Nouvelles fonctionnalités du légendaire scanner de sécurité Intercepter-NG. Sniffer pour Windows Intercepter-NG (mode d'emploi) Fonctions supplémentaires Intercepter-NG

06.12.2020

Navigateurs

Vu: 2890

Intro

C'est avec grand plaisir que j'aimerais vous présenter une nouvelle version d'Intercepter-NG 0.9.10 qui, à mon avis,
élargit considérablement la portée de l'outil. Cet aperçu ne sera pas présenté comme une liste sèche.
innovations, mais plutôt comme une description de nouveaux vecteurs d'attaque avec un certain nombre de détails techniques et d'éléments de hack-story. Commençons ...

Analyse du réseau

Comme toujours, de nombreuses corrections et améliorations mineures ont été apportées, ce qui ne sert à rien de répertorier.
Ceux qui utilisent souvent l'outil savent que l'un des principaux modes est le mode de scan du réseau et en particulier la fonction Smart Scan. Aux informations déjà familières sur les adresses IP et MAC, le fabricant de la carte réseau et le système d'exploitation, l'affichage du nom de l'ordinateur a été ajouté.
Pour la même période, vous pouvez désormais trouver en plus le nom Netbios ou le nom de l'appareil exécutant iOS.
Pour résoudre ce dernier, le protocole MDNS est utilisé, sur la base duquel fonctionne le protocole Bonjour d'Apple. Tous les noms reçus sont maintenant enregistrés dans un fichier cache et si, lors des analyses ultérieures, pour une raison quelconque, des informations sur le nom d'hôte n'ont pas été obtenues dynamiquement, elles seront extraites de On peut également mentionner ici l'apparition de la fonction Auto ARP Poison, qui est activée dans les paramètres experts. En mode automatique, il suffit d'ajouter seulement 1 hôte à la liste des cibles, et Intercepter analysera le réseau lui-même à un certain intervalle et ajoutera automatiquement de nouvelles cibles.

Mode Bruteforce

Dans ce mode, la prise en charge TLS a été ajoutée pour les protocoles SMTP et POP3, ainsi que l'autorisation TELNET par force brute.
Désormais, lorsqu'un délai d'expiration se produit, le thread actif est redémarré à partir du même endroit et le processus d'itération se poursuit.
Le Single Mode est apparu, ce qui indique que chaque nouvelle paire de LPs doit être vérifiée avec l'établissement d'une nouvelle connexion, pour certains protocoles cela permet d'augmenter la vitesse de travail. Le journal de travail est enregistré dans brute.txt.

Changeur de trafic

Plus d'une fois, il y a eu des demandes pour implémenter la fonction de substitution de trafic et elles n'ont pas été laissées sans attention, mais vous ne devriez pas vous réjouir avant l'heure.
À une contre-question: "pourquoi exactement avez-vous besoin de cette opportunité?" certains utilisateurs ont eu du mal à répondre ou ont dit qu'ils plaisantaient pour changer de mots dans le trafic Web. Et pour ne pas expliquer à tous les joker pourquoi le résultat ne répond pas toujours aux attentes, vous ne pouvez substituer que des données de taille égale sans changer la longueur du paquet. La limitation n'est pas du tout liée à des problèmes de mise en œuvre technique, il n'y a aucune difficulté à diviser les trames Ethernet avec recalcul des champs tcp correspondants. Tout dépend des protocoles d'application. Regardons un exemple avec HTTP.

Disons que le navigateur ouvre site.com/file.txt, qui contient la chaîne "12345". En réponse à une requête GET, le serveur retournera un en-tête HTTP, qui indiquera la longueur des données transmises - Content-length: 5. Que se passe-t-il si nous remplaçons "12345" par "12356"? Le navigateur télécharge seulement 5 octets, supprimant le «6» ajouté, et si nous réduisons la taille des données en remplaçant «12345» par «1234», le navigateur ne reçoit que 4 octets et attendra encore 1 octet du serveur jusqu'à ce que la connexion soit terminée par temps libre. C'est pourquoi cette limitation de taille est faite. Vous pouvez modifier à la fois les données textuelles et binaires, la syntaxe des modèles binaires comme dans C - "x01x02x03".
Si une substitution dans le trafic HTTP est requise, dans les paramètres, vous devez activer l'option "Désactiver le codage gzip HTTP".

Spoofing HSTS

Comme promis, il existe un contournement HSTS pour la bande SSL. La technique de contournement est relativement simple, mais c'est dans l'implémentation qu'il y a certaines difficultés, il ne faut donc pas s'attendre à des résultats particuliers. Prenons un exemple sur Yandex Mail en utilisant le navigateur Chrome. Si vous allez à, alors dans le coin supérieur droit, il y aura un lien https "Entrer le courrier", que SSL Strip gère facilement. Ensuite, un formulaire d'autorisation s'ouvre, où les données sont transférées vers la méthode POST. Même en "striping", l'autorisation https sera effectuée via SSL, car l'hôte passeport.yandex.ru est répertorié dans la liste de chrome préchargée. Afin d'intercepter les données, nous devons remplacer le nom d'hôte passeport.yandex.ru par autre chose, afin que le navigateur ne détecte pas que cette ressource doit être visitée strictement via une connexion sécurisée. Par exemple, vous pouvez remplacer passeport.yandex.ru par paszport.yandex.ru, dans ce cas, les données seront envoyées en texte clair au nom de domaine modifié. Mais depuis il n'y a pas de tel domaine - paszport.yandex.ru, alors il est en outre nécessaire de faire du DNS Spoofing, c'est-à-dire le client, lors de la résolution de paszport.yandex.ru, doit recevoir en réponse l'adresse IP d'origine de passport.yandex.ru. Cette procédure est automatisée et ne nécessite pas d'intervention supplémentaire de l'utilisateur lors d'une attaque. La seule chose à faire est de compiler d'abord une liste de remplacements dans mischsts.txt. Par défaut, il existe plusieurs entrées pour yandex, gmail, facebook, yahoo. Il est important de comprendre que cette technique de contournement ne vous permettra pas d'intercepter la session ou l'autorisation si l'utilisateur entre facebook.com dans le navigateur, car le navigateur ouvrira immédiatement la version sécurisée du site. Dans ce cas, l'attaque n'est possible que si le lien vers facebook.com provient d'une autre ressource, par exemple lors de la saisie sur facebook. Parmi les principaux problèmes dans la mise en œuvre de l'attaque, on peut noter la logique imprévisible du fonctionnement des sites avec leurs sous-domaines et les fonctionnalités du code web, ce qui peut annuler toute tentative
contourner HSTS. C'est pourquoi vous ne devez ajouter aucun site à la liste, même les domaines présents dans Intercepter-NG ont leurs propres caractéristiques par défaut et ne fonctionnent pas toujours correctement. Je ne veux pas mettre de béquilles pour chaque ressource, peut-être que dans le futur des améliorations universelles seront apportées, mais pour l'instant, comme on dit, tel quel.
Une nuance de plus, dans l'implémentation actuelle de DNS Spoofing "et il est nécessaire que le serveur DNS ne soit pas sur le réseau local, afin qu'il soit possible de voir les requêtes DNS à la passerelle et d'y répondre si nécessaire.

