Kali Linux-verktyg. Nya funktioner i den legendariska Intercepter-NG säkerhetsskannern Interceptor ng fungerar inte

Tecken på graviditet efter embryoimplantation

Efter 10 års utveckling (så länge projektet föddes) nådde Intercepter-NG-versionsindexet äntligen 1.0. Enligt etablerad tradition släpps uppdateringar för Windows en gång om året, och jubileumssläppet blev verkligen en succé. Jag vill tacka alla människor som under alla dessa år har gett hjälp med att testa, gett detaljerad feedback och ideologisk inspiration. Låt oss börja recensionen med de små sakerna och i slutet ska vi titta på den läckraste funktionen i Intercepter-NG 1.0.

1. I RAW-läge är det nu möjligt att exportera valda paket till en .pcap-fil. När Autosave är aktiverat kommer paket som innehåller auktoriseringsdata att skrivas till en separat .pcap.

2. I fältet Extra SSL-portar, som hänför sig till SSL MiTM, kan du nu ange flera portar separerade med kommatecken.

3. När du attackerar ett LDAP-relä på en domänkontrollant med ett annat språk än engelska kan du i expertinställningarna ange den grupp som krävs för att lägga till en användare, till exempel istället för Domänadministratörer, ange den ryska motsvarigheten till Domänadministratörer.

4. En bugg i NTLMv2SSP-hashhanteraren har fixats som förhindrade att lösenordsgissning gjordes korrekt.

5. Flera förbättringar i Bruteforce-läge. Tillagt: SSL-stöd för HTTP, UTF8-stöd för LDAP brute force, VNC, Vmware Auth Daemon och RDP-protokoll. RDP brute force fungerar på Windows 7/8/2008/2012. NLA och inloggningar och lösenord stöds på alla språk. RDP Security Layer stöds inte.

6. Lade till alternativet "Inject Reverse Shell" till HTTP-injektioner. Detta är en påtvingad nedladdning med en backconnect-nyttolast till det inbyggda interceptorskalet.

7. Flera förbättringar och förändringar i allmänhet. Spoofing är nu inaktiverat som standard.

ÖDE

FATE-läget kombinerar två nya funktioner: FAke site och FAke update.

Huvudmålet med FAke site är att få auktoriseringsdata från vilken webbresurs som helst, förbi SSL och andra säkerhetsmekanismer. Detta uppnås genom att klona auktoriseringssidan och skapa en mall som kommer att finnas på den inbyggda pseudowebbservern. Hur detta fungerar visas i videon i slutet av inlägget. Som standard innehåller interceptorn en mall för accounts.google.com, eftersom den ursprungliga sidan kräver att du fyller i ett fält med en inloggning och sedan ett lösenord.

Denna mall har ändrats något för att tillåta båda fälten att vara aktiva samtidigt. Innan attacken måste du ange den domän som mallen ska finnas på. Efter att attacken har börjat injiceras en omdirigering till den valda domänen i målets trafik och därefter kommer interceptorn automatiskt att utföra DNS-spoofing till de nödvändiga adresserna. Som ett resultat kommer den valda auktoriseringssidan att öppnas i webbläsaren. Processen att klona en webbplats visas också i videon med exemplet mail.yandex.ru.


Linux-älskare är bekanta med ett verktyg som heter Evilgrade, som låter dig utnyttja mekanismen automatisk uppdatering och implementera en godtycklig nyttolast. Faktum är att denna vektor är kraftigt överskattad, för det första är den imponerande listan över applikationer som stöds i Evilgrade mestadels föråldrad, och för det andra söker de flesta av de mest populära applikationerna efter uppdateringar på ett säkert sätt.

Alla har dock hört talas om de högljudda utelämnanden i uppdateringsmekanismerna för stora leverantörer och detta kommer förmodligen att hända i framtiden, så en analog av Evilgrade dök upp i Intercepter-NG, men listan över stödd programvara är mycket blygsam. Om du vill kan du lägga till dina egna mallar; deras struktur kan ses i miscFATEupdates. Skicka oss mjukvara som uppdateras öppet så uppdaterar vi databasen.

X-Scan

För många år sedan gillade jag verkligen en nätverkssäkerhetsskanner från det kinesiska teamet på Xfocus som heter X-Scan. Lätt vikt, bekväm design, bra funktionalitet. I mitten av 2000-talet tillät det mycket att göras, men senare stannade utvecklingen av och i den nuvarande verkligheten är den till liten nytta. Av denna anledning ville jag skapa en modern analog av det, men på något sätt fungerade det inte... förrän nyligen. Av gammal kärlek var det under detta namn som Intercepter-NG dök upp med en egen nätverksskanner, som ersatte den primitiva portskannern från tidigare versioner. Så vad kan han göra?

1. Skanna öppna portar och bestämmer heuristiskt följande protokoll: SSH, Telnet, HTTPProxy, Socks45, VNC, RDP.

2. Bestäm närvaron av SSL på öppen port, läs banners och olika webbrubriker.

3. Om en proxy eller sox upptäcks, kontrollera att de är öppna utåt.

4. Kontrollera lösenordslös åtkomst till VNC-servrar, kontrollera SSL på HeartBleed. Läs version.bind från DNS.

5. Kontrollera databasen efter skript på webbservern som är potentiellt sårbara för ShellShock. Kontrollera databasen för en lista över kataloger och filer med 200 OK, samt en lista över kataloger från robots.txt.

6. Bestäm OS-versionen via SMB. Om du har anonym åtkomst får du lokal tid, drifttid, en lista över delade resurser och lokala användare. Automatisk lösenordssökning startar för hittade användare.

7. Bestäm från den inbyggda listan över SSH-användare genom att mäta svarstiden. Automatisk lösenordssökning startar för hittade användare. Om uppräkningen inte ger resultat (fungerar inte på alla versioner) startas sökningen endast för root.

8. Automatisk brute force för HTTP Basic och Telnet. Med tanke på särdragen hos telnet-protokollet är falska positiva möjliga.

Du kan skanna vilket mål som helst, som i lokalt nätverk såväl som på Internet. Du kan ange en lista över portar för skanning: 192.168.1.1:80,443 eller intervallet 192.168.1.1:100-200. Du kan ange adressintervallet för skanningen: 192.168.1.1-192.168.3.255.

För ett mer exakt resultat kan endast 3 värdar skannas åt gången. Bokstavligen i sista stund lades kontroller efter data från SSL-certifikat till, till exempel om ordet Ubiquiti påträffas och port 22 är öppen, så startas SSH brute force för användaren ubnt automatiskt. Detsamma gäller för ett par Zyxel-hårdvara med adminanvändaren. För den första utgåvan av skannern finns det tillräckligt med funktionalitet och den är väl avlusad. Skicka oss dina idéer och önskemål.

ps: den första versionen av manualen på ryska kommer att dyka upp inom en snar framtid.

Webbplats: sniff.su
Spegel: github.com/intercepter-ng/mirror
Post: [e-postskyddad]
Twitter: twitter.com/IntercepterNG
Forum: intercepterng.boards.net
Blogg: intercepter-ng.blogspot.ru

Vad är Intercepter-NG

Låt oss överväga kärnan i att ARP fungerar på enkelt exempel. Dator A (IP-adress 10.0.0.1) och dator B (IP-adress 10.22.22.2) är anslutna via ett Ethernet-nätverk. Dator A vill skicka ett datapaket till dator B; den känner till IP-adressen till dator B. Ethernet-nätverket de är anslutna till fungerar dock inte med IP-adresser. Därför, för att sända via Ethernet, måste dator A känna till adressen till dator B Ethernet-nätverk(MAC-adress i Ethernet-termer). ARP-protokollet används för denna uppgift. Med detta protokoll skickar dator A en sändningsförfrågan adresserad till alla datorer i samma sändningsdomän. Kärnan i begäran: "dator med IP-adress 10.22.22.2, ge din MAC-adress till datorn med MAC-adress (till exempel a0:ea:d1:11:f1:01)." Ethernet-nätverket levererar denna begäran till alla enheter på samma Ethernet-segment, inklusive dator B. Dator B svarar på dator A på begäran och rapporterar dess MAC-adress (t.ex. 00:ea:d1:11:f1:11). fick MAC-adressen för dator B, kan dator A överföra all data till den via Ethernet-nätverket.

För att undvika behovet av att använda ARP-protokollet före varje datasändning, registreras de mottagna MAC-adresserna och deras motsvarande IP-adresser i tabellen under en tid. Om du behöver skicka data till samma IP, så finns det inget behov av att polla enheter varje gång på jakt efter önskad MAC.

Som vi precis såg innehåller ARP en förfrågan och ett svar. MAC-adressen från svaret skrivs till MAC/IP-tabellen. När ett svar tas emot kontrolleras det inte på något sätt för äkthet. Dessutom kontrollerar den inte ens om begäran gjordes. De där. du kan omedelbart skicka ett ARP-svar till målenheterna (även utan en begäran), med falska data, och dessa data kommer att hamna i MAC/IP-tabellen och användas för dataöverföring. Detta är kärnan i ARP-spoofing-attacken, som ibland kallas ARP-etsning, ARP-cacheförgiftning.

Beskrivning av ARP-spoofing-attacken

Två datorer (noder) M och N på ett lokalt Ethernet-nätverk utbyter meddelanden. Attacker X, som ligger på samma nätverk, vill fånga upp meddelanden mellan dessa noder. Innan ARP-spoofing-attacken tillämpas på nätverksgränssnittet för värd M, innehåller ARP-tabellen IP- och MAC-adressen för värd N. Även på nätverksgränssnittet för värd N innehåller ARP-tabellen IP- och MAC-adressen för värd M. .

Under en ARP-spoofing-attack skickar nod X (angriparen) två ARP-svar (utan en begäran) - till nod M och nod N. ARP-svaret till nod M innehåller IP-adressen för N och MAC-adressen för X. ARP-svar till nod N innehåller IP-adressen M och MAC-adressen X.

Eftersom datorerna M och N stöder spontan ARP, efter att ha fått ett ARP-svar, ändrar de sina ARP-tabeller, och nu innehåller ARP-tabellen M MAC-adressen X bunden till IP-adressen N, och ARP-tabellen N innehåller MAC-adressen X, bunden till IP-adressen M.

Därmed är ARP-spoofing-attacken slutförd, och nu passerar alla paket (frames) mellan M och N genom X. Till exempel, om M vill skicka ett paket till dator N, så tittar M i sin ARP-tabell, hittar en post med värdens IP-adress N, väljer MAC-adressen därifrån (och det finns redan MAC-adressen för nod X) och sänder paketet. Paketet anländer till gränssnitt X, analyseras av det och vidarebefordras sedan till nod N.

Hej alla som läser artikeln.

Den beskrev hur man kan fånga upp lösenord och cookies inom ett nätverk med hjälp av programmet Intercepter-ng.

Vissa bad att berätta mer om funktionaliteten, andra bad om att visa fler funktioner, någon bad om att granska den senaste versionen (för närvarande version 0.9.10.

Jag var tvungen att gå av mig och börja studera allt material jag hittade bit för bit.

När jag började skriva utkastet insåg jag att jag inte kunde göra det med bara en artikel. Därför kommer det idag bara att finnas en teori, en beskrivning av några funktioner och sätt för Intercepter-ng. Inom två-tre dagar ska jag skriva om att jobba med programmet i praktiken, och sedan kommer det flera filmer (för de som har lättare att lära sig).

Jag säger genast - jag har inga djupa tekniska kunskaper, det är därför jag skriver med enkla ord, och så att det är tydligt för vanliga människor. Om du märker några felaktigheter i mina beskrivningar, eller har något att tillägga, skriv gärna i kommentarerna.

Jag kan inte beskriva varje funktion, bara vad jag kunde hitta själv.

Låt oss börja undersöka patienten.

Intercepter-ng. Penetration tester hacker verktyg.

Funktionalitet (endast en liten del av alla möjligheter).

Låt oss titta på lägena och knapparna.

1 - Välj gränssnittet genom vilket du är ansluten till routern (ikonen till vänster växlar Wi-Fi-lägen eller trådbundet läge, välj ditt).

2 — Messengers-läge. ICQ\AIM\JABBER meddelandeavlyssningsfunktion. Jag anser att det är irrelevant nuförtiden, så det kommer inte att beaktas.

3. — Resurection Mode- återställningsläge. När offret surfar på webbplatser finns det filer, bilder, vissa HTML-sidor osv. De sparas också åt dig (alla kanske inte sparas, eller bara delvis). Kanske kommer någon att tycka att analysläget är användbart.

4. - Lösenordsläge— Cookies visas här, om du har tur, lösenord som offret har angett och besökta webbplatser. Med Https-protokollet kommer allt ofta ner på noll och med tur får du bara cookies. Men tack vare vissa inställningar kan du ibland komma runt det (mer om det senare).

5. . Här ska vi leta efter våra offer. För att göra detta, högerklicka i fönstret och välj Smart scan.

Alla enheter i nätverket och deras ungefärliga OS kommer att visas.

Stealth IP är din dolda IP, under vilken du gömmer dig på jobbet.

Låt oss ta en närmare titt på läget.

Om du klickar på “Promisc detection” kommer du att se enheter som med största sannolikhet avlyssnar trafik (ofta fel)... Var försiktig, eftersom det kan visa att din router också är en interceptor.

När du klickar på en specifik IP kan du lägga till offret i Nat (Lägg till i nat) för att delta i framtida avlyssning.

Om du väljer "Skanna portar" kan du också skanna öppna portar. Nmap-funktionen är långt borta, men om du bara har det här programmet till hands duger det.

Inget mer intressant här.

6. Nat läge. Nat-läge - Huvudläget där vi kommer att arbeta. Det är här de huvudsakliga förberedelserna och ARP-attackerna utförs.

Jag kommer inte att fokusera på detta i den här artikeln, vi ska titta på det i nästa.

7. DHCP-läge. DHCP-läge - Låter dig ställa in din egen DHCP-server inom nätverket. Jag har inte arbetat med det här läget och kan inte ge dig några råd om det.

8. RAW-läge- Råläge. Vagt lik Wireshark-programmet. Visar huvudaktiviteten på nätverket. Ibland kan du fånga något intressant, om du förstås vet vad du ska leta efter.

9. . Intercepter-ng programinställningar. Detta är en viktig del, så låt oss ta en närmare titt.

Lås på brickan— När du minimerar programmet kommer ett lösenord att läggas i facket. Standardlösenordet är 4553.

Spara session— sparar automatiskt rapporter i PCAP-filer för vidare studier och analys.

Promiskuös- "Oordnad läge." När det är aktiverat läser programmet alla paket, om det inte är installerat läser det bara paket som skickas till det angivna gränssnittet. Inte alla Wi-Fi-moduler kan fungera med den. Jag har ingen aning om vad den är till för, jag märkte ingen skillnad med eller utan den.

Automatisk sparning. Sparar automatiskt rapporter i textformat i programmets rotmapp.

Rutnätsvy. Visa som tabeller. Om du stänger av det kommer rapporterna i programmet att listas. Se vad som är bekvämare, med eller utan.

iOS Killer och Cookie Killer. Nästan identisk. Cookie killer är utformad så att om offret redan har ett lösenord sparat på sidan kommer han att lämna sidan och måste logga in igen och därför får du lösenordet. iOS killer är designad för iPhone och iPad så att offret kan logga ut från sociala klientprogram (VK, facebook, Icloud, etc.).

Kerberos nedgradering.Kerberos är ett nätverksprotokoll, en av typerna av autentisering. Tack vare funktionen, med smb-kapning, kan du kringgå detta skydd. Jag har inte själv stött på ett sådant protokoll, så vi kommer inte att överväga det.

Hsts. Ett intressant inslag i att kringgå Hsts från senaste versionen, men inte helt stabil. Summan av kardemumman är att många sajter automatiskt byter från Http till Https säkra protokoll, vilket hindrar oss från att fånga upp data. SSl-remsan orkar inte alltid, så den här funktionen kan ibland hjälpa. Jag kommer inte att beskriva principen (du hittar den på Habré).

Det enda du behöver göra är att lägga till den nödvändiga domänen i filen misc\hsts.txt i mappen med programmet. Några populära finns redan där. Summan av kardemumman är att du måste tilldela ett brev till huvuddomänen. Till exempel vk.com:vvk.com eller ok.ru:oks.ru, etc.

Programmet kommer att ersätta den säkra auktoriseringssidan på webbplatsen med en falsk, men auktoriserings-IP förblir densamma som på huvudsidan.

I mitt exempel fungerar det ibland då och då, men det är bättre än ingenting. Experimentera i allmänhet.

Wpad-konfiguration. Ange WPAD-WebProxy Auto-Discovery eller aktivera standard Wpad-proxy. För att aktivera det, i Nat-läge, markera rutan Wpad mitm.

I Expert-läge (planetikon) kan vi vara intresserade av kryssrutan Auto ARP-gift. Det vill säga när människor ansluter till nätverket kommer de automatiskt att läggas till i nat-läge.

Det finns inget mer att tänka på i avsnittet Inställningar, så fortsätt.

10. - HeartBleed utnyttja— sök efter HeartBleed-sårbarheten.

11. - Bruteforce-läge— brute force av vissa målprotokoll. Du måste känna till användarnamnet. Det finns lösenord för Brute i programmet och du kan använda din egen ordbok.

12. ARP klocka— i det här läget kan du övervaka om en ARP-attack pågår (trafikavlyssning, etc.) vid attacker, en varning kommer omedelbart att visas i Nat-läge.
13. ARP-bur— Arp cell. Isolerar värden. Omdirigerar offret till en annan IP. användbar när man misstänker utgående skräppost osv.

Det är all information jag kan hitta och reda ut.

På plats Avi1.ru Mycket billiga VK-reposter finns redan att beställa. Skynda dig att göra ett lönsamt köp medan tjänsten erbjuder verkligt betydande grossistrabatter. Du kan också få andra resurser för vilken sida som helst i nätverket: gilla-markeringar, visningar av inlägg och videor, prenumeranter, vänner, etc.

Lite om Nat-läge.

Eftersom allt huvudarbete kommer att ske direkt hos oss genom detta läge, jag ska försöka beskriva vad vi kommer att stöta på.

Routerns IP - direkt IP för routern som du är ansluten till. Den bestäms automatiskt när du gör en Smart scan i Scan-läge.

Stealth Ip - Din dolda IP.

Nat-klienter - de attackerade "Offren" visas här.

Mitm alternativ.

Konfigurera mitms - Här är de viktigaste Mitm-attackerna aktiverade/inaktiverade.

Jag ska titta på två: SSL Mitm och SSL Strip.

SSL mitm - En teknik som ersätter certifikat med offret.

Nödvändigt för dataavlyssning. Tyvärr, många webbläsare och klienter mobiltelefoner lärt sig att blockera dem, varna oss eller till och med hindra oss från att komma åt Internet.

Ssl Strip - Också en funktion som vi ofta kommer att behöva. Är mer dold SSL. "tyst" teknik för att avlyssna HTTPS-anslutningar. Det finns ingen certifikatspoofing, så det är svårare att upptäcka, och det finns inga varningar om säkerhetsproblem. Krävs när du använder Cookie killer. när vi behöver skicka en fil till offret osv. Vi kommer att titta på det mer i detalj i nästa artikel.

Trafikväxlare - trafikersättning. Värdelös funktionalitet för skojs skull. Utbyte Http-förfrågan till offret (till exempel vill en person komma till en webbplats och omdirigeras till en annan). Men allt är inte smidigt här, mer detaljer i nästa artikel.

Konfigurera http-injektion - här konfigurerar vi offret att ladda ner filen vi behöver. Det kan vara en ofarlig bild, manus eller program. Mer information i nästa artikel.

Knapparna Start arp poison och Start nat börjar vår attack. När du aktiverar Start arp poison aktiveras den andra omedelbart. Men innan du slår på den måste du aktivera Börja sniffa längst upp, bredvid valet av routergränssnitt.

Det är faktiskt allt i den här artikeln, jag är förvånad över din uthållighet om du har läst så här långt. Om det finns något att korrigera eller lägga till, skriv i kommentarerna, så lägger jag till det i artikeln.

En av dessa dagar ska jag titta på att arbeta med Intercepter-ng i praktiken. Så stanna hos oss tills vi ses igen.

Och glöm inte - storebror tittar på dig!

Beskrivning av Intercepter-NG

Intercepter-NG är en multifunktionell uppsättning nätverksverktyg för IT-specialister av olika slag. Huvudmålet är att återställa intressant data från nätverksflödet och utföra olika typer av man-in-the-middle (MiTM)-attacker. Dessutom låter programmet dig upptäcka ARP-spoofing (kan användas för att upptäcka man-in-the-middle-attacker), identifiera och utnyttja vissa typer av sårbarheter och brute force-inloggningsuppgifter för nätverkstjänster. Programmet kan fungera både med en livetrafikström och analysera filer med fångad trafik för att upptäcka filer och referenser.

Programmet erbjuder följande funktioner:

  • Sniffa lösenord/hashar av följande typer: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE, NTLM , KRB5 RADIUS
  • Sniffa chattmeddelanden: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
  • Rekonstruera filer från: HTTP, FTP, IMAP, POP3, SMTP, SMB
  • Olika skanningstyper som Promiskuöst läge, ARP, DHCP, Gateway, Port och Smart scanning
  • Paketfångning och efterföljande (offline) analys / RAW (rå) läge
  • Fjärrstyrning av trafik via RPCAP-demon och PCAP Over IP
  • NAT, SOCKS, DHCP
  • ARP, DNS över ICMP, DHCP, SSL, SSLSTRIP, WPAD, SMB-relä, SSH MiTM
  • SMB-kapning (avlyssning), LDAP-relä, MySQL LOAD DATA-injektion
  • ARP Watch, ARP Cage, HTTP-injektion, Heartbleed exploit, Kerberos-nedgradering, Cookie Killer
  • DNS, NBNS, LLMNR spoofing
  • Brute force av olika nätverkstjänster

Huvudversionen körs på Windows, det finns en konsolversion för Linux och en version för Android.

Licens: "som den är"

Intercepter-NG-lägen

Intercepter-NG har sju huvudlägen, som motsvarar antalet programflikar och antalet huvudknappar:

Dessa är lägena:

  • Budbärare
  • Uppståndelse
  • Lösenord
  • Skanningar
  • RAW (rå)

Sätt på första plats Messenger-läge(ICQ-logotyp). Detta hände av historiska skäl - Intercepter-NG skapades ursprungligen som ett program för att avlyssna ICQ-meddelanden och andra snabbmeddelanden.

Uppståndelseläge(logotypen på knappen är Phoenix) innebär att filer återställs från en nätverksström. Dessa kan vara filer med bilder som visas på webbplatser, såväl som filer med överförda arkiv, dokument och andra.

När du byter till Lösenordsläge(tredje knappen - nyckelring) kommer du att se referenserna som hämtats från nätverksströmmen. Webbplatsadresser, angivna inloggningar och lösenord visas.

När programmet startar öppnas det Skanningsläge(mittknappen - radar). Detta är det initiala läget för att starta attacker: skanning, val av mål och inställning av andra nätverksparametrar sker på den här fliken.

Flik MiTM(bunt med patch-sladdar) innehåller fält för att ange målinställningar, varav många fylls i automatiskt under skanning på fliken Scanning. Det finns också knappar för att starta olika MiTM-attacker.

Flik DHCP innehåller vissa nätverks- och DHCP-serverinställningar.

RAW-läge (rå) visar råinformation om data som överförs i en nätverksström. Informationen presenteras i en form som liknar .

Tips för att använda Intercepter-NG och lösa problem:

  • Intercepter-NG kräver WinPcap för att fungera, men behöver inte installeras separat eftersom Intercepter kommer med en bärbar version av WinPcap.
  • Om du inte ser din adapter i listan över adaptrar betyder det att WinPcap inte stöder ditt kort.
  • Om ingenting fungerar med WiFi-kortet, till och med ARP-etsning, använd då NIC-ikonen, som finns på vänster sida av listan över adaptrar, för att växla till WiFi-läge. Se också till att Stealth IP har tillgång till Internet.
  • I vissa sällsynta situationer kan BFE-tjänsten (Base Filtering Engine) blockera lokala Intercepter-portar. Detta yttrar sig på följande sätt: ARP fungerar, men andra MiTM-funktioner fungerar inte (på Windows 7 och senare). Antivirusprogram som Avast kan också blockera dem, även om nätverksskyddet är inaktiverat i kontrollpanelen. En annan orsak till detta beteende kan vara samtidigt arbete WiFi-anslutningar och Internetanslutningsdelningstjänster.
  • Intercepter stöder 802.11-inkapsling, så du kan använda pcap-dumpar från program och . PPPoE, GRE(PP2P) och ytterligare 802.11-huvuden stöds också. Detta betyder inte att Intercepter kan analysera krypterad data, det betyder att Intercepter kan ta bort ethernet\ip-headers från paket av denna typ och analysera dem.
  • På grund av protokollbegränsningar kanske källan och destinationen UIN\MAIL\... inte visas på chattmeddelandefliken.
  • För att kopiera data från lösenordstabellen, klicka på raden och tryck ctrl+c.
  • För att dölja programfönstret, använd kortkommandot Ctrl+Alt+S. Klicka på den igen för att få fönstret att dyka upp igen.
  • Intercepter kan till och med köras på win9x (98 och 95!), men du måste installera WinPcap 3.1 eller WinPcap 4.0beta2. Nya WinPcap-versioner stöder inte win9x.
  • Konsolläge för offlineanalys:
./intercepter -t dump.cap
  • För att aktivera automatisk sniffning måste du öppna inställningar.cfg och redigera" autorun". Standardvärdet är 0 , ändra till numret på gränssnittet du ska sniffa.
  • Intercepter konverterar pcap-dumpar med rå inkapslad IP-data till Ethernet-inkapsling (lägger till Ethernet-huvudinformation).
  • Intercepter kan läsa ett nytt format - pcapng. Eftersom alla pcapng-infångningsfiler från Wireshark endast använder typen "Enhanced Packet Block", stöder Intercepter endast denna typ av paketblock. Dessutom visar den paketkommentarer.
  • I råläge (RAW) kan du ställa in dina egna regler med hjälp av pcap-filter för att filtrera trafik. Se pcap-filtreringssyntax för detaljer. Exempel:
port 80

betyder att endast ta emot paket från tcp-port 80 från kärnan.

Inte port 80

innebär att utesluta paket från port 80

Du kan kombinera regler:

Port 80 och inte port 25

  • Du bör inte arbeta med stora dumpar i råläge eftersom Intercepter laddar varje paket i minnet och inte använder HDD som en swap-partition (fil).

Intercepter-NG Alternativtips

Snifferalternativ:

  • Om du ska utföra offlineanalys av en pcap-dump, avmarkera för att påskynda processen, avmarkera " Lös värdar”.
  • Om du markerar alternativet " Lås på bricka", när du återställer ett fönster från facket kommer du att bli ombedd att ange ett lösenord. Standardlösenordet är " 4553 ". Du kan ändra det i filen inställningar.cfg. Lösenordet är kodat i base64.
  • Alternativ " Spara session" betyder att Intercepter kommer att spara alla mottagna paket i en pcap-fil. Denna fil kan användas för offlinedataanalys. Det är en sorts resultatexportfunktion.
  • Om du installerar Promiskuös, sedan öppnar Intercepter nätverksadaptern i promiskuöst läge. Det betyder att den kommer att läsa alla paket, även de som inte är avsedda för detta nätverksgränssnitt. Om kryssrutan är avmarkerad kommer den bara att läsa paket som skickas till det angivna gränssnittet. Vissa Wi-Fi-kort stöder inte detta läge.
  • Unika data” - visa endast unika inloggningar och lösenord. De där. visa fångade inloggningar och lösenord endast en gång - om användaren skrev in samma inloggning och lösenord igen, kommer det inte att visas.
  • Automatisk sparning— all textinformation kommer att sparas var tionde sekund.
  • Som standard är kryssrutan " Rutnätsvy" Detta innebär att lösenord kommer att visas som ett datanät. För att se fullständig detaljerad information, avmarkera " Rutnätsvy”.
  • extrem. I ett typiskt arbetsflöde analyserar en sniffer fördefinierade portar associerade med specifika protokoll. Om vi ​​säger http, menar vi port 80 (eller 8080 eller vad som är fördefinierat i listan över portar som är associerade med http-protokollet). De där. Endast dessa portar kommer att analyseras. Om vissa applikationer använder en annan port, till exempel 1234, kommer sniffern inte att analysera paket som passerar genom den. I läge extrem Intercepter kommer att analysera alla TCP-paket utan att kontrollera portar. De där. även om något program använder en odefinierad port, kommer sniffern fortfarande att skanna dessa paket. Även om detta saktar ner prestandan (många fler portar måste kontrolleras än vanligt) och kan avslöja felaktiga data eller missa rätt protokoll (till exempel använder FTP och POP3 samma typ av auktorisering), ger det möjligheten att hitta och avlyssna intressanta uppgifter om oidentifierade hamnar. Använd det här läget på egen risk, bli inte förvånad om något går fel när eXtreme-läget är aktiverat.
  • "Endast fånga" betyder att Intercepter endast kommer att spara paket till en dumpfil utan realtidsanalys. Detta är användbart för att öka prestandan när du fångar mycket nätverksdata.
  • Alternativ Uppståndelse innebär att man aktiverar Resurrection-läget, som rekonstruerar filer från data som överförs i en nätverksström.
  • IM-portar
  • HTTP. Portar associerade med HTTP, se alternativbeskrivning för detaljer extrem.
  • STRUMPOR
  • IRC\BNC

Man-in-the-middle (MiTM) attackalternativ i Intercepter-NG

  • I alla MiTM-attacker använder Intercepter spoofing (ersättning) av ip\mac-adresser (alternativ Spoof IP\MAC). Om du använder ett Wi-Fi-gränssnitt bör du avmarkera det här alternativet, eftersom 99% av wifi-drivrutinerna inte tillåter att skicka paket med en falsk mac. Även om du avslöjar din riktiga adress, är du åtminstone kapabel att utföra alla MiTM-attacker över wifi-gränssnittet. Det är bättre än ingenting. Istället för att inaktivera spoofing i inställningar, använd WIFI-läge. Du kan ändra mac som visas i expertläge.
  • iOS Killer lades till för iCloud, samt Instagram och VK. Den här funktionen (iOS Killer) återställer sessionerna för de angivna programmen och låter dig avlyssna återauktorisering.
  • Kerberos nedgradering
  • HSTS-spoofing. Förbigå HSTS under SSL Strip. Bypass-tekniken är relativt enkel, men det finns vissa svårigheter i implementeringen, så du bör inte förvänta dig några speciella resultat. Låt oss titta på ett exempel på Yandex Mail med hjälp av Chrome webbläsare. Om du går till ya.ru, i det övre högra hörnet kommer det att finnas en https-länk "Logga in på mail", som SSL Strip enkelt kan hantera. Därefter öppnas ett auktoriseringsformulär, där data överförs till passport.yandex.ru med POST-metoden. Även efter strippning av https sker auktorisering via SSL, eftersom värden passport.yandex.ru ingår i den förinstallerade listan över krom. För att fortfarande fånga upp data måste vi ersätta värdnamnet passport.yandex.ru med något annat så att webbläsaren inte upptäcker att denna resurs ska besökas strikt över en säker anslutning. Till exempel kan du ersätta passport.yandex.ru med paszport.yandex.ru, i det här fallet kommer data att skickas till öppen form till det ändrade domännamnet. Men eftersom en sådan domän - paszport.yandex.ru existerar inte, då måste du dessutom göra DNS Spoofing, d.v.s. vid konvertering av paszport.yandex.ru bör klienten få den ursprungliga IP-adressen från passport.yandex.ru som svar.

Denna procedur är automatiserad och kräver inte ytterligare användaringripanden när en attack utförs. Det enda som krävs är att först göra en lista över ersättare i misc\hsts.txt. Som standard finns det flera poster för yandex, gmail, facebook, yahoo. Det är viktigt att förstå att denna förbikopplingsteknik inte tillåter avlyssning av en session eller auktorisering om användaren går in på facebook.com i webbläsaren, eftersom webbläsaren kommer omedelbart att öppna den säkra versionen av webbplatsen. I det här fallet är attacken endast möjlig om länken till facebook.com är hämtad från en annan resurs, till exempel när man skriver in facebook på google.com. De största problemen med att implementera en attack inkluderar den oförutsägbara logiken i hur webbplatser fungerar med sina underdomäner och funktioner i webbkoden som kan förneka alla försök att kringgå HSTS. Det är därför du inte bör lägga till några webbplatser i listan, även de domäner som finns i Intercepter-NG som standard har sina egna egenskaper och fungerar inte alltid korrekt. Jag vill egentligen inte göra kryckor för varje resurs; kanske i framtiden kommer några universella förbättringar att göras, men för nu, som de säger, som det är. Ytterligare en nyans, i den nuvarande implementeringen för DNS Spoofing är det nödvändigt att DNS-server inte fanns på det lokala nätverket så att det var möjligt att se DNS-förfrågningar till gatewayen och svara på dem vid behov.

  • IP Forward. Aktiverar rent IP-vidarebefordranläge. MiTM-attacker är inte tillgängliga i det här läget, men det låter dig starta arp-förgiftning i situationer där du inte kan använda Stealth IP. Detta är vanligtvis nödvändigt när gatewayen har en vitlista med legitima datorer i nätverket, så NAT kan inte fungera korrekt.
  • Cookie Killer— återställer cookies, vilket tvingar användaren att återauktorisera - ange login och lösenord så att angriparen kan fånga upp dem. Cookie Killer-funktionen fungerar även för SSL-anslutningar. Finns i svart ( misc\ssl_bl.txt) och vitlistor ( misc\ssl_wl.txt). De kan utesluta eller, tvärtom, strikt specificera IP-adresser eller domäner som SSL MiTM ska eller inte ska tillämpas på. När du anger extra ssl-port finns det inget behov av att ange read\write-typen, bara ange portnumret. All trafik skrivs till ssl_log.txt.
  • Remote Capture (RPCAP). Libpcap gör det möjligt att vidarebefordra nätverksdata från en värd till en annan genom sitt eget protokoll som kallas RPCAP. De där. du kan köra rpcap-demonen på din gateway och se all trafik som går genom den. När demonen körs kan du börja fånga fjärrtrafik med Intercepter. Ange värdnamnet eller IP-adressen för demonen i fältet och välj sedan adaptern från listan. Sedan måste du ställa in ett "inte värd IP"-filter, som ersätter "IP" med den faktiska IP-adressen som tilldelats ditt Ethernet-kort (detta är för att ignorera rpcap-trafik mellan dig och demonen).
  • PCAP över IP

Denna funktion är relaterad till fjärrtrafikfångst och är en utmärkt ersättning för den gamla och problematiska rpcapd-tjänsten. Namnet talar för sig självt. Nästan alla Unix har alltid en kombination av tcpdump och netcat, med vilka du kan logga trafik till en fjärrmottagande dator. I det här fallet kan Intercepter öppna en port i väntan på en dataström i libpcap-formatet och analysera den i realtid.

Det finns ingen grundläggande skillnad i källan till trafiken, så förutom tcpdump kan du även använda cat-verktyget för att läsa en redan befintlig .pcap-logg.

Här är några exempel på användning, som standard lyssnar Intercepter på port 2002:

Tcpdump -i face -w - | nc IP 2002

om du planerar att överföra trafik genom samma gränssnitt som du hämtar från, måste du lägga till en filtreringsregel som utesluter tjänstetrafik mellan servern och Intercepter:

Tcpdump -i face -w - inte port 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

Detta är en analog till tcpdump, som är en del av .-flaggan -P indikerar att paket bör sparas i standardformatet libpcap snarare än den nya pcapng.

Ett alternativt sätt att vidarebefordra paket utan att använda netcat:

Tcpdump > /dev/tcp/ip/port

WPAD står för "WebProxy Autodiscovering Protocol" vilket motsvarar funktionen "Automatically detect settings" i moderna webbläsare. Denna funktion gör det möjligt för webbläsaren att erhålla den aktuella proxykonfigurationen utan användaringripande. Detta är ett hot även idag och en angripare kan enkelt sätta upp en skadlig server för att fånga upp webbtrafik. Situationen förvärras av det faktum att Internet Explorer(och Chrome också) stöder den här funktionen som standard.

Vanligtvis är WPAD inte konfigurerad i nätverket, så det normala beteendet hos webbläsare är att göra NetBios-förfrågningar om namnet "WPAD" (förbigå DHCP- och DNS-metoderna). Om inget svar tas emot använder webbläsaren helt enkelt en direktanslutning. Men om ett svar tas emot försöker webbläsaren ladda ner konfigurationsfilen från http: /ip_of_wpad_host/wpad.dat.

Intercepter-NG kommer att svara på varje begäran och be klienter att använda sin egen konfiguration så att den kan sniffa trafik genom proxyn. Du kan konfigurera din egen konfiguration för vilken annan proxyserver som helst i nätverket, eller helt enkelt välja den inbyggda proxyservern. Den inbyggda proxyn låter dig använda HTTP-injektionsfunktionen.

Intercepter-NG Expertlägesalternativ

  • SSL Strip Timeout (sekunder)— Timeout i sekunder SSL Strip
  • ARP Poison varje (sekund)— Gör ARP-etsning varje... sekund
  • ARP Scan Timeout (sekunder)- ARP scan timeout
  • DNS-cache TTL (sekunder)— Livstid i DNS-cache
  • Spoofing MAC— MAC-adress till vilken angriparens adress kommer att ersättas
  • MySQL LOAD DATA Injection
  • LDAP-relä DN: DC=xxx, DC=xxx
  • Stoppa intrång på NBNS-förfrågan
  • Släpp SSH-anslutningen efter autentisering— Återställ SSH-anslutningen efter auktorisering
  • SMB-kapning -> SMB-relä
  • Auto ARP Poison— I automatiskt pozon-läge räcker det att bara lägga till en värd till listan över mål, och Intercepter själv kommer att skanna nätverket med ett visst intervall och automatiskt lägga till nya mål.
  • Återställ ARP-tabell— Återställ ARP-tabellen
  • Anpassad nyttolast för SMB Hijack (max 64kb)
  • Anpassad nyttolast för GP Hijack
  • Kör Shell— Startskal
  • Kör HTTP NTLM Grabber

Typer av skanning

Skanning är det första steget, det vill säga många MiTM-attacker börja med honom. För att visa menyn med skanningar, gå till fliken MiTM-läge och högerklicka på tabellen.

  • Smart skanning: Den kombinerar ARP-skanning och gateway-upptäckt. Till den vanliga informationen om IP- och MAC-adresser, nätverkskortstillverkare och operativ system, matas datornamnet ut. Under samma tidsperiod kan du nu dessutom ta reda på Netbios-namnet eller namnet på en iOS-enhet. För att lösa det sistnämnda används MDNS-protokollet som Apples Bonjour-protokoll fungerar utifrån. Alla mottagna namn sparas nu i en cache-fil, och om under efterföljande skanningar av någon anledning inte information om värdnamnet erhölls dynamiskt, den kommer att tas från cachen. Dessutom visar den här skanningen Stealth IP och ställer automatiskt in gateway IP (om den upptäcktes) och Stealth IP i lämpliga fält på MiTM-fliken. Den upptäcker också OS baserat på TTL-värden.
  • ARP-skanning(ARP-skanning): kontrollerar helt enkelt C-klassundernätet som tilldelats den valda Ethernet-adaptern. Till exempel, om din IP är 192.168.0.10, kommer 255 IP-adresser i intervallet 192.168.0.1-255 att kontrolleras. Från och med version 0.9.5 kontrollerar programmet nätverksmasken för att korrekt skanna alla undernät.
  • DHCP upptäckt(DHCP-upptäckt): skickar sända meddelanden DHCP-Discovery och väntar på svar från DHCP-servrar. Om några servrar svarar lägger du till dem i listan.
  • Promisc Detektion(upptäckt nätverkskort i promiskuöst läge): skickar speciella ARP-förfrågningar till nätverket. De svarande värdarna är uppenbarligen sniffers. Vissa Ethernet-kort (3COM) kan också reagera, dvs falska positiva är möjliga.
  • Gateway Discovery(gateway upptäckt): Skickar ett SYN-paket genom alla värdar i nätverket, om det finns en gateway kommer ett svar att skickas tillbaka.

Man-in-the-middle (MiTM) attacktekniker i Intercepter-NG

När du trycker på knappen Konfigurera MiTMs(hatt med öga) dialogrutan öppnas MiTM Attacker:

Den innehåller en lista över tekniker som stöds.

SSL MiTM

Detta är en gammal klassisk certifikatspoofingteknik. Låter dig fånga upp data från alla protokoll som skyddas av SSL. Stöds som standard: HTTPS, POP3S, SMTPS, IMAPS. Alternativt kan du ange vilken extra port som helst.

När HTTPS avlyssnas genereras certifikat i farten, som kopierar den ursprungliga informationen från den begärda resursen. För alla andra fall används ett statiskt certifikat.

När du använder den här funktionen är naturligtvis varningar från webbläsaren och annan klientprogramvara oundvikliga.

I ny version Koden för SSL MiTM skrevs om helt. Nu fungerar det snabbt och stabilt. Algoritmen för att generera certifikat har också ändrats, ytterligare DNS-poster har lagts till dem och alla certifikat signeras med en enda nyckel ( misc\server). Detta innebär att genom att lägga till detta självsignerade certifikat till listan över betrodda på måldatorn, kommer det att vara möjligt att lyssna på SSL-trafik till vilken resurs som helst (där det inte finns någon SSL-pinning). Fungera Cookie Killer fungerar nu för SSL-anslutningar. svart dök upp ( misc\ssl_bl.txt) och vitlistor ( misc\ssl_wl.txt). De kan utesluta eller, tvärtom, strikt specificera IP-adresser eller domäner som SSL MiTM ska eller inte ska tillämpas på. När du anger extra ssl-port är det inte längre nödvändigt att ange read\write-typen, det räcker med att ange portnumret. All trafik skrivs till ssl_log.txt.

SSL-remsa

SSL Strip är en "tyst" teknik för att avlyssna HTTPS-anslutningar. Under lång tid existerade den fungerande versionen endast under Unix, nu kan liknande åtgärder utföras i NT-miljön. Poängen är denna: angriparen är "i mitten", HTTP-trafik analyseras, alla https://-länkar identifieras och de ersätts med http://. Således fortsätter klienten att kommunicera med servern på ett oskyddat sätt. läge. Alla förfrågningar om ersatta länkar övervakas och data från de ursprungliga https-källorna levereras som svar.

Därför att Inga certifikat ersätts och det finns inga varningar. För att simulera en säker anslutning ersätts favicon-ikonen.

D.N.C.<>ICMP

Detta är en helt ny teknik, tidigare nämnd eller inte implementerad. Den bygger på samma gamla ICMP Redirect MiTM, men öppnar upp ett nytt sätt att sniffa data. Det första steget i denna attack liknar en klassisk ICMP-omdirigering, men det finns en viktig skillnad.

Så kallade " ny ingång" är offrets DNS-server. Vi kommer att ta kontroll över alla DNS-förfrågningar och göra lite magi innan offret får svaren.

När vi löser somehost.com, skickar DNS oss ett svar som innehåller ett eller flera svar från somehost.com:s IP. Dessutom kan den innehålla "extra" svar, och vi kommer att ta hand om dem också. Efter att den första delen av attacken är klar börjar offret skicka alla DNS-förfrågningar via angriparens värd (NAT). När NAT tar emot ett svar från DNS läser den alla IP-adresser och skickar sedan ICMP-omdirigeringsmeddelanden till offret med den översatta IP-adressen.

Så när NAT skickar ett DNS-svar tillbaka till offret har dess routingtabell redan poster för alla översatta adresser som pekar till vår värd!

Det betyder att vi kommer att sniffa inte bara offrets DNS, utan allt som löstes. All trafik kommer att förfalskas genom en falsk IP\MAC.

Denna del av attacken utförs på NAT-sidan, av denna anledning måste du konfigurera den korrekt.

Markera rutan för "DNS över ICMP" och fyll sedan i:

  • Routerns IP är standardgateway-IP som används av offret.
  • Klientens IP är offrets IP. Du kan lägga till flera mål, men kom ihåg att börja med att skicka ett ICMP-omdirigeringspaket till varje mål från Intercepter.

När du har lagt till klienter bör du lägga in den lediga/oanvända IP-adressen i fältet "New Gateway" och i "Stealth IP".

Välj adapter, de bör vara desamma eftersom vi ska dirigera trafik i ett Ethernet-område.

Starta NAT.

Alla DNS-svar lagras i en speciell lista och NAT skickar regelbundet (i enlighet med den tid som anges i inställningarna) om ICMP-omdirigeringar,

I slutet måste du göra en åtgärd till. Du kan inte sanera offrets routingtabell (som med ARP-förgiftning), så du måste avmarkera "DNS ↔ ICMP" för att förhindra att ICMP-omdirigeringar skickas igen och vänta cirka 10-15 minuter. Efter detta kommer inga nya poster att läggas till, men gamla kommer att fungera bra genom NAT tills de går ut.

WPAD MiTM

För detaljer, se alternativbeskrivningen. WPAD-konfiguration (PROXY:PORT).

SMB kapning

SSH MiTM

Du kan fånga upp SSH-autentiseringsdata (inloggning/lösenord) och se alla kommandon som passerar under en fjärrsession. 2 autentiseringsmekanismer stöds: lösenord och interaktiv. För att sniffa offrets data måste vi agera som en riktig sshd och vi tillhandahåller våra egna rsa/dsa-nycklar. Om den ursprungliga värdnyckeln cachelagras av offret, kommer ett varningsmeddelande att visas, om den inte är cachad, kommer det inte att finnas några tecken på en attack på klientsidan.

När offret väl är inloggat kan han arbeta som vanligt och utföra kommandon och pseudografiska program som midnight commander. Intercepter avlyssnar WINDOW_CHANGE-förfrågningar, så om offret bestämmer sig för att ändra storlek på fönstret kommer allt att ritas om korrekt för att matcha den nya fönsterstorleken.

Programmet fungerar med en fjärrsession, men fungerar inte med SFTP. Om offret kör en SFTP-klient kommer autentiseringsdata att fångas upp, men anslutningen kommer då att avbrytas och flaggas. Sedan när offret försöker återansluta kommer de att ha tillgång till den ursprungliga ssh-servern förutom vår falska sshd.

Det är nödvändigt att nämna att angriparen loggar in på fjärrservern och lämnar sin IP-adress i loggarna. I expertläge kan du välja alternativet att avbryta ssh-anslutningen efter att ha mottagit offrets referenser. Anslutningen kommer att markeras och vid nästa försök tillåter programmet åtkomst till den ursprungliga servern.

G.P. Kapning

Ytterligare funktioner för man-in-the-middle-attacker (MiTM) i Intercepter-NG

Knappar för att använda dessa funktioner finns också i avsnittet MiTM-alternativ(tärningar, JDownloader-symbol, spruta, sköld och fristående strålningsrisksymbol):

Traffic Changer (ändrar textdata i nätverkstrafikströmmen)

Du kan endast ersätta data av samma storlek utan att ändra längden på paketen. Låt oss säga att webbläsaren öppnar site.com/file.txt, som innehåller strängen "12345". Som svar på en GET-begäran kommer servern att returnera en HTTP-header som anger längden på den överförda datan - Innehållslängd: 5. Vad händer om vi ersätter "12345" med "12356"? Webbläsaren laddar bara ner 5 byte, kasserar de tillagda "6", och om vi minskar datastorleken genom att ersätta "12345" med "1234", kommer webbläsaren bara att ta emot 4 byte och väntar på ytterligare 1 byte från servern till anslutningen stängs av timeout. Det är därför denna storleksbegränsning gjordes. Du kan ändra både text och binära data, syntaxen för binära mönster är densamma som i C - "\x01\x02\x03".

Om substitution i HTTP-trafik krävs, måste du i inställningarna aktivera alternativet "Inaktivera HTTP gzip-kodning".

Spoofing

Spoofing låter dig omdirigera värdar till en given IP. DNS, NBNS, LLMNR-protokoll stöds.

Med DNS kan du ange en mask för att omdirigera alla underdomäner också. Vanligtvis kommer domain.com:IP-par att upprättas, men underdomäner kommer inte att förfalskas. För att omdirigera dem alla, lägg till * (asterisk) före domännamnet: *host.com

Forcerad nedladdning och JS Inject

Båda innovationerna relaterar till HTTP-injektionsläget. På ryska kan forcerad nedladdning översättas som "tvingad nedladdning", eftersom det är exakt vad som händer på målets sida under webbsurfning. När du går in på webbplatsen erbjuds det att ladda ner filen som specificerats av angriparen; beroende på webbläsarinställningarna kan den laddas ner oberoende, och användaren väljer sedan om den ska köras eller inte.

Som du förstår kan du lägga till en .exe-fil med godtyckligt innehåll till den påtvingade nedladdningen, och källan till denna fil kommer att vara den webbplats som användaren för närvarande besöker. När du vet att målet kommer att öppna adobe.com kan du utfärda flashplayer.exe och källan till denna fil kommer att listas som adobe.com eller en av dess underdomäner.

Efter en engångsinjektion stängs forceringen av, för att återinjicera måste du klicka på motsvarande kryssruta igen.

JS Inject är inte uttryckligen närvarande bland kontrollerna, eftersom i själva verket är detta den vanligaste http-injektionen, men med en skillnad. När man ersätter en fil med en annan, till exempel bilder.jpg med en given, är detta just ersättningen av ett innehåll med ett annat. Att ersätta ett .js-skript kan med största sannolikhet störa driften av resursen, så i den nya versionen ersätter inte js inject ett skript med ett annat, utan lägger till det till det befintliga, vilket ger möjligheten att införa ytterligare kod utan att påverka den ursprungliga .

FATE-läget kombinerar två nya funktioner: FAke site och FAke update.

Huvudmålet med FAke site är att få auktoriseringsdata från vilken webbresurs som helst, förbi SSL och andra säkerhetsmekanismer. Detta uppnås genom att klona auktoriseringssidan och skapa en mall som kommer att finnas på den inbyggda pseudowebbservern. Som standard innehåller interceptorn en mall för accounts.google.com, eftersom den ursprungliga sidan kräver att du fyller i ett fält med en inloggning och sedan ett lösenord. Denna mall har ändrats något för att tillåta båda fälten att vara aktiva samtidigt. Innan attacken måste du ange den domän som mallen ska finnas på. Efter att attacken har börjat injiceras en omdirigering till den valda domänen i målets trafik och därefter kommer interceptorn automatiskt att utföra DNS-spoofing till de nödvändiga adresserna. Som ett resultat kommer den valda auktoriseringssidan att öppnas i webbläsaren.

Funktionalitet FAke updateTE (falska uppdateringar) betyder uppkomsten av meddelanden om installationen av "offret" programvara och påstås ladda ner en uppdateringsfil till vilken nyttolasten har lagts till. Listan över programvara som stöds är mycket blygsam. Om du vill kan du lägga till dina egna mallar; deras struktur kan ses i misc\FATE\updates.

ARP Poison (ARP-etsning)

En del av den klassiska man-in-the-midten-attacken. Denna attack börjar med att skanna värdar. När värdar upptäcks och några av dem väljs ut som mål, börjar ARP-förgiftning, som ett resultat av vilket de attackerade värdarna börjar vidarebefordra sin trafik inte till gatewayen, utan till angriparen. Angriparen studerar (sniffar) denna trafik, utför andra manipulationer och skickar den till målservern. Målservern svarar på angriparen (som källan till begäran), denna trafik sniffas också, modifieras och vidarebefordras till offret. Som ett resultat händer ingenting för offret. betydande förändringar— det verkar utbyta data med en fjärrserver.

Ytterligare funktioner i Intercepter-NG

Startknappar ytterligare funktioner finns i en separat sektion av höger kolumn i programfönstret:

Intercepter-NG har nu en egen nätverksskanner, som ersätter den primitiva portskannern från tidigare versioner. Dess huvudfunktioner:

  1. Skanna öppna portar och upptäck heuristiskt följande protokoll: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC, RDP.
  2. Bestäm närvaron av SSL på en öppen port, läs banners och olika webbrubriker.
  3. Om en proxy eller sox upptäcks, kontrollera att de är öppna utåt.
  4. Kontrollera lösenordslös åtkomst till VNC-servrar, kontrollera SSL på HeartBleed. Läs version.bind från DNS.
  5. Kontrollera databasen för skript på webbservern som är potentiellt sårbara för ShellShock. Kontrollera databasen för en lista över kataloger och filer med 200 OK, samt en lista över kataloger från robots.txt.
  6. Bestäm OS-versionen via SMB. Om du har anonym åtkomst får du lokal tid, drifttid, en lista över delade resurser och lokala användare. Automatisk lösenordssökning startar för hittade användare.
  7. Bestäm från den inbyggda listan över SSH-användare genom att mäta svarstiden. Automatisk lösenordssökning startar för hittade användare. Om uppräkningen inte ger resultat (fungerar inte på alla versioner) startas sökningen endast för root.
  8. Automatisk brute force för HTTP Basic och Telnet. Med tanke på särdragen hos telnet-protokollet är falska positiva möjliga.

Du kan skanna vilket mål som helst, både på det lokala nätverket och på Internet. Du kan ange en lista över portar för skanning: 192.168.1.1:80,443 eller intervallet 192.168.1.1:100-200. Du kan ange adressintervallet för skanningen: 192.168.1.1-192.168.3.255.

För ett mer exakt resultat kan endast 3 värdar skannas åt gången. Bokstavligen i sista stund lades kontroller efter data från SSL-certifikat till, till exempel om ordet Ubiquiti påträffas och port 22 är öppen, så startas SSH brute force för användaren ubnt automatiskt. Detsamma gäller för ett par Zyxel-hårdvara med adminanvändaren. För den första utgåvan av skannern finns det tillräckligt med funktionalitet och den är väl avlusad.

HeartBleed Exploat

Testar om målet är sårbart för HeartBleed. Om målet är sårbart utnyttjar det denna sårbarhet och tar emot en del av innehållet random access minne fjärrvärd.

Bruteforce-läge

Brute force-attacker (brute force, brute force) stöds för följande nätverksprotokoll:

  • POP3 TLS
  • SMTP TLS
  • HTTP Basic
  • HTTP Post
  • TELNET
  • VMware

Du kan ställa in antalet trådar där autentiseringsuppgifterna ska kontrolleras.

När en timeout inträffar startas den aktiva tråden om från samma plats och sökprocessen fortsätter.

Tillgängliga Singelläge, vilket indikerar att varje nytt login:lösenord-par bör kontrolleras med upprättandet av en ny anslutning; för vissa protokoll tillåter detta ökad hastighet. Operationsloggen sparas i brute.txt.

ARP-funktioner

Förutom ARP-etsning och ARP-skanning finns det flera andra funktioner associerade med ARP-protokollet. Två av dem är placerade i separata knappar i högerspalten i programfönstret:

  • ARP klocka: Byggd personlig ARP-övervakningstjänst. Du måste börja med att utföra en ARP-skanning för att fylla i den betrodda ("ren") listan MAC-adresser. Om någon försöker förgifta din arp-cache visas ett varningsmeddelande.
  • ARP-bur: Isolerar mål-IP-adressen från andra lokala värdar genom att spoofa arp-tabellposter.

Intercepter-NG lanseringsexempel

Hur man kör MiTM i Intercepter-NG

Börja med ett val nätverksadapter (Nätverksadapter):

Högerklicka på en tom tabell och välj Smart Scan:

En lista med mål kommer att visas:

Lägg till de du behöver som mål ( Lägg till som mål):

För att börja sniffa, klicka på motsvarande ikon:

Gå till fliken MiTM-läge(detta är en jordglob med patch-sladdar) och klicka på ikonen ARP-gift(symbol för strålningsfara):

I fliken Lösenordsläge(symbolen är en nyckelring), kommer de fångade referenserna att visas:

Arbeta med Wi-Fi och arbeta med Ethernet

Det finns inga skillnader när du arbetar med Wi-Fi eller trådbundna anslutningar, men du måste byta till önskat läge genom att klicka på ikonen:

Offlineanalys av pcap-fångstfiler

Det finns många alternativ som kan sakta ner eller påskynda analystiden.

  1. Till att börja med, om du behöver läsa en stor .pcap-fil, inaktivera sedan alternativet " Lösa".
  2. Om din .pcap innehåller stora filer och Resurrection är aktiverat kan hastigheten sjunka. Lösningen är att sätta en gräns för den maximala filstorleken för återställning.
  3. Om du inte behöver rekonstruera något, inaktivera det här alternativet i inställningarna. Hastigheten kommer att öka.
  4. Om du bara behöver analysera ett specifikt protokoll, till exempel ICQ\AIM eller bara HTTP, ställ in lämpligt filter " pcap filter" från RAW-LÄGE: tcp-port xxx, Var xxxär portnumret för ditt protokoll.
  5. Du kan ladda mer än en inspelning för analys. I Öppna dialogrutan välj flera filer, de kommer alla att analyseras en efter en.

Intercepter-NG installation

Installation på Linux Kali

För att installera och köra Intercepter-NG i Kali Linux kör följande kommandon:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump:i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine sudo cp packet/packet. dll.so /usr/lib/i386-linux-gnu/wine rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/ sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Ladda Intercepter-NG v1. 0 och radera dll-filer wpcap.dll och Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip unzip Intercepter- NG.zip rm wpcap.dll rm Packet.dll sudo vin Intercepter-NG.exe

Installation på Windows

För att installera Intercepter-NG på Windows, gå till och ladda ner motsvarande arkiv (utan bokstäver C.E.). Programmet kräver ingen installation, packa bara upp arkivet och kör filen .exe.

Installation på Android

För att installera Intercepter-NG på Android, gå till och ladda ner filen apk. För att framgångsrikt starta programmet krävs root-rättigheter.

Intercepter-NG skärmdumpar

Intercepter-NG låter dig bestämma MAC-adressen och IP-adressen för alla användare som är anslutna till ett offentligt nätverk. Med hjälp av programmet kan du också fånga upp cookies, utgående och inkommande trafik för olagliga ändamål.

Egenskaper

Intercepter-NG är en multifunktionell applikation som i rätt händer förvandlas till ett verktyg för att utföra illegala transaktioner. För det första kan den användas för att identifiera alla enheter som är anslutna till ett offentligt nätverk. Data inkluderar inte bara IP-adressen, utan också enhetens unika MAC-adress.

För det andra låter applikationen dig fånga upp tvåvägstrafiken för den valda användaren, visa, använda och till och med ersätta filer. Eftersom programmet inte gör det detaljerade instruktioner för att använda funktionen behöver du ha minimal kunskap. I det här fallet kommer du inte bara att ta reda på IP- eller MAC-adressen, utan du kommer också att enkelt kunna fånga upp cookies för att läsa andras korrespondens och till och med utföra åtgärder för användarens räkning.

Egenheter

  • Root-åtkomst. Enheten måste vara rotad för att använda alla funktioner i applikationen.
  • Möjligheten att ta reda på IP- och MAC-adressen för alla användare som använder samma åtkomstpunkt som du.
  • Möjlighet att fånga upp cookies för att läsa korrespondens, handlingar med konton.
  • Möjlighet att avlyssna utgående och inkommande trafik, ersätta filer.

Ett minimalistiskt gränssnitt och stabil drift är ytterligare ett par funktioner i applikationen som gör den populär i snäva kretsar.

Publikationer om ämnet