jika korban sudah memiliki kata sandi yang disimpan di situs, dia akan keluar dari situs dan harus masuk lagi dan oleh karena itu Anda akan menerima kata sandinya. iOS killer dirancang untuk iPhone dan iPad sehingga korban dapat keluar dari program klien sosial (VK, facebook, Icloud, dll).

Penurunan versi Kerberos.Kerberos adalah protokol jaringan, salah satu jenis otentikasi. Berkat fitur ini, dengan menggunakan pembajakan seseorang, Anda dapat melewati perlindungan ini. Saya sendiri belum pernah menemukan protokol seperti itu, jadi kami tidak akan mempertimbangkannya.

Hst. Fitur menarik untuk melewati Hsts dari versi terbaru, tapi tidak sepenuhnya stabil. Intinya adalah banyak situs secara otomatis beralih dari Http ke protokol aman Https, yang mencegah kami mencegat data. Strip SSL tidak selalu berfungsi, jadi fungsi ini terkadang dapat membantu. Saya tidak akan menjelaskan prinsipnya (Anda dapat menemukannya di Habré).

Satu-satunya hal yang perlu Anda lakukan adalah menambahkan domain yang diperlukan ke file misc\hsts.txt di folder program. Beberapa yang populer sudah ada. Intinya adalah Anda perlu menetapkan surat ke domain utama. Misalnya vk.com:vvk.com atau ok.ru:oks.ru, dll.

Program ini akan mengganti halaman otorisasi aman di situs dengan halaman palsu, tetapi IP otorisasi tetap sama seperti halaman utama.

Dalam contoh saya, terkadang hal ini berhasil sesekali, namun lebih baik daripada tidak sama sekali. Eksperimen secara umum.

Konfigurasi Wpad. Masuk ke WPAD-WebProxy Auto-Discovery atau aktifkan proxy Wpad standar. Untuk mengaktifkannya, dalam mode Nat, centang kotak mitm Wpad.

Dalam mode Pakar (ikon planet), kita mungkin tertarik dengan kotak centang Racun ARP Otomatis. Artinya, ketika orang terhubung ke jaringan, mereka secara otomatis akan ditambahkan ke mode nat.

Tidak ada lagi yang perlu dipertimbangkan di bagian Pengaturan, jadi lanjutkan.

10. - Eksploitasi HeartBleed— mencari kerentanan HeartBleed.

11. - Modus kekerasan— kekuatan kasar dari beberapa protokol target. Anda perlu mengetahui nama penggunanya. Ada kata sandi untuk Brute dalam program ini dan Anda dapat menggunakan kamus Anda sendiri.

12. jam tangan ARP— dalam mode ini Anda dapat memantau apakah serangan ARP sedang berlangsung (menguping lalu lintas, dll.) jika terjadi serangan, peringatan akan segera ditampilkan dalam mode Nat.
13. Kandang ARP— Sel Arp. Mengisolasi tuan rumah. Mengalihkan korban ke IP lain. berguna ketika mencurigai spam keluar, dll.

Sekian informasi yang dapat saya cari dan pilah.

Di tempat Avi1.ru Repost VK yang sangat murah sudah tersedia untuk dipesan. Segera lakukan pembelian yang menguntungkan sementara layanan ini menawarkan diskon grosir yang sangat signifikan. Anda juga bisa mendapatkan sumber daya lain untuk halaman mana pun di jaringan: suka, penayangan postingan dan video, pelanggan, teman, dll.

Sedikit tentang mode Nat.

Karena semua pekerjaan utama akan dilakukan langsung dengan kami melalui modus ini, saya akan mencoba menguraikan apa yang akan kita temui.

IP Router - langsung IP router yang terhubung dengan Anda. Ini ditentukan secara otomatis saat Anda melakukan Smart scan dalam mode Scan.

Stealth Ip - Ip tersembunyi Anda.

Klien Nat - “Korban” yang diserang ditampilkan di sini.

Pilihan Mitm.

Konfigurasikan mitm - Di sini serangan Mitm utama diaktifkan/dinonaktifkan.

Saya akan melihat dua: SSL Mitm dan SSL Strip.

SSL mitm - Sebuah teknik yang menggantikan sertifikat dengan korban.

Diperlukan untuk intersepsi data. Sayangnya, banyak browser dan klien ponsel belajar memblokirnya, memperingatkan kita atau bahkan mencegah kita mengakses Internet.

Ssl Strip - Juga merupakan fungsi yang sering kita butuhkan. SSL lebih tersembunyi. teknik "diam" untuk mencegat koneksi HTTPS. Tidak ada spoofing sertifikat, sehingga lebih sulit dideteksi, dan tidak ada peringatan tentang masalah keamanan. Diperlukan saat menggunakan Cookie killer. ketika kita perlu menyelipkan file ke korban, dll. Kita akan melihatnya lebih detail di artikel berikutnya.

Pengubah lalu lintas - substitusi lalu lintas. Fungsionalitas yang tidak berguna untuk bersenang-senang. Pengganti Permintaan http kepada korban (misalnya, seseorang ingin membuka satu situs dan dialihkan ke situs lain). Namun tidak semuanya mulus di sini, lebih jelasnya ada di artikel selanjutnya.

Konfigurasikan http injection - disini kita mengkonfigurasi korban untuk mendownload file yang kita butuhkan. Ini bisa berupa gambar, skrip, atau program yang tidak berbahaya. Lebih lengkapnya ada di artikel berikutnya.

Tombol Start arp poison dan Start nat memulai serangan kita. Saat Anda mengaktifkan Start arp poison, yang kedua segera diaktifkan. Namun sebelum Anda menyalakannya, Anda perlu mengaktifkan Mulai mengendus di bagian atas, di sebelah pilihan antarmuka router.

Sebenarnya itu saja yang ada di artikel ini, saya kaget dengan kegigihan Anda jika sudah membaca sejauh ini. Jika ada yang perlu diperbaiki atau ditambahkan, tulis di komentar, dan saya akan menambahkannya ke artikel.

Suatu hari nanti saya akan melihat praktik bekerja dengan Intercepter-ng. Jadi tetaplah bersama kami sampai kita bertemu lagi.

Dan jangan lupa - Kakak mengawasimu!

Deskripsi Intercepter-NG

Intercepter-NG adalah seperangkat alat jaringan multifungsi untuk berbagai jenis spesialis TI. Tujuan utamanya adalah memulihkan data menarik dari aliran jaringan dan melakukan berbagai jenis serangan man-in-the-middle (MiTM). Selain itu, program ini memungkinkan Anda mendeteksi spoofing ARP (dapat digunakan untuk mendeteksi serangan man-in-the-middle), mengidentifikasi dan mengeksploitasi jenis kerentanan tertentu, dan kredensial login brute force untuk layanan jaringan. Program ini dapat bekerja dengan aliran lalu lintas langsung dan menganalisis file dengan lalu lintas yang ditangkap untuk mendeteksi file dan kredensial.

Program ini menawarkan fungsi-fungsi berikut:

  • Mengendus kata sandi/hash dari jenis berikut: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE, NTLM , RADIUS KRB5
  • Mengendus pesan obrolan: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
  • Rekonstruksi file dari: HTTP, FTP, IMAP, POP3, SMTP, SMB
  • Berbagai jenis pemindaian seperti mode Promiscuous, ARP, DHCP, Gateway, Port dan Smart scanning
  • Pengambilan paket dan analisis selanjutnya (offline) / mode RAW (mentah).
  • Pengambilan lalu lintas jarak jauh melalui daemon RPCAP dan PCAP Over IP
  • NAT, KAOS KAKI, DHCP
  • ARP, DNS melalui ICMP, DHCP, SSL, SSLSTRIP, WPAD, relai SMB, SSH MiTM
  • Pembajakan SMB (intersepsi), relai LDAP, injeksi DATA LOAD MySQL
  • ARP Watch, ARP Cage, injeksi HTTP, eksploitasi Heartbleed, Penurunan Versi Kerberos, Pembunuh Cookie
  • spoofing DNS, NBNS, LLMNR
  • Kekuatan kasar dari berbagai layanan jaringan

Versi utama berjalan di Windows, ada versi konsol untuk Linux dan versi untuk Android.

Lisensi: “sebagaimana adanya”

Mode pencegat-NG

Intercepter-NG memiliki tujuh mode utama, yang sesuai dengan jumlah tab program dan jumlah tombol utama:

Ini adalah modenya:

  • Utusan
  • Kebangkitan
  • Kata sandi
  • Pemindaian
  • MENTAH (mentah)

Tempatkan di tempat pertama Modus utusan(logo ICQ). Hal ini terjadi karena alasan sejarah - Intercepter-NG pada awalnya dibuat sebagai program untuk mencegat pesan ICQ dan pesan instan lainnya.

Modus Kebangkitan(logo pada tombolnya adalah Phoenix) berarti memulihkan file dari aliran jaringan. Ini bisa berupa file gambar yang dilihat di situs web, serta file arsip yang ditransfer, dokumen, dan lainnya.

Saat beralih ke Modus Kata Sandi(tombol ketiga - gantungan kunci) Anda akan melihat kredensial diambil dari aliran jaringan. Alamat situs, login dan kata sandi yang dimasukkan ditampilkan.

Ketika program dimulai, program itu terbuka Modus Pemindaian(tombol tengah - radar). Ini adalah mode awal untuk meluncurkan serangan: pemindaian, pemilihan target, dan pengaturan parameter jaringan lainnya dilakukan di tab ini.

tab MiTM(bundel kabel patch) berisi kolom untuk memasukkan pengaturan target, banyak di antaranya diisi secara otomatis selama pemindaian pada tab Pemindaian. Ada juga tombol untuk meluncurkan berbagai serangan MiTM.

tab DHCP berisi beberapa pengaturan jaringan dan server DHCP.

Mode RAW (mentah) menampilkan informasi mentah tentang data yang dikirimkan dalam aliran jaringan. Informasi disajikan dalam bentuk yang mirip dengan .

Tips menggunakan Intercepter-NG dan menyelesaikan masalah:

  • Intercepter-NG memerlukan WinPcap untuk beroperasi, tetapi tidak perlu diinstal secara terpisah karena Intercepter hadir dengan versi portabel WinPcap.
  • Jika Anda tidak melihat adaptor Anda di daftar adaptor, itu berarti WinPcap tidak mendukung kartu Anda.
  • Jika tidak ada yang berfungsi dengan kartu WiFi, bahkan etsa ARP, gunakan ikon NIC, yang terletak di sisi kiri daftar adaptor, untuk beralih ke mode WiFi. Pastikan juga IP Stealth memiliki akses Internet.
  • Dalam beberapa situasi yang jarang terjadi, layanan BFE (Base Filtering Engine) mungkin memblokir port Intercepter lokal. Ini memanifestasikan dirinya sebagai berikut: ARP berfungsi, tetapi fungsi MiTM lainnya tidak berfungsi (di Windows 7 dan lebih tinggi). Program antivirus seperti Avast juga dapat memblokirnya meskipun perlindungan jaringan dinonaktifkan di panel kontrol. Alasan lain untuk perilaku ini mungkin karena pekerjaan yang dilakukan secara bersamaan koneksi WiFi dan layanan Berbagi Sambungan Internet.
  • Intercepter mendukung enkapsulasi 802.11, sehingga Anda dapat menggunakan dump pcap dari program dan . PPPoE, GRE(PP2P) dan header 802.11 tambahan juga didukung. Ini tidak berarti bahwa Intercepter dapat menganalisis data terenkripsi, ini berarti bahwa Intercepter mampu menghapus header ethernet\ip dari paket jenis ini dan menganalisisnya.
  • Karena keterbatasan protokol, UIN\MAIL\… sumber dan tujuan mungkin tidak ditampilkan di tab pesan obrolan.
  • Untuk menyalin data dari tabel kata sandi, klik pada baris dan tekan ctrl+c.
  • Untuk menyembunyikan jendela program, gunakan pintasan keyboard Ctrl+Alt+S. Klik lagi untuk membuat jendela muncul kembali.
  • Intercepter bahkan dapat berjalan di win9x (98 dan 95!), tetapi Anda perlu menginstal WinPcap 3.1 atau WinPcap 4.0beta2. Versi WinPcap baru tidak mendukung win9x.
  • Mode konsol untuk analisis offline:
./intercepter -t dump.cap
  • Untuk mengaktifkan sniffing otomatis, Anda perlu membukanya pengaturan.cfg dan mengedit " jalankan otomatis". Nilai defaultnya adalah 0 , ubah ke nomor antarmuka yang akan Anda hirup.
  • Intercepter mengubah dump pcap dengan data IP mentah yang dienkapsulasi menjadi enkapsulasi Ethernet (menambahkan informasi header ethernet).
  • Intercepter dapat membaca format baru - pcapng. Karena semua file pengambilan pcapng dari Wireshark hanya menggunakan jenis “Blok Paket yang Ditingkatkan”, Intercepter hanya mendukung jenis blok paket ini. Selain itu, ini menunjukkan komentar paket.
  • Dalam mode mentah (RAW) Anda dapat menetapkan aturan Anda sendiri menggunakan filter pcap untuk memfilter lalu lintas. Lihat sintaks pemfilteran pcap untuk detailnya. Contoh:
pelabuhan 80

artinya hanya menerima paket dari tcp port 80 dari kernel.

Bukan port 80

berarti mengecualikan paket dari port 80

Anda dapat menggabungkan aturan:

Port 80 dan bukan port 25

  • Anda tidak boleh bekerja dengan dump besar dalam mode mentah karena Intercepter memuat setiap paket ke dalam memori dan tidak menggunakannya HDD sebagai partisi swap (file).

Tip Opsi Intercepter-NG

Opsi pelacak:

  • Jika Anda akan melakukan analisis offline terhadap pcap dump, maka untuk mempercepat prosesnya, hapus centang pada “ Selesaikan Host”.
  • Jika Anda mencentang opsi " Kunci pada Baki", lalu ketika mengembalikan jendela dari baki Anda akan dimintai kata sandi. Kata sandi defaultnya adalah" 4553 ". Anda dapat mengubahnya di file pengaturan.cfg. Kata sandi dikodekan dalam base64.
  • Pilihan " Simpan Sesi" artinya Intercepter akan menyimpan semua paket yang diterima ke dalam file pcap. File ini dapat digunakan untuk analisis data offline. Ini semacam fungsi ekspor hasil.
  • Jika Anda menginstal Kacau, lalu Intercepter membuka adaptor jaringan dalam mode promiscuous. Artinya, ia akan membaca semua paket, bahkan paket yang tidak dimaksudkan untuk itu antarmuka jaringan. Jika kotak centang tidak dicentang, itu hanya akan membaca paket yang dikirim ke antarmuka yang ditentukan. Beberapa kartu Wi-Fi tidak mendukung mode ini.
  • Data Unik” - hanya tampilkan login dan kata sandi unik. Itu. tampilkan login dan kata sandi yang diambil hanya sekali - jika pengguna memasukkan login dan kata sandi yang sama lagi, itu tidak akan ditampilkan.
  • Penyimpanan otomatis— semua informasi teks akan disimpan setiap 10 detik.
  • Secara default, kotak centangnya adalah “ Tampilan bergaris" Artinya kata sandi akan muncul sebagai kisi data. Untuk melihat informasi detail selengkapnya, hapus centang “ Tampilan bergaris”.
  • ekstrim. Dalam alur kerja yang khas, sniffer menganalisis port yang telah ditentukan sebelumnya yang terkait dengan protokol tertentu. Jika kami mengatakan http, yang kami maksud adalah port 80 (atau 8080 atau apa pun yang telah ditentukan sebelumnya dalam daftar port yang terkait dengan protokol http). Itu. Hanya port-port ini yang akan dianalisis. Jika beberapa aplikasi menggunakan port yang berbeda, misalnya 1234, maka sniffer tidak akan menganalisis paket yang melewatinya. Dalam modus ekstrim Intercepter akan menganalisis semua paket TCP tanpa memeriksa port. Itu. bahkan jika beberapa aplikasi menggunakan port yang tidak ditentukan, sniffer akan tetap memindai paket-paket ini. Meskipun hal ini memperlambat kinerja (lebih banyak port yang perlu diperiksa dari biasanya) dan mungkin menampilkan data yang salah atau kehilangan protokol yang benar (misalnya, FTP dan POP3 menggunakan jenis otorisasi yang sama), hal ini memberikan kemampuan untuk menemukan dan mencegat data menarik tentang port yang tidak dikenal. Gunakan mode ini dengan risiko Anda sendiri, jangan kaget jika terjadi kesalahan saat mode eXtreme diaktifkan.
  • "Tangkap Saja" artinya Intercepter hanya akan menyimpan paket ke file dump tanpa analisis real-time. Hal ini berguna untuk meningkatkan kinerja ketika Anda menangkap banyak data jaringan.
  • Pilihan Kebangkitan berarti mengaktifkan mode Kebangkitan, yang merekonstruksi file dari data yang dikirimkan dalam aliran jaringan.
  • Port IM
  • HTTP. Port yang terkait dengan HTTP, lihat deskripsi opsi untuk detailnya ekstrim.
  • KAUS KAKI
  • IRC\BNC

Opsi serangan Man-in-the-middle (MiTM) di Intercepter-NG

  • Dalam semua serangan MiTM, Intercepter menggunakan spoofing (penggantian) alamat ip\mac (option IP palsu\MAC). Jika Anda menggunakan antarmuka Wi-Fi, maka Anda harus menghapus centang pada opsi ini, karena 99% driver wifi tidak mengizinkan pengiriman paket dengan mac palsu. Meskipun Anda mengungkapkan alamat asli Anda, Anda setidaknya mampu melakukan serangan MiTM apa pun melalui antarmuka wifi. Ini lebih baik daripada tidak sama sekali. Daripada menonaktifkan spoofing di pengaturan, gunakan Modus WIFI. Anda dapat mengubah mac yang ditampilkan dalam Mode Pakar.
  • Pembunuh iOS telah ditambahkan untuk iCloud, serta Instagram dan VK. Fungsi ini (iOS Killer) mengatur ulang sesi aplikasi tertentu dan memungkinkan Anda mencegat otorisasi ulang.
  • Penurunan Versi Kerberos
  • Pemalsuan HSTS. Melewati HSTS selama SSL Strip. Teknik bypass relatif sederhana, tetapi ada kesulitan tertentu dalam penerapannya, jadi Anda tidak boleh mengharapkan hasil yang istimewa. Mari kita lihat contoh di Yandex Mail menggunakan peramban Chrome. Jika Anda pergi ke ya.ru, maka di sudut kanan atas akan ada tautan https "Login to mail", yang dapat dengan mudah ditangani oleh SSL Strip. Selanjutnya, formulir otorisasi akan terbuka, di mana data ditransfer ke paspor.yandex.ru menggunakan metode POST. Bahkan setelah https dihapus, otorisasi akan dilakukan melalui SSL, karena host paspor.yandex.ru termasuk dalam daftar chrome yang dimuat sebelumnya. Untuk tetap mencegat data, kita perlu mengganti nama host paspor.yandex.ru dengan yang lain sehingga browser tidak mendeteksi bahwa sumber daya ini harus dikunjungi secara ketat melalui koneksi aman. Misalnya, Anda dapat mengganti paspor.yandex.ru dengan paszport.yandex.ru, dalam hal ini data akan dikirim ke bentuk terbuka ke nama domain yang diubah. Tapi karena domain seperti itu - paszport.yandex.ru tidak ada, maka Anda juga perlu melakukan DNS Spoofing, mis. saat mengonversi paszport.yandex.ru, klien harus menerima alamat IP asli dari paspor.yandex.ru sebagai tanggapan.

Prosedur ini otomatis dan tidak memerlukan intervensi pengguna tambahan saat melakukan serangan. Satu-satunya hal yang diperlukan adalah membuat daftar penggantinya terlebih dahulu lain-lain\hsts.txt. Secara default, ada beberapa entri untuk yandex, gmail, facebook, yahoo. Penting untuk dipahami bahwa teknik bypass ini tidak akan mengizinkan intersepsi sesi atau otorisasi jika pengguna memasuki facebook.com di browser, karena browser akan segera membuka versi aman situs tersebut. Dalam hal ini, serangan hanya mungkin terjadi jika tautan ke facebook.com diambil dari sumber lain, misalnya saat memasukkan facebook ke google.com. Masalah utama dalam penerapan serangan mencakup logika yang tidak dapat diprediksi tentang cara situs web beroperasi dengan subdomainnya dan fitur kode web yang dapat meniadakan segala upaya untuk melewati HSTS. Itulah mengapa Anda tidak boleh menambahkan situs apa pun ke dalam daftar, bahkan domain yang ada di Intercepter-NG secara default memiliki karakteristiknya sendiri dan tidak selalu berfungsi dengan benar. Saya tidak benar-benar ingin membuat kruk untuk setiap sumber daya; mungkin di masa depan beberapa perbaikan universal akan dilakukan, tetapi untuk saat ini, seperti yang mereka katakan, apa adanya. Satu lagi nuansanya, dalam implementasi saat ini untuk DNS Spoofing diperlukan hal tersebut server DNS tidak berada di jaringan lokal sehingga memungkinkan untuk melihat permintaan DNS ke gateway dan meresponsnya sesuai kebutuhan.

  • IP Maju. Mengaktifkan mode penerusan IP murni. Serangan MiTM tidak tersedia dalam mode ini, tetapi memungkinkan Anda memulai keracunan arp dalam situasi di mana Anda tidak dapat menggunakan IP Stealth. Hal ini biasanya diperlukan ketika gateway memiliki daftar putih komputer yang sah di jaringan, sehingga NAT tidak dapat bekerja dengan benar.
  • Pembunuh Kue— menyetel ulang cookie, sehingga memaksa pengguna untuk melakukan otorisasi ulang - masukkan login dan kata sandi sehingga penyerang dapat mencegatnya. Fungsi Cookie Killer juga berfungsi untuk koneksi SSL. Tersedia dalam warna hitam ( lain-lain\ssl_bl.txt) dan daftar putih ( lain-lain\ssl_wl.txt). Mereka dapat mengecualikan atau, sebaliknya, secara tegas menentukan alamat IP atau domain di mana SSL MiTM harus diterapkan atau tidak. Saat menentukan port ssl tambahan, tidak perlu menentukan tipe baca\tulis, cukup tentukan nomor port. Semua lalu lintas ditulis ke ssl_log.txt.
  • Pengambilan Jarak Jauh (RPCAP). Libpcap memungkinkan untuk meneruskan data jaringan dari satu host ke host lainnya melalui protokolnya sendiri yang disebut RPCAP. Itu. Anda dapat menjalankan daemon rpcap di gateway Anda dan melihat semua lalu lintas yang melewatinya. Setelah daemon berjalan, Anda dapat mulai menangkap lalu lintas jarak jauh menggunakan Intercepter. Masukkan nama host atau IP daemon di kolom yang tersedia lalu pilih adaptor dari daftar. Kemudian Anda perlu menyetel filter “bukan IP host”, mengganti “IP” dengan alamat IP sebenarnya yang ditetapkan ke kartu ethernet Anda (ini untuk mengabaikan lalu lintas rpcap antara Anda dan daemon).
  • PCAP Melalui IP

Fungsi ini terkait dengan penangkapan lalu lintas jarak jauh dan merupakan pengganti yang sangat baik untuk layanan rpcapd yang lama dan bermasalah. Nama itu berbicara sendiri. Hampir semua Unix selalu memiliki kombinasi tcpdump dan netcat, yang dengannya Anda dapat mencatat lalu lintas ke komputer penerima jarak jauh. Dalam hal ini, Intercepter dapat membuka port untuk mengantisipasi aliran data dalam format libpcap dan menganalisisnya secara real time.

Tidak ada perbedaan mendasar dalam sumber lalu lintas, jadi selain tcpdump, Anda juga dapat menggunakan utilitas cat untuk membaca log .pcap yang sudah ada.

Berikut beberapa contoh penggunaan, secara default Intercepter mendengarkan port 2002:

Tcpdump -i menghadapi -w - | nc IP 2002

jika Anda berencana untuk mengirimkan lalu lintas melalui antarmuka yang sama dengan tempat Anda menangkap, maka Anda perlu menambahkan aturan pemfilteran yang mengecualikan lalu lintas layanan antara server dan Intercepter:

Tcpdump -i menghadapi -w - bukan port 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i menghadapi -P -w - | nc IP 2002

Ini analog dengan tcpdump, yang merupakan bagian dari .Flag -P menunjukkan bahwa paket harus disimpan dalam format libpcap standar daripada pcapng baru.

Cara alternatif untuk meneruskan paket tanpa menggunakan netcat:

Tcpdump > /dev/tcp/ip/port

WPAD adalah singkatan dari "WebProxy Autodiscovering Protocol" yang sesuai dengan fitur "Deteksi pengaturan secara otomatis" di browser modern. Fitur ini memungkinkan browser mendapatkan konfigurasi proxy saat ini tanpa campur tangan pengguna. Ini merupakan ancaman bahkan hingga saat ini dan penyerang dapat dengan mudah menyiapkan server jahat untuk mencegat lalu lintas web. Situasi ini diperparah oleh kenyataan bahwa Internet Explorer(dan Chrome juga) mendukung fitur ini secara default.

Biasanya WPAD tidak dikonfigurasi pada jaringan, sehingga perilaku normal browser adalah membuat permintaan NetBios untuk nama "WPAD" (melewati metode DHCP dan DNS). Jika tidak ada respon yang diterima, browser hanya menggunakan koneksi langsung. Namun jika respon diterima, browser mencoba mendownload file konfigurasi dari http: /ip_of_wpad_host/wpad.dat.

Intercepter-NG akan merespon setiap permintaan dan meminta klien untuk menggunakan konfigurasinya sendiri sehingga dapat mengendus lalu lintas melalui proxy. Anda dapat mengonfigurasi konfigurasi Anda sendiri untuk server proksi lain di jaringan, atau cukup memilih server proksi bawaan. Proksi bawaan memungkinkan Anda menggunakan fitur injeksi HTTP.

Opsi Mode Pakar Intercepter-NG

  • Batas Waktu Strip SSL (detik)— Batas waktu dalam hitungan detik SSL Strip
  • Racun ARP setiap (detik)— Lakukan etsa ARP setiap... detik
  • Batas Waktu Pemindaian ARP (detik)- Batas waktu pemindaian ARP
  • TTL Cache DNS (detik)— Seumur hidup dalam cache DNS
  • Memalsukan MAC— Alamat MAC yang akan dijadikan alamat penyerang
  • Injeksi DATA BEBAN MySQL
  • Relai LDAP DN: DC=xxx,DC=xxx
  • Hentikan intrusi pada Permintaan NBNS
  • Putuskan koneksi SSH setelah otentikasi— Reset koneksi SSH setelah otorisasi
  • Pembajakan SMB -> Relai SMB
  • Racun ARP Otomatis— Dalam mode pozon otomatis, cukup menambahkan 1 host saja ke daftar target, dan Intercepter sendiri akan memindai jaringan pada interval tertentu dan secara otomatis menambahkan target baru.
  • Setel Ulang Tabel ARP— Setel ulang tabel ARP
  • Muatan khusus untuk Pembajakan SMB (maks 64kb)
  • Muatan khusus untuk Pembajakan GP
  • Jalankan Shell— Luncurkan cangkang
  • Jalankan HTTP NTLM Grabber

Jenis pemindaian

Pemindaian adalah tahap pertama, yaitu banyak serangan MiTM mulai dengan dia. Untuk menampilkan menu pemindaian, buka tab Modus MiTM dan klik kanan pada tabel.

  • Pemindaian Cerdas: Ini menggabungkan pemindaian ARP dan penemuan gateway. Untuk informasi biasa tentang alamat IP dan MAC, produsen kartu jaringan dan sistem operasi, nama komputer adalah keluaran. Dalam jangka waktu yang sama, kini Anda juga dapat mengetahui nama Netbios atau nama perangkat iOS. Untuk mengatasi yang terakhir, protokol MDNS digunakan, yang menjadi dasar pengoperasian protokol Bonjour Apple. Semua nama yang diterima sekarang disimpan ke file cache, dan jika selama pemindaian berikutnya karena alasan tertentu informasi tentang nama host tidak diperoleh secara dinamis, itu akan diambil dari cache. Selain itu, pemindaian ini menunjukkan IP Stealth dan secara otomatis menetapkan IP gateway (jika terdeteksi) dan IP Stealth di bidang yang sesuai di tab MiTM. Ini juga mendeteksi OS berdasarkan nilai TTL.
  • Pemindaian ARP(Pemindaian ARP): cukup periksa subnet kelas C yang ditetapkan ke adaptor ethernet yang dipilih. Misalnya, jika IP Anda adalah 192.168.0.10, maka 255 alamat IP dalam rentang 192.168.0.1-255 akan dicentang. Mulai dari versi 0.9.5, program memeriksa masker jaringan untuk memindai semua subnet dengan benar.
  • Penemuan DHCP(Penemuan DHCP): mengirimkan Pesan pesan siaran DHCP-Discovery dan menunggu tanggapan dari server DHCP. Jika ada server yang merespons, tambahkan server tersebut ke daftar.
  • Deteksi Janji(deteksi kartu jaringan dalam mode promiscuous): mengirimkan permintaan ARP khusus ke jaringan. Tuan rumah yang merespons jelas merupakan sniffer. Beberapa kartu ethernet (3COM) juga dapat merespons, yaitu kemungkinan positif palsu.
  • Penemuan Gerbang(penemuan gateway): Mengirim paket SYN melalui semua host di jaringan, jika ada gateway, respons akan dikirim kembali.

Teknik serangan Man-in-the-middle (MiTM) di Intercepter-NG

Saat Anda menekan tombol Konfigurasikan MiTM(topi dengan mata) kotak dialog terbuka Serangan MiTM:

Ini berisi daftar teknik yang didukung.

SSL MiTM

Ini adalah teknik spoofing sertifikat klasik lama. Memungkinkan Anda mencegat data dari protokol apa pun yang dilindungi oleh SSL. Didukung secara standar: HTTPS, POP3S, SMTPS, IMAPS. Secara opsional, Anda dapat menentukan port tambahan apa pun.

Saat mencegat HTTPS, sertifikat dibuat dengan cepat, menyalin informasi asli dari sumber daya yang diminta. Untuk semua kasus lainnya, sertifikat statis digunakan.

Tentu saja, saat menggunakan fungsi ini, peringatan dari browser dan perangkat lunak klien lainnya tidak dapat dihindari.

DI DALAM versi baru Kode untuk SSL MiTM telah sepenuhnya ditulis ulang. Sekarang ia bekerja dengan cepat dan stabil. Algoritme untuk menghasilkan sertifikat juga telah berubah, catatan DNS tambahan telah ditambahkan ke dalamnya, dan semua sertifikat ditandatangani dengan satu kunci ( lain-lain\server). Artinya, dengan menambahkan sertifikat yang ditandatangani sendiri ini ke daftar sertifikat tepercaya di komputer target, lalu lintas SSL dapat didengarkan ke sumber daya mana pun (di mana tidak ada Penyematan SSL). Fungsi Pembunuh Kue sekarang berfungsi untuk koneksi SSL. Muncul warna hitam ( lain-lain\ssl_bl.txt) dan daftar putih ( lain-lain\ssl_wl.txt). Mereka dapat mengecualikan atau, sebaliknya, secara tegas menentukan alamat IP atau domain di mana SSL MiTM harus diterapkan atau tidak. Saat menentukan port ssl tambahan, tidak perlu lagi menentukan tipe baca\tulis; cukup menentukan nomor port. Semua lalu lintas ditulis ke ssl_log.txt.

Jalur SSL

SSL Strip adalah teknik “diam” untuk mencegat koneksi HTTPS. Untuk waktu yang lama, versi yang berfungsi hanya ada di Unix, sekarang tindakan serupa dapat dilakukan di lingkungan NT. Intinya begini: penyerang berada "di tengah", lalu lintas HTTP dianalisis, semua tautan https:// diidentifikasi dan diganti dengan http://. Dengan demikian, klien terus berkomunikasi dengan server dalam keadaan tidak terlindungi mode. Semua permintaan untuk tautan yang diganti dipantau dan data dari sumber https asli dikirimkan sebagai tanggapan.

Karena Tidak ada sertifikat yang diganti, dan tidak ada peringatan. Untuk mensimulasikan koneksi aman, ikon favicon diganti.

D.N.C.<>ICMP

Ini adalah teknik yang benar-benar baru, disebutkan sebelumnya atau belum diterapkan. Ini dibangun di atas ICMP Redirect MiTM yang sama, tetapi membuka cara baru untuk mengendus data. Langkah pertama serangan ini mirip dengan pengalihan ICMP klasik, namun ada satu perbedaan penting.

Disebut " masukan baru" adalah server DNS korban. Kami akan mengendalikan semua permintaan DNS dan melakukan keajaiban sebelum korban menerima tanggapan.

Saat kami menyelesaikan somehost.com, DNS mengirimkan respons yang berisi satu atau lebih respons dari IP somehost.com. Selain itu, ini mungkin berisi jawaban "ekstra", dan kami akan menanganinya juga. Setelah bagian pertama serangan selesai, korban mulai mengirimkan semua permintaan DNS melalui host penyerang (NAT). Ketika NAT menerima respons dari DNS, ia membaca semua IP dan kemudian mengirimkan pesan pengalihan ICMP ke korban dengan IP yang diterjemahkan.

Jadi pada saat NAT mengirimkan respons DNS kembali ke korban, tabel peruteannya sudah memiliki entri untuk semua alamat terjemahan yang mengarah ke host kita!

Artinya, kami tidak hanya akan mengendus DNS korban, tetapi semua yang telah diselesaikan. Semua lalu lintas akan dipalsukan melalui IP\MAC palsu.

Bagian serangan ini dilakukan di sisi NAT, oleh karena itu Anda harus mengkonfigurasinya dengan benar.

Centang kotak "DNS over ICMP" lalu isi:

  • IP router adalah IP gateway default yang digunakan oleh korban.
  • IP klien adalah IP korban. Anda dapat menambahkan beberapa target, tetapi ingatlah untuk memulai dengan mengirimkan paket pengalihan ICMP ke setiap target dari Intercepter.

Setelah menambahkan klien, Anda harus memasukkan IP gratis/tidak terpakai di kolom "Gateway Baru" dan di "IP Stealth".

Pilih adaptornya, harus sama karena kita akan merutekan lalu lintas di satu area ethernet.

Mulai NAT.

Semua respons DNS disimpan dalam daftar khusus dan NAT secara teratur (sesuai dengan waktu yang ditentukan dalam pengaturan) mengirimkan ulang pengalihan ICMP,

Pada akhirnya Anda perlu melakukan satu tindakan lagi. Anda tidak dapat membersihkan tabel perutean korban (seperti keracunan ARP), jadi Anda harus menghapus centang "DNS ↔ ICMP" untuk mencegah pengalihan ICMP dikirim lagi dan tunggu sekitar 10-15 menit. Setelah ini, tidak ada entri baru yang akan ditambahkan, tetapi entri lama akan berfungsi dengan baik melalui NAT hingga habis masa berlakunya.

WPAD MiTM

Untuk detailnya, lihat deskripsi opsi. Konfigurasi WPAD (PROXY:PORT).

Pembajakan UKM

SSH MiTM

Anda dapat mencegat data otentikasi SSH (login/kata sandi) dan melihat semua perintah yang lewat selama sesi jarak jauh. 2 mekanisme otentikasi didukung: kata sandi dan interaktif. Untuk mengendus data korban kita perlu bertindak seperti sshd asli dan kita menyediakan kunci rsa/dsa kita sendiri. Jika host key asli di-cache oleh korban, maka akan muncul pesan peringatan, jika tidak di-cache, maka tidak akan ada tanda-tanda serangan di sisi klien.

Setelah korban login, dia dapat bekerja seperti biasa, menjalankan perintah dan program pseudo-grafis seperti komandan tengah malam. Intercepter mencegat permintaan WINDOW_CHANGE, jadi jika korban memutuskan untuk mengubah ukuran jendela, semuanya akan digambar ulang dengan benar agar sesuai dengan ukuran jendela yang baru.

Program ini bekerja dengan sesi jarak jauh, tetapi tidak bekerja dengan SFTP. Jika korban menjalankan klien SFTP, data autentikasi akan disadap, namun koneksi kemudian akan terputus dan ditandai. Kemudian ketika korban mencoba menyambung kembali, mereka akan memiliki akses ke server ssh asli selain sshd palsu kita.

Perlu disebutkan bahwa penyerang masuk ke server jarak jauh dan meninggalkan alamat IP-nya di log. Dalam mode ahli, Anda dapat memilih opsi untuk memutuskan koneksi ssh setelah menerima kredensial korban. Koneksi akan ditandai, dan pada upaya berikutnya program akan mengizinkan akses ke server asli.

Pembajakan GP

Kemampuan tambahan untuk serangan man-in-the-middle (MiTM) di Intercepter-NG

Tombol untuk menggunakan fitur ini juga terdapat di bagian tersebut Opsi MiTM(dadu, simbol JDownloader, jarum suntik, perisai dan simbol bahaya radiasi yang berdiri bebas):

Traffic Changer (mengubah data teks dalam arus lalu lintas jaringan)

Anda hanya dapat mengganti data dengan ukuran yang sama tanpa mengubah panjang paket. Katakanlah browser membuka site.com/file.txt, yang berisi string “12345”. Menanggapi permintaan GET, server akan mengembalikan header HTTP yang menunjukkan panjang data yang dikirimkan - Panjang konten: 5. Apa yang terjadi jika kita mengganti “12345” dengan “12356”? Browser hanya akan mengunduh 5 byte, membuang "6" yang ditambahkan, dan jika kita mengurangi ukuran data dengan mengganti "12345" dengan "1234", browser hanya akan menerima 4 byte dan akan menunggu 1 byte lagi dari server hingga koneksi ditutup karena batas waktu. Oleh karena itu pembatasan ukuran ini dibuat. Anda dapat mengubah data teks dan biner, sintaks untuk pola biner sama seperti di C - “\x01\x02\x03”.

Jika penggantian lalu lintas HTTP diperlukan, maka dalam pengaturan Anda perlu mengaktifkan opsi "Nonaktifkan pengkodean gzip HTTP".

Memalsukan

Spoofing memungkinkan Anda mengarahkan host ke IP tertentu. Protokol DNS, NBNS, LLMNR didukung.

Dengan DNS Anda juga dapat menentukan mask untuk mengalihkan semua subdomain. Biasanya pasangan domain.com:IP akan dibuat, namun subdomain tidak akan dipalsukan. Untuk mengalihkan semuanya, tambahkan * (tanda bintang) sebelum nama domain: *host.com

Unduhan Paksa dan Suntikan JS

Kedua inovasi tersebut berkaitan dengan mode HTTP Injection. Dalam bahasa Rusia, Pengunduhan Paksa dapat diterjemahkan sebagai “pengunduhan paksa”, karena inilah yang terjadi pada pihak target saat berselancar di web. Saat memasuki situs, ia ditawari untuk mengunduh file yang ditentukan oleh penyerang, tergantung pada pengaturan browser, itu dapat diunduh secara mandiri, dan pengguna kemudian akan memilih apakah akan menjalankannya atau tidak.

Seperti yang Anda pahami, Anda dapat menambahkan file .exe dengan konten arbitrer ke unduhan paksa, dan sumber file ini adalah situs yang sedang dikunjungi pengguna. Mengetahui bahwa target akan membuka adobe.com, Anda dapat mengeluarkan flashplayer.exe dan sumber file ini akan terdaftar sebagai adobe.com atau salah satu subdomainnya.

Setelah injeksi satu kali, pemaksaan dimatikan, untuk injeksi ulang, Anda perlu mengklik lagi kotak centang yang sesuai.

JS Inject tidak secara eksplisit hadir di antara kontrol, karena sebenarnya, ini adalah http inject yang paling umum, tetapi dengan satu perbedaan. Saat mengganti satu file dengan file lain, misalnya gambar.jpg dengan file tertentu, ini justru penggantian satu konten dengan konten lainnya. Mengganti skrip .js kemungkinan besar dapat mengganggu pengoperasian sumber daya, jadi di versi baru js inject tidak mengganti satu skrip dengan skrip lainnya, tetapi menambahkannya ke skrip yang sudah ada, menambahkan kemampuan untuk memasukkan kode tambahan tanpa mempengaruhi yang asli. .

Mode FATE menggabungkan dua fungsi baru: FAke site dan FAke updateTE.

Tujuan utama situs FAke adalah mendapatkan data otorisasi dari sumber daya web apa pun, melewati SSL dan mekanisme keamanan lainnya. Hal ini dicapai dengan mengkloning halaman otorisasi dan membuat template yang akan dihosting di server web semu bawaan. Secara default, pencegat menyertakan satu template untuk account.google.com, karena halaman asli mengharuskan Anda mengisi kolom dengan login dan kemudian kata sandi. Templat ini telah sedikit dimodifikasi agar kedua kolom dapat aktif secara bersamaan. Sebelum menyerang, Anda harus menentukan domain tempat template akan dihosting. Setelah serangan dimulai, pengalihan ke domain yang dipilih disuntikkan ke lalu lintas target dan selanjutnya pencegat akan secara otomatis melakukan spoofing DNS ke alamat yang diperlukan. Akibatnya, halaman otorisasi yang dipilih akan terbuka di browser.

Fungsionalitas FAke updaTE (pembaruan palsu) berarti munculnya pesan tentang instalasi "korban" perangkat lunak dan diduga mengunduh file pembaruan yang muatannya telah ditambahkan. Daftar perangkat lunak yang didukung sangat sedikit. Jika diinginkan, Anda dapat menambahkan templat Anda sendiri; strukturnya dapat dilihat di misc\FATE\updates.

Racun ARP (etsa ARP)

Bagian dari serangan klasik man-in-the-middle. Serangan ini dimulai dengan pemindaian host. Ketika host ditemukan dan beberapa di antaranya dipilih sebagai target, keracunan ARP dimulai, akibatnya host yang diserang mulai meneruskan lalu lintasnya bukan ke gateway, tetapi ke penyerang. Penyerang mempelajari (mengendus) lalu lintas ini, melakukan manipulasi lain, dan mengirimkannya ke server target. Server target merespons penyerang (sebagai sumber permintaan), lalu lintas ini juga diendus, dimodifikasi, dan diteruskan ke korban. Alhasil, tidak terjadi apa-apa pada korban. perubahan signifikan— sepertinya sedang bertukar data dengan server jarak jauh.

Fitur tambahan dari Intercepter-NG

Tombol mulai fungsi tambahan terletak di bagian terpisah dari kolom kanan di jendela program:

Intercepter-NG sekarang memiliki pemindai jaringannya sendiri, yang menggantikan pemindai port primitif dari versi sebelumnya. Fungsi utamanya:

  1. Pindai port yang terbuka dan deteksi heuristik protokol berikut: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC, RDP.
  2. Tentukan keberadaan SSL pada port terbuka, baca banner dan berbagai header web.
  3. Jika proxy atau sox terdeteksi, periksa apakah mereka terbuka ke luar.
  4. Periksa akses tanpa kata sandi ke server VNC, periksa SSL di HeartBleed. Baca version.bind dari DNS.
  5. Periksa database untuk skrip di server web yang berpotensi rentan terhadap ShellShock. Periksa database untuk daftar direktori dan file dengan 200 OK, serta daftar direktori dari robots.txt.
  6. Tentukan versi OS melalui SMB. Jika Anda memiliki akses anonim, dapatkan waktu lokal, waktu aktif, daftar sumber daya bersama, dan pengguna lokal. Pencarian kata sandi otomatis dimulai untuk pengguna yang ditemukan.
  7. Tentukan dari daftar pengguna SSH bawaan dengan mengukur waktu respons. Pencarian kata sandi otomatis dimulai untuk pengguna yang ditemukan. Jika enumerasi tidak membuahkan hasil (tidak berfungsi pada semua versi), pencarian diluncurkan hanya untuk root.
  8. Brute force otomatis untuk HTTP Basic dan Telnet. Mengingat kekhasan protokol telnet, kesalahan positif mungkin terjadi.

Anda dapat memindai target apa pun, baik di jaringan lokal maupun di Internet. Anda dapat menentukan daftar port untuk pemindaian: 192.168.1.1:80,443 atau kisaran 192.168.1.1:100-200. Anda dapat menentukan rentang alamat untuk pemindaian: 192.168.1.1-192.168.3.255.

Untuk hasil yang lebih akurat, hanya 3 host yang dapat dipindai dalam satu waktu. Secara harfiah di saat-saat terakhir, pemeriksaan data dari sertifikat SSL ditambahkan, misalnya, jika kata Ubiquiti ditemukan dan port 22 terbuka, maka brute force SSH dari pengguna ubnt diluncurkan secara otomatis. Hal yang sama berlaku untuk sepasang perangkat keras Zyxel dengan pengguna admin. Untuk rilis pertama pemindai, fungsionalitasnya cukup dan sudah di-debug dengan baik.

Eksploitasi HeartBleed

Menguji apakah target rentan terhadap HeartBleed. Jika targetnya rentan, ia akan mengeksploitasi kerentanan ini dan menerima sebagian dari kontennya memori akses acak tuan rumah jarak jauh.

Mode Bruteforce

Serangan brute force (brute force, brute force) didukung untuk protokol jaringan berikut:

  • TLS POP3
  • TLS SMTP
  • HTTP Dasar
  • Pos HTTP
  • TELNET
  • VMware

Anda dapat mengatur jumlah thread di mana kredensial akan diperiksa.

Ketika batas waktu terjadi, thread aktif dimulai ulang dari tempat yang sama dan proses pencarian dilanjutkan.

Tersedia Modus Tunggal, yang menunjukkan bahwa setiap pasangan login:kata sandi baru harus diperiksa dengan pembuatan koneksi baru; untuk beberapa protokol, hal ini memungkinkan peningkatan kecepatan. Log operasi disimpan brute.txt.

fungsi ARP

Selain etsa ARP dan pemindaian ARP, ada beberapa fungsi lain yang terkait dengan protokol ARP. Dua di antaranya ditempatkan di tombol terpisah di kolom kanan jendela program:

  • Tontonan ARP: Membangun layanan pemantauan ARP pribadi. Anda harus memulai dengan melakukan pemindaian ARP untuk mengisi daftar tepercaya (“bersih”) alamat MAC. Jika seseorang mencoba meracuni cache arp Anda, pesan peringatan akan muncul.
  • Kandang ARP: Mengisolasi alamat IP target dari host lokal lainnya dengan memalsukan entri tabel arp.

Contoh peluncuran Intercepter-NG

Cara menjalankan MiTM di Intercepter-NG

Mulailah dengan sebuah pilihan penyesuai jaringan (Penyesuai jaringan):

Klik kanan pada tabel kosong dan pilih Pemindaian cerdas:

Daftar target akan ditampilkan:

Tambahkan yang Anda perlukan sebagai target ( Tambahkan sebagai Target):

Untuk mulai mengendus, klik ikon yang sesuai:

Buka tabnya Modus MiTM(ini adalah bola dunia dengan kabel patch) dan klik ikonnya Racun ARP(simbol bahaya radiasi):

Di tab Modus Kata Sandi(simbolnya adalah gantungan kunci), kredensial yang diambil akan muncul:

Bekerja dengan Wi-Fi dan bekerja dengan Ethernet

Tidak ada perbedaan saat bekerja dengan Wi-Fi atau koneksi kabel, tetapi Anda harus beralih ke modus yang diinginkan dengan mengklik ikon:

Analisis offline file pengambilan pcap

Ada banyak opsi yang dapat memperlambat atau mempercepat waktu analisis.

  1. Untuk memulainya, jika Anda perlu membaca file .pcap yang besar, nonaktifkan opsi " Menyelesaikan".
  2. Jika .pcap Anda berisi file besar dan Kebangkitan diaktifkan, kecepatannya mungkin turun. Solusinya adalah dengan menetapkan batasan ukuran file maksimum untuk pemulihan.
  3. Jika Anda tidak perlu merekonstruksi apa pun, nonaktifkan opsi ini di pengaturan. Kecepatannya akan meningkat.
  4. Jika Anda hanya perlu menganalisis protokol tertentu, misalnya ICQ\AIM atau hanya HTTP, atur filter yang sesuai " filter pcap" dari MODE BAKU: port tcp xxx, Di mana xxx adalah nomor port protokol Anda.
  5. Anda dapat memuat lebih dari satu tangkapan untuk dianalisis. DI DALAM Buka Dialog pilih beberapa file, semuanya akan dianalisis satu per satu.

Instalasi pencegat-NG

Instalasi di Linux Kali

Untuk menginstal dan menjalankan Intercepter-NG di Kali Linux jalankan perintah berikut:

Dapatkan https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo cp packet/packet. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Load Intercepter-NG v1. 0 dan hapus file dll wpcap.dll dan Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip unzip Intercepter- NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Instalasi di Windows

Untuk menginstal Intercepter-NG di Windows, buka dan unduh arsip yang sesuai (tanpa huruf M.E.). Program ini tidak memerlukan instalasi, cukup buka paket arsip dan jalankan file .exe.

Instalasi di Android

Untuk menginstal Intercepter-NG di Android, buka dan unduh file apk. Agar berhasil meluncurkan aplikasi, diperlukan hak root.

Tangkapan layar Intercepter-NG

Intercepter-NG akan memungkinkan Anda menentukan alamat MAC dan alamat IP setiap pengguna yang terhubung ke jaringan publik. Selain itu, dengan menggunakan program ini, Anda dapat mencegat cookie, lalu lintas keluar dan masuk untuk tujuan ilegal.

Karakteristik

Intercepter-NG adalah aplikasi multifungsi yang jika di tangan kanan bisa menjadi alat untuk melakukan transaksi ilegal. Pertama, dapat digunakan untuk mengidentifikasi semua perangkat yang terhubung ke jaringan publik. Data tersebut tidak hanya mencakup alamat IP, tetapi juga alamat MAC unik perangkat.

Kedua, aplikasi ini memungkinkan Anda untuk mencegat lalu lintas dua arah dari pengguna yang dipilih, melihat, menggunakan, dan bahkan mengganti file. Karena programnya tidak instruksi rinci untuk menggunakan fungsionalitas tersebut, Anda harus memiliki pengetahuan minimal. Dalam hal ini, Anda tidak hanya akan mengetahui alamat IP atau MAC, tetapi Anda juga dapat dengan mudah mencegat cookie untuk membaca korespondensi orang lain dan bahkan melakukan tindakan atas nama pengguna.

Keunikan

  • Akses root. Perangkat harus di-root untuk menggunakan semua fungsi aplikasi.
  • Kemampuan untuk mengetahui alamat IP dan MAC setiap pengguna yang menggunakan titik akses yang sama dengan Anda.
  • Kemampuan untuk mencegat cookie untuk membaca korespondensi, tindakan dengan akun.
  • Kemampuan untuk mencegat lalu lintas keluar dan masuk, mengganti file.

Antarmuka yang minimalis dan pengoperasian yang stabil adalah beberapa fitur lain dari aplikasi yang membuatnya populer di kalangan sempit.

Publikasi tentang topik tersebut