Il est important de noter que la nouvelle version améliore considérablement le travail du SSL Strip lui-même.

Téléchargement forcé et injection JS

Les deux innovations concernent le mode d'injection HTTP. En russe, le téléchargement forcé peut être traduit par "téléchargement forcé", car c'est exactement ce qui se passe du côté cible lors de la navigation sur le Web. Lors de l'entrée sur le site, il est proposé de télécharger le fichier spécifié par l'attaquant, en fonction des paramètres du navigateur, il peut être téléchargé seul, et l'utilisateur choisira déjà de le lancer ou non.
Comme vous le comprenez, vous pouvez également ajouter un fichier .exe avec un contenu arbitraire au téléchargement forcé, et la source de ce fichier sera le site que l'utilisateur visite actuellement. Sachant que la cible va ouvrir adobe.com, vous pouvez lancer flashplayer.exe, et adobe.com ou l'un de ses sous-domaines sera répertorié comme la source de ce fichier.
Après une distribution unique, le forçage est désactivé, pour réinjecter vous devez cliquer à nouveau sur la case correspondante.

JS Inject n'est pas explicitement présent parmi les contrôles, car en fait, c'est l'injection http la plus courante, mais avec une différence. Lorsque vous remplacez un fichier par un autre, par exemple pictures.jpg pour un fichier donné, c'est le remplacement d'un contenu par un autre qui se produit. Le remplacement du script .js avec une probabilité élevée peut perturber le fonctionnement de la ressource.Par conséquent, dans la nouvelle version, js inject ne remplace pas un script par un autre, mais l'ajoute au script existant, ajoutant la possibilité d'injecter du code supplémentaire sans affecter l'original.

SSL MiTM

Nous abordons en douceur les nouveautés les plus intéressantes. La nouvelle version a complètement réécrit le code pour SSL MiTM. Il est désormais rapide et stable. L'algorithme de génération de certificats a également changé, des enregistrements DNS supplémentaires leur sont ajoutés et tous les certificats sont signés avec une seule clé (miscserver). Cela signifie qu'en ajoutant ce certificat auto-signé à la liste des certificats de confiance sur l'ordinateur cible, il sera possible d'écouter le trafic SSL vers n'importe quelle ressource (là où il n'y a pas d'épinglage SSL). Cookie Killer fonctionne désormais également pour les connexions SSL. Ajout de listes noires (miscssl_bl.txt) et blanches (miscssl_wl.txt). Ils peuvent être utilisés pour exclure ou spécifier de manière rigide des adresses IP ou des domaines auxquels SSL MiTM doit ou ne doit pas être appliqué. Lorsque vous spécifiez un port ssl supplémentaire, vous n'avez plus besoin de spécifier le type de lecture-écriture, spécifiez simplement le numéro de port. Tout le trafic est écrit dans ssl_log.txt.

Détournement de stratégie de groupe

Une autre fonctionnalité qui tue dans Intercepter-NG. Bien que la technique n'ait pas été découverte par moi du tout, il s'agit de la première implémentation publique et pleinement fonctionnelle de cette attaque. Une description détaillée est disponible et.

Encore une fois, SMB a mis un cochon sur Microsoft, car grâce à cette vulnérabilité, en environ une heure et demie, vous pouvez accéder à n'importe quel ordinateur du domaine (à l'exception du contrôleur de domaine). Dans quel but.

Toutes les 90+ une quantité aléatoire de 0 à 30 minutes, un membre du domaine demande des stratégies de groupe au contrôleur de domaine. Cela se produit via SMB, en ouvrant l'adresse réseau DCSYSVOLdomain.namePoliciesUUIDgpt.ini.

Le contenu de ce fichier est le suivant:

Version \u003d 12345

Ce nombre est la version relative de la stratégie de groupe actuelle. Si la version n'a pas changé depuis la dernière mise à jour, le processus de réception des stratégies de groupe s'arrête, mais si la version est différente, elles doivent être mises à jour. À ce stade, le client demande au domaine des CSE actifs (extensions côté client), qui incluent divers scripts de connexion, des tâches pour le planificateur, etc. Naturellement, un attaquant, debout au milieu, peut remplacer l'une des tâches générées par le contrôleur sous forme de fichier. Dans cette situation, l'opération serait très simple, mais tous ces CSE sont désactivés par défaut et la seule chose à faire est de modifier le registre, car lors de la mise à jour des stratégies de groupe, le client demande un autre fichier - GptTmpl.inf, à travers lequel vous pouvez ajouter ou supprimer une entrée. Les auteurs des deux articles ont décidé d'utiliser une méthode bien connue - AppInit_Dll pour démontrer l'exécution de code. Nous avons enregistré le chargement de notre dll à partir du chemin d'accès réseau dans la clé de registre requise, après quoi le processus nouvellement créé dans le système a exécuté du code arbitraire. Mais cette méthode ne convient que comme preuve de concept, car AppInit_Dll est désactivé par défaut depuis de nombreuses années. À cet égard, la tâche a été définie pour trouver un autre moyen d'exécuter le code à distance, et sans avoir à attendre un redémarrage, comme dans le cas de l'ajout de l'exécution automatique à la touche Exécuter.

En vain, de nombreuses tentatives ont été faites d'une manière ou d'une autre pour atteindre le but souhaité, jusqu'à ce qu'une bonne personne (merci l'homme) suggère une clé de registre très curieuse dont je ne savais rien auparavant.

Un débogueur peut être ajouté à la clé pour n'importe quel fichier .exe. Par exemple, spécifiez que calc.exe doit être ouvert via c: pathdebuger.exe et dès que la calculatrice est lancée, le débogueur s'ouvrira en premier, dans la ligne de commande duquel il y aura un chemin vers calc "a. À ce moment-là, j'étais satisfait de la restriction sur l'inévitabilité de la participation des utilisateurs au processus d'accès, c'est-à-dire qu'au lieu d'une calculatrice, il était possible d'exécuter le code en appelant IE ou Chrome ou toute autre application, mais un nouveau problème est apparu. l'utilisateur ne disposait pas de droits administratifs, alors même après avoir reçu le shell, il n'était pas possible de supprimer le débogueur précédemment ajouté au registre, ce qui signifie qu'après l'arrêt de l'attaque ou au redémarrage, l'application exploitée a cessé de fonctionner, car l'adresse réseau usurpée avec debuger.exe n'existait plus.
Il était nécessaire de trouver un moyen d'obtenir non seulement un accès au shell, mais toujours avec des droits d'administrateur. En omettant toutes les difficultés ultérieures, je décrirai le résultat. Après avoir reçu les stratégies de groupe, le système doit les appliquer, car ce svchost est appelé et crée un nouveau processus taskhost.exe avec les droits SYSTEM. Se lever comme un débogueur pour taskhost.exe a tué deux oiseaux d'une pierre - nous avons non seulement reçu un shell avec les droits SYSTEM, mais aussi l'avons reçu immédiatement, sans aucune intervention manuelle de l'utilisateur. L'attaque est entièrement automatisée, vous pouvez sélectionner un groupe de cibles à la fois et en une heure et demie à deux heures, obtenez un ensemble complet de sessions shell actives avec un maximum de droits. Vous n'avez même pas besoin d'être membre du domaine vous-même. La seule chose nécessaire est d'activer l'accès au réseau: laissez les autorisations Tout le monde s'appliquer aux utilisateurs anonymes. Lors des tests, pour ne pas attendre une heure et demie, il suffit d'exécuter gpupdate depuis la console. Testé sur Windows 78.1 corrigé dans des domaines avec des serveurs 2008R22012R2.

Quelles sont les mesures de protection? Microsoft a publié un correctif pour MS15-011, introduisant le soi-disant accès renforcé UNC, qui nécessite une configuration manuelle. Une phrase intéressante apparaît dans la newsletter:

"Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d'utilisateur sur le système pourraient être moins affectés que les utilisateurs qui opèrent avec des droits d'administrateur."

Comme cela est déjà devenu clair, la menace est tout aussi élevée pour tout utilisateur.

Malgré tout le potentiel du GP Hijacking, il me semble qu'une autre innovation de cette version mérite une attention particulière ...

Dessert

Ce qui sera discuté à la fin n'est pas une nouveauté. C'est plutôt un vecteur d'attaque qui s'ouvre lorsque toute une gamme de solutions existantes dans Intercepter-NG sont utilisées ensemble.

Dans ce cas, l 'accent est mis sur les réseaux sans fil et les appareils mobiles, en particulier, fonctionnant sous iOS - Iphone et Ipad. Tout le monde sait que le poison arpe élémentaire de ces appareils ne donne pratiquement rien. L'interception des cookies des sites ouverts dans le navigateur est peut-être la seule chose sur laquelle vous pouvez compter, car dans la plupart des cas, l'utilisateur utilise des applications de marque provenant de divers services, où la communication avec le serveur s'effectue via SSL. Même si vous essayez d'effectuer SSL MiTM, rien ne fonctionnera, les applications cesseront simplement de fonctionner avec un certificat non approuvé. Par conséquent, on pense que les téléphones et les tablettes sont assez bien protégés contre les interceptions du réseau par défaut.

Mais imaginez la situation suivante, l'utilisateur moyen s'assoit sur l'application Instagram et consulte le flux.
Soudain, l'application cesse de fonctionner, se plaignant du manque de connexion, et l'utilisateur ouvre instagram.com dans le navigateur, où une alerte apparaît avec le texte "Pour continuer à travailler sur instagram.com, installez un nouveau certificat de sécurité" et après la fermeture du message, une demande d'installation d'un nouveau certificat apparaît à l'écran. Le développement ultérieur des événements dépend bien sûr de l'utilisateur, mais la probabilité qu'il installera toujours le certificat proposé est assez élevée, car la situation est assez plausible: l'application a cessé de fonctionner, est allée sur le site, a vu un avertissement concernant une mise à jour nécessaire, mise à jour - tout a fonctionné, bien qu'en fait l'attaquant a remplacé son certificat et lit maintenant tout le trafic SSL. La mise en œuvre du téléchargement forcé, de JS Inject et de SSL MiTM stable vous permet de mettre en œuvre un scénario similaire en un rien de temps

1. Do.js injecte avec alert ("Veuillez installer un nouveau certificat pour% domain%.");
Le modèle% domain% contiendra le nom du site où l'injection a eu lieu.

2. Nous forçons le téléchargement de miscserver.crt - le certificat racine dans Intercepter-NG.

3. Activez SSL MiTM (ainsi que la bande SSL pour les injections).

4. Après le lancement de l'attaque, les connexions SSL cesseront de fonctionner sur le périphérique de la cible et une alerte avec un certificat sera affichée dans le navigateur.

Une question naturelle se pose de savoir quoi faire avec le trafic SSL, à l'exception de l'interception passive de sessions déjà établies. Cookie Killer vient à la rescousse, qui fonctionne correctement, par exemple sur l'application Facebook.
IOS a également son propre Saint Graal - iCloud, mais effacer un cookie n'aidera pas à réinitialiser sa session. C'est pour iCloud, ainsi qu'Instagram et VK, que la fonction iOS Killer a été ajoutée, qui réinitialise les sessions des applications spécifiées et vous permet d'intercepter les autorisations répétées. Cette astuce ne peut pas être réalisée avec l'AppStore, car il semble y avoir un épinglage SSL. Ce vecteur a été testé sur IOS 56 et 8.4.

Les plans étaient d'ajouter la possibilité de créer indépendamment des gestionnaires dans LUA ou via un plugin DLL, mais à en juger par la réaction des utilisateurs, personne n'a un réel intérêt. La nouvelle version sera probablement l'année prochaine, peut-être à l'automne une mise à jour fonctionnelle d'Intercepter-NG pour Android sera publiée. Les questions, commentaires et demandes de fonctionnalités sont toujours les bienvenus. C'est tout.

Une démonstration des nouvelles fonctionnalités est présentée dans la vidéo.

Contacts du projet.

Bonjour à tous ceux qui lisent l'article.

Il décrit comment intercepter les mots de passe et les cookies sur le réseau à l'aide du programme Intercepter-ng.

Certains ont demandé à en dire plus sur la fonctionnalité, d'autres ont demandé à afficher plus de fonctionnalités, quelqu'un a demandé à envisager la dernière version (actuellement la version 0.9.10.

Je devais soulever mon cul paresseux et commencer à étudier tout le matériel que je trouvais petit à petit.

En commençant à rédiger un brouillon, j'ai réalisé qu'un seul article ne suffisait pas. Par conséquent, il n'y aura aujourd'hui qu'une théorie, une description de certaines fonctions et modes d'Intercepter-ng. Dans deux ou trois jours, j'écrirai sur le travail avec le programme dans la pratique, puis il y aura plusieurs vidéos (pour ceux qui le trouvent plus facile à apprendre).

Je dis tout de suite - je n'ai pas de connaissances techniques approfondies, alors j'écris avec des mots simples, et pour que ce soit clair pour les gens ordinaires. Si vous remarquez une inexactitude dans mes descriptions, ou si vous avez quelque chose à ajouter, écrivez dans les commentaires.

Je ne peux pas décrire chaque fonction, seulement ce que j'ai pu trouver moi-même.

Commençons par examiner le patient.

Intercepter-ng. Outil de piratage Pentester.

Fonctionnalité (seulement une petite partie de toutes les possibilités).

Jetons un coup d'œil aux modes et aux boutons.

1 - Sélectionnez l'interface par laquelle vous êtes connecté au routeur (l'icône de gauche bascule entre le mode Wi-Fi ou filaire, choisissez la vôtre).

2 — Mode messagers. La fonction d'interception des messages ICQ \\ AIM \\ JABBER. Je considère que cela n'est pas pertinent de nos jours, donc cela ne sera pas considéré.

3. — Mode de résurrection - mode de récupération. Lorsque la victime navigue sur des sites Web, il y a des fichiers, des images, des pages Html, etc. Ils sont enregistrés avec vous (tous peuvent ne pas être enregistrés ou partiellement). Peut-être que le mode d'analyse sera utile à quelqu'un.

4. - Mode mot de passe - Des cookies s'affichent ici, avec chance les mots de passe saisis par la victime et les sites visités. Avec le protocole Https, tout est souvent réduit à zéro et seuls les cookies auront de la chance. Mais grâce à certains paramètres, il peut parfois être contourné (plus à ce sujet plus tard).

5.. Ici, nous chercherons nos victimes. Pour ce faire, cliquez avec le bouton droit de la souris dans la fenêtre et sélectionnez Smart scan.

Tous les périphériques du réseau et leur système d'exploitation approximatif seront affichés.

L'adresse IP furtive est votre adresse IP cachée, sous laquelle vous vous cachez dans votre travail.

Considérons le mode plus en détail.

Si vous cliquez sur "Détection des promesses", alors les appareils les plus susceptibles d'intercepter le trafic (souvent erronés) seront affichés ... Attention, car cela peut montrer que votre routeur est également un intercepteur.

En cliquant sur un certain Ip, vous pouvez ajouter une victime à Nat (Ajouter à nat) afin de poursuivre l'interception.

De plus, si vous sélectionnez «Analyser les ports», vous pouvez analyser les ports ouverts. Les fonctions sont loin de Nmap, mais si seulement ce programme est à portée de main, il fera l'affaire.

Il n'y a rien de plus intéressant ici.

6. Mode Nat... Mode Nat - Le mode principal dans lequel nous allons travailler. C'est là que la préparation de base et les attaques ARP sont effectuées.

Dans cet article, je ne me concentrerai pas dessus, nous l'examinerons dans le prochain.

7. Mode DHCP... Mode DHCP - Vous permet d'élever votre serveur DHCP au sein du réseau. Je n'ai pas travaillé avec ce mode et je ne peux rien suggérer à ce sujet.

8. Mode RAW - Mode brut. À distance similaire au programme Wireshark. Affiche l'activité principale sur le réseau. Parfois, vous pouvez attraper quelque chose d'intéressant, si bien sûr vous savez quoi chercher.

neuf. Paramètres d'intercepter-ng. Une partie importante, alors regardons de plus près.

Verrouiller sur le plateau - Lorsque le programme est minimisé, un mot de passe sera mis dans le bac. Le mot de passe par défaut est 4553.

Sauver la session - enregistre automatiquement les rapports dans des fichiers PCAP pour une étude et une analyse plus poussées.

Promiscuous - "Mode désordonné". Lorsqu'il est activé, le programme lit tous les paquets. S'il n'est pas installé, il ne lit que les paquets envoyés à l'interface spécifiée. Tous les modules Wi-Fi ne peuvent pas fonctionner avec. Je ne sais pas à quoi ça sert, je n'ai pas remarqué la différence avec et sans.

Sauvegarde automatique... Enregistre automatiquement les rapports au format texte dans le dossier racine avec le programme.

Vue Grille... Vue sous forme de tableaux. Si désactivé, les rapports à l'intérieur du programme iront dans une liste. Voyez comment c'est plus pratique, avec ou sans lui.

Ios Killer et Cookie Killer... Presque identique. Cookie killer est conçu pour que si la victime a déjà enregistré un mot de passe sur le site, elle quitte le site et devra y entrer de nouveau, et donc vous recevrez un mot de passe. Ios killer est conçu pour Iphone et Ipad, de sorte que la victime quitte les programmes clients sociaux (VK, facebook, Icloud, etc.).

Rétrogradation de Kerberos.Kerberos est un protocole réseau, l'un des types d'authentification. Grâce à la fonctionnalité, en utilisant smb hijaking, vous pouvez contourner cette protection. Je n'ai moi-même pas respecté un tel protocole, nous ne l'envisagerons donc pas.

Hsts... Une astuce intéressante pour contourner les Hst de la dernière version, mais pas entièrement stable. L'essentiel est que de nombreux sites passent automatiquement du protocole sécurisé Http au protocole sécurisé Https, ce qui nous empêche d'intercepter les données. La bande SSl ne fait pas toujours face, donc cette fonction peut parfois aider, je ne décrirai pas le principe (vous pouvez le trouver sur Habré).

La seule chose que vous devez faire dans le dossier avec le programme est d'ajouter le domaine requis au fichier misc \\ hsts.txt. Certains populaires sont déjà là. L'essentiel est que vous devez attribuer une lettre au domaine principal. Par exemple vk.com:vvk.com ou ok.ru:oks.ru et ainsi de suite.

Le programme remplacera la page d'autorisation protégée sur le site par une falsifiée, mais l'autorisation Ip reste comme sur la page principale.

Dans mon exemple, cela fonctionne parfois une fois sur deux, mais mieux que rien. Expérience en général.

Configuration de Wpad. Entrez WPAD-WebProxy Auto-Discovery ou activez le proxy Wpad standard. Pour l'activer, en mode Nat, cochez la case Wpad mitm.

En mode Exppert (icône planète), nous pouvons être intéressés par la case à cocher Auto ARP poison. Autrement dit, lorsque les gens se connectent au réseau, ils seront automatiquement ajoutés au mode nat.

Il n'y a plus rien à considérer dans la section Paramètres, donc plus loin.

10. - Exploit HeartBleed - recherchez la vulnérabilité HeartBleed.

11. - Mode Bruteforce - brute pour certains protocoles cibles. Vous devez connaître le nom d'utilisateur. Il existe des mots de passe pour brute dans le programme et vous pouvez utiliser votre propre dictionnaire.

12. Montre ARP - dans ce mode, vous pouvez observer si une attaque ARP est en cours (écoutes téléphoniques, etc.) en cas d'attaque, en mode Nat un avertissement sera affiché en temps opportun.
13. Cage ARP - Cellule Arp. Isole l'hôte. Redirige la victime vers une adresse IP différente. utile si vous suspectez du spam sortant, etc.

Ce sont en fait toutes les informations que je peux trouver et distinguer.

Sur le site Avi1.ru Des reposts VK très bon marché sont déjà disponibles à la commande. Dépêchez-vous de faire un achat rentable alors que le service offre des remises de gros vraiment importantes. Vous pouvez également obtenir d'autres ressources sur n'importe quelle page du réseau: likes, vues d'enregistrements et de vidéos, abonnés, amis, etc.

Un peu sur le mode Nat.

Puisque tout le travail principal se déroulera directement via ce mode, je vais essayer de décrire ce que nous allons rencontrer.

IP du routeur - directement l'adresse IP du routeur auquel ils sont connectés. Elle est automatiquement détectée lorsque vous exécutez Smart Scan en mode Scan.

Stealth Ip - Votre Ip caché.

Nat cliens - les «victimes» attaquées sont affichées ici.

Options Mitm.

Configurer mitms - Les attaques Mitm de base sont activées / désactivées ici.

J'en examinerai deux: SSL Mitm et SSL Strip.

SSL mitm - Une technique qui remplace les certificats de la victime.

Requis lors de l'interception de données. Malheureusement, de nombreux navigateurs et clients sur téléphones mobiles ont appris à les bloquer, à nous avertir ou même à nous empêcher d'accéder à Internet.

Ssl Strip - Aussi une fonction dont nous avons souvent besoin. SSL est plus caché. Technique "silencieuse" pour intercepter les connexions HTTPS. Il n'y a pas d'usurpation de certificat ici, il est donc plus difficile à calculer et il n'y a pas d'avertissement de sécurité. Requis lors de l'utilisation du cookie killer. quand on a besoin de glisser un dossier à la victime, etc. Nous examinerons plus en détail dans le prochain article.

Changeur de trafic - substitution de trafic. Fonctionnalité inutile pour le plaisir. Usurpation d'une requête Http à la victime (par exemple, une personne souhaite accéder à un site et la transmettre à un autre). Mais tout n'est pas fluide ici, plus de détails dans le prochain article.

Configurer l'injection http - ici, nous configurons la victime pour télécharger le fichier dont nous avons besoin. Cela peut être une image, un script ou un programme inoffensifs. Plus de détails dans le prochain article.

Les boutons Start arp poison et Start nat commencent notre attaque. Lorsque vous activez Start arp poison, le second est immédiatement activé. Mais avant de l'activer, vous devez l'activer - Commencez à renifler en haut, à côté du choix de l'interface du routeur.

C'est en fait tout dans cet article, je suis surpris de votre extrait si vous lisez jusqu'à présent. Si vous avez quelque chose à corriger ou à ajouter, écrivez dans les commentaires et je l'ajouterai à l'article.

Un de ces jours, j'envisagerai déjà de travailler avec Intercepter-ng dans la pratique. Alors restez avec nous jusqu'à ce que nous nous revoyions.

Et n'oubliez pas - Big Brother vous regarde!

Description d'Intercepter-NG

Intercepter-NG est un ensemble multifonctionnel d'outils de mise en réseau pour les professionnels de l'informatique de différents types. L'objectif principal est de récupérer des données intéressantes à partir d'un flux réseau et d'effectuer divers types d'attaques de type `` homme du milieu '' (MiTM). En outre, le programme vous permet de détecter l'usurpation d'ARP (peut être utilisé pour détecter les attaques de type "man-in-the-middle"), d'identifier et d'exploiter certains types de vulnérabilités, les informations de connexion par force brute des services réseau. Le programme peut fonctionner à la fois avec un flux de trafic en direct et analyser les fichiers avec le trafic capturé pour détecter les fichiers et les informations d'identification.

Le programme offre les fonctionnalités suivantes:

Renifler les mots de passe / hachages des types suivants: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC ++, VNC, MYSQL, ORACLE, NTLM, KRB5 , RAYON
Reniflage des messages de chat: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
Reconstruction de fichiers depuis: HTTP, FTP, IMAP, POP3, SMTP, SMB
Différents types de scan tels que Promiscuous, ARP, DHCP, Gateway, Port et Smart Scan
Capture de paquets et analyse post (hors ligne) / mode RAW (brut)
Capture de trafic à distance via le démon RPCAP et PCAP sur IP
NAT, CHAUSSETTES, DHCP
ARP, DNS sur ICMP, DHCP, SSL, SSLSTRIP, WPAD, relais SMB, SSH MiTM
Hijack SMB, relais LDAP, injection MySQL LOAD DATA
ARP Watch, ARP Cage, HTTP Injection, Heartbleed Exploit, Kerberos Downgrade, Cookie Killer
Usurpation DNS, NBNS, LLMNR
Brute force divers services réseau

La version principale fonctionne sous Windows, il existe une version console pour Linux et une version pour Android.

Licence: "telle quelle"

Modes Intercepter-NG

Intercepter-NG dispose de sept modes principaux, qui correspondent au nombre d'onglets de programme et au nombre de boutons principaux:

Voici les modes:

Messagers
Résurrection
Mots de passe
Balayage
RAW (brut)

Mettez en premier lieu Mode messager (Logo ICQ). Cela s'est produit pour des raisons historiques - à l'origine, Intercepter-NG a été créé en tant que programme d'interception des messages d'ICQ et d'autres messageries instantanées.

Mode de résurrection (le logo sur le bouton est Phoenix) signifie la récupération de fichiers à partir d'un flux réseau. Il peut s'agir de fichiers d'images consultées sur des sites Web, ainsi que de fichiers d'archives transférées, de documents et autres.

Lors du passage à Mode mot de passe (le troisième bouton est le trousseau), vous verrez les informations d'identification capturées à partir du flux réseau. Les adresses de site, les identifiants et les mots de passe saisis sont affichés.

Lorsque vous démarrez le programme s'ouvre Mode de balayage (bouton du milieu - radar). Il s'agit du mode initial de démarrage des attaques: cet onglet est utilisé pour scanner, sélectionner des cibles et définir d'autres paramètres réseau.

Languette MiTM (faisceau de cordons de brassage) contient des champs permettant de saisir les paramètres cibles, dont beaucoup sont remplis automatiquement lors de la numérisation dans l'onglet Numérisation. Il existe également des boutons pour lancer une variété d'attaques MiTM.

Languette DHCPcontient certains paramètres de réseau et de serveur DHCP.

Mode RAW (brut) affiche des informations brutes sur les données transmises dans le flux réseau. Les informations sont présentées sous une forme similaire à.

Conseils d'utilisation et de dépannage d'Intercepter-NG:

Intercepter-NG nécessite WinPcap pour fonctionner, mais n'a pas besoin d'être installé séparément car Intercepter est livré avec une version portable de WinPcap.
Si vous ne voyez pas votre adaptateur dans la liste des adaptateurs, cela signifie que WinPcap ne prend pas en charge votre carte.
Si rien ne fonctionne avec la carte WiFi, même la gravure ARP, utilisez l'icône NIC située sur le côté gauche de la liste des adaptateurs pour passer en mode WiFi. Assurez-vous également que l'IP Stealth dispose d'un accès Internet.
Dans certaines situations rares, le service Base Filtering Engine (BFE) peut bloquer les ports d'intercepteur locaux. Cela se manifeste comme ceci: ARP fonctionne, mais les autres fonctions MiTM ne fonctionnent pas (sous Windows 7 et supérieur). Les antivirus comme Avast peuvent également les bloquer même si la protection réseau est désactivée dans le panneau de configuration. Une autre raison de ce comportement peut être le fonctionnement simultané de la connexion WiFi et du service de partage de connexion Internet.
Intercepter prend en charge l'encapsulation 802.11, vous pouvez donc utiliser des vidages pcap à partir de programmes et. Les encapsulations PPPoE, GRE (PP2P) et les en-têtes 802.11 en option sont également pris en charge. Cela ne signifie pas qu'Intercepter peut analyser des données chiffrées, cela signifie qu'Intercepter est capable de supprimer les en-têtes ethernet \\ ip des paquets de ce type et de les analyser.
En raison des limitations du protocole, la source et la destination de UIN \\ MAIL \\… peuvent ne pas être affichées dans l'onglet des messages de discussion.
Pour copier les données de la table des mots de passe, cliquez sur la ligne et appuyez sur ctrl + c.
Pour masquer la fenêtre du programme, utilisez le raccourci clavier Ctrl + Alt + S. Cliquez à nouveau dessus pour réapparaître la fenêtre.
Intercepter peut même fonctionner sur win9x (98 et 95!), Mais vous devez installer WinPcap 3.1 ou WinPcap 4.0beta2. Les versions plus récentes de WinPcap ne prennent pas en charge win9x.
Mode console pour l'analyse hors ligne:

./intercepter -t dump.cap

Pour activer le reniflement automatique, vous devez ouvrir settings.cfg et modifiez " autorun". La valeur par défaut est 0 , changez le numéro de l'interface que vous allez renifler.
Intercepter convertit les vidages pcap encapsulés IP bruts en encapsulation Ethernet (en ajoutant des informations d'en-tête Ethernet).
Intercepter peut lire un nouveau format - pcapng. Puisque tous les fichiers de capture pcapng Wireshark utilisent uniquement le type «Enhanced Packet Block», Intercepter ne prend en charge que ce type de bloc de paquets. De plus, il affiche des commentaires sur les packages.
En mode RAW, vous pouvez définir vos propres règles en utilisant des filtres pcap pour filtrer le trafic. Voir la syntaxe de filtrage pcap pour plus de détails. Exemple:

port 80

signifie recevoir uniquement des paquets du port tcp 80 du noyau.

Pas le port 80

signifie exclure les paquets du port 80

Vous pouvez combiner des règles:

Port 80 et non port 25

Vous ne devez pas travailler avec d'énormes vidages en mode brut, car Intercepter charge chaque paquet en mémoire et n'utilise pas le disque dur comme partition d'échange (fichier).

Conseils sur les options Intercepter-NG

Options de renifleur:

Si vous envisagez d'effectuer une analyse de vidage pcap hors ligne, décochez la case " Résoudre les hôtes”.
Si vous cochez l'option " Verrouiller sur le plateau", puis lors de la restauration d'une fenêtre depuis la barre d'état, un mot de passe vous sera demandé. Le mot de passe par défaut est" 4553 ". Vous pouvez le modifier dans le fichier settings.cfg... Le mot de passe est encodé en base64.
Option " Sauver la session"signifie qu'Intercepter enregistrera tous les paquets reçus dans un fichier pcap. Ce fichier peut être utilisé pour l'analyse des données hors ligne. Il s'agit d'une sorte de fonction d'exportation de résultats.
Si vous installez Promiscuouspuis Intercepter ouvre la carte réseau en mode promiscuité. Cela signifie qu'il lira tous les paquets, même ceux qui ne sont pas destinés à l'interface réseau donnée. Si la case n'est pas cochée, il ne lira que les paquets qui sont envoyés à l'interface spécifiée. Certaines cartes Wi-Fi ne prennent pas en charge ce mode.
“Données uniques”- affiche uniquement les identifiants et mots de passe uniques. Ceux. afficher les identifiants et mots de passe capturés une seule fois - si l'utilisateur saisit à nouveau le même identifiant et le même mot de passe, ils ne seront pas affichés.
Sauvegarde automatique - toutes les informations textuelles seront enregistrées toutes les 10 secondes.
Par défaut, il y a une coche sur " Vue Grille». Cela signifie que les mots de passe ressembleront à une grille de données. Pour afficher des informations détaillées complètes, décochez la case " Vue Grille”.
extrême.Dans un flux de travail typique, le sniffer analyse les ports prédéfinis associés à des protocoles spécifiques. Si nous disons http, nous voulons dire le port 80 (ou 8080 ou tout ce qui est prédéfini dans la liste des ports associés au protocole http). Ceux. seuls ces ports seront analysés. Si certaines applications utilisent un port différent, par exemple 1234, le sniffer n'analysera pas les paquets qui le traversent. En mode extrêmeIntercepter analysera tous les paquets TCP sans vérifier les ports. Ceux. même si une application utilise un port non défini, le sniffer vérifiera toujours ces paquets. Bien que cela ralentisse les performances (il y a beaucoup plus de ports à vérifier que d'habitude) et peut révéler de mauvaises données ou manquer le bon protocole (6 par exemple, FTP et POP3 utilisent le même type d'authentification), cela permet de trouver et d'intercepter des données intéressantes sur des ports non définis. Utilisez ce mode à vos risques et périls, ne soyez pas surpris si quelque chose ne va pas lorsque le mode eXtreme est activé.
"Capture uniquement"signifie qu'Intercepter ne videra les paquets que dans un fichier de vidage sans analyse en temps réel. Ceci est utile pour améliorer les performances lorsque vous capturez beaucoup de données réseau.
Option Résurrectionsignifie l'inclusion du mode Résurrection, qui reconstruit les fichiers à partir des données transmises dans le flux réseau.
Ports de messagerie instantanée
HTTP... Ports associés HTTP, voir la description de l'option pour plus de détails extrême.
CHAUSSETTES
IRC \\ BNC

Options d'attaque Intercepter-NG Man-in-the-Middle (MiTM)

Dans toutes les attaques MiTM, Intercepter utilise l'usurpation d'identité (spoofing) des adresses ip \\ mac (option Usurpation d'adresse IP \\ MAC). Si vous utilisez une interface Wi-Fi, vous devez décocher cette option, car 99% des pilotes wifi n'autorisent pas l'envoi de paquets avec un mac usurpé. Bien que vous divulguiez votre véritable adresse, vous êtes au moins capable d'effectuer des attaques MiTM via l'interface wifi. C'est mieux que rien. Au lieu de désactiver l'usurpation d'identité dans les paramètres, utilisez le mode WIFI. Vous pouvez changer le mac affiché en mode expert.
tueur iOS a été ajouté pour iCloud, ainsi que pour Instagram et VK. Cette fonction (iOS Killer) supprime les sessions des applications spécifiées et permet l'interception de la ré-autorisation.
Rétrogradation de Kerberos
Spoofing HSTS... Contournement du HSTS lors de la réalisation d'une bande SSL. La technique de contournement est relativement simple, mais c'est dans l'implémentation qu'il y a certaines difficultés, il ne faut donc pas s'attendre à des résultats particuliers. Prenons un exemple sur Yandex Mail en utilisant le navigateur Chrome. Si vous allez sur ya.ru, alors dans le coin supérieur droit, il y aura un lien https "Enter mail", que SSL Strip peut facilement gérer. Ensuite, un formulaire d'autorisation s'ouvrira, où les données sont transférées vers passeport.yandex.ru en utilisant la méthode POST. Même en "striping", l'autorisation https sera effectuée via SSL, car l'hôte passeport.yandex.ru est répertorié dans la liste de chrome préchargée. Afin d'intercepter les données, nous devons remplacer le nom d'hôte passeport.yandex.ru par autre chose, afin que le navigateur ne détecte pas que cette ressource doit être visitée strictement via une connexion sécurisée. Par exemple, vous pouvez remplacer passeport.yandex.ru par paszport.yandex.ru, dans ce cas, les données seront envoyées en texte clair au nom de domaine modifié. Mais depuis il n'y a pas de tel domaine - paszport.yandex.ru, alors il est en outre nécessaire de faire du DNS Spoofing, c'est-à-dire Lors de la conversion de paszport.yandex.ru, le client doit recevoir en réponse l'adresse IP d'origine de passport.yandex.ru.

Cette procédure est automatisée et ne nécessite pas d'intervention supplémentaire de l'utilisateur lors d'une attaque. La seule chose à faire est de dresser une liste préliminaire des remplaçants en misc \\ hsts.txt... Par défaut, il existe plusieurs entrées pour yandex, gmail, facebook, yahoo. Il est important de comprendre que cette technique de contournement ne vous permettra pas d'intercepter la session ou l'autorisation si l'utilisateur entre facebook.com dans le navigateur, car le navigateur ouvrira immédiatement la version sécurisée du site. Dans ce cas, l'attaque n'est possible que si le lien vers facebook.com provient d'une autre ressource, par exemple lors de la saisie de facebook sur google.com. Les principaux problèmes dans la mise en œuvre de l'attaque incluent la logique imprévisible du fonctionnement des sites avec leurs sous-domaines et les particularités du code Web, qui peuvent annuler toute tentative de contournement du HSTS. C'est pourquoi vous ne devez ajouter aucun site à la liste, même les domaines présents dans Intercepter-NG ont leurs propres caractéristiques par défaut et ne fonctionnent pas toujours correctement. Je ne veux pas mettre de béquilles pour chaque ressource, peut-être que dans le futur des améliorations universelles seront apportées, mais pour le moment, comme on dit, tel quel. Une nuance de plus, dans l'implémentation actuelle de DNS Spoofing "et il est nécessaire que le serveur DNS ne soit pas sur le réseau local, pour qu'il soit possible de voir les requêtes DNS à la passerelle et d'y répondre si nécessaire.

Transfert IP... Active le mode de transfert IP pur. Les attaques MiTM ne sont pas disponibles dans ce mode, mais il vous permet de démarrer la gravure d'arp dans les situations où vous ne pouvez pas utiliser Stealth IP. Cela est généralement nécessaire lorsque la passerelle a une liste blanche d'ordinateurs légitimes sur le réseau, de sorte que NAT ne peut pas fonctionner correctement.
Tueur de biscuits - efface les cookies, forçant ainsi l'utilisateur à ré-autoriser - saisissez un nom d'utilisateur et un mot de passe afin qu'un attaquant puisse les intercepter. La fonction Cookie Killer fonctionne également pour les connexions SSL. Il y a du noir ( misc \\ ssl_bl.txt) et la liste blanche ( misc \\ ssl_wl.txt). Ils peuvent être utilisés pour exclure ou spécifier de manière rigide des adresses IP ou des domaines auxquels SSL MiTM doit ou ne doit pas être appliqué. Lors de la spécification d'un port ssl supplémentaire, il n'est pas nécessaire de spécifier le type de lecture / écriture, il suffit de spécifier le numéro de port. Tout le trafic est écrit sur ssl_log.txt.
Capture à distance (RPCAP). Libpcap permet d'envoyer des données réseau d'un hôte à un autre via son propre protocole, appelé RPCAP. Ceux. vous pouvez afficher le démon rpcap sur votre passerelle et voir tout le trafic qui le traverse. Après avoir démarré le démon, vous pouvez commencer à capturer le trafic distant à l'aide d'Intercepter. Entrez le nom d'hôte ou l'adresse IP du démon dans le champ fourni, puis sélectionnez l'adaptateur dans la liste. Ensuite, vous devez définir le filtre «IP non hôte», en remplaçant «IP» par une adresse IP valide attribuée à votre carte Ethernet (ceci est nécessaire pour ignorer le trafic rpcap entre vous et le démon).
PCAP sur IP

Cette fonctionnalité est liée à la capture du trafic à distance et constitue un excellent remplacement pour l'ancien et problématique service rpcapd. Le nom parle de lui-même. Presque tous les Unix ont toujours un tas de tcpdump et netcat, avec lesquels vous pouvez enregistrer le trafic vers un ordinateur récepteur distant. Dans ce cas, Intercepter peut ouvrir le port en attendant un flux de données au format libpcap et l'analyser en temps réel.

Il n'y a pas de différence fondamentale dans la source du trafic, par conséquent, en plus de tcpdump, vous pouvez utiliser l'utilitaire cat pour lire un journal.pcap existant de la même manière.

Voici quelques exemples d'utilisation, par défaut Intercepter écoute sur le port 2002:

Tcpdump -i face -w - | nc IP 2002

si vous prévoyez de transmettre le trafic via la même interface à partir de laquelle la capture est effectuée, vous devez ajouter une règle de filtrage qui exclut le trafic de service entre le serveur et l'intercepteur:

Tcpdump -i face -w - pas le port 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

c'est un analogue de tcpdump "et inclus dans le. Flag -P indique que les paquets doivent être enregistrés au format standard libpcap et non dans le nouveau pcapng.

Autre moyen de transférer des paquets sans l'aide de netcat:

Tcpdump\u003e / dev / tcp / ip / port

WPAD signifie "WebProxy Autodiscovering Protocol" qui correspond à la fonction "Détecter automatiquement les paramètres" dans les navigateurs modernes. Cette fonction permet au navigateur d'obtenir la configuration actuelle du proxy sans intervention de l'utilisateur. Il s'agit d'une menace encore aujourd'hui, et un attaquant peut facilement configurer un serveur malveillant pour intercepter le trafic Web. La situation est aggravée par le fait qu'Internet Explorer (et Chrome aussi) prend en charge cette fonctionnalité par défaut.

En règle générale, WPAD n'est pas configuré sur le réseau, de sorte que le comportement habituel des navigateurs consiste à envoyer des requêtes NetBios pour le nom «WPAD» (en contournant les méthodes DHCP et DNS). Si aucune réponse n'est reçue, le navigateur utilise simplement une connexion directe. Mais si une réponse est reçue, le navigateur essaie de télécharger le fichier de configuration depuis http: /ip_of_wpad_host/wpad.dat.

Intercepter-NG répondra à chaque demande et demandera aux clients d'utiliser sa propre configuration afin de pouvoir renifler le trafic via le serveur proxy. Vous pouvez personnaliser votre propre configuration pour tout autre proxy sur le réseau, ou simplement choisir le proxy intégré. Le proxy intégré permet l'utilisation de la fonction d'injection HTTP.

Options du mode expert d'Intercepter-NG

Délai d'expiration de la bande SSL (secondes) - Timeout en secondes SSL Strip
ARP Poison toutes les (secondes) - Faites une gravure ARP toutes les ... secondes
Délai de scan ARP (secondes) - Délai de scan ARP
DNS Cache TTL (secondes) - Durée de vie du cache DNS
Usurpation d'identité MAC - Adresse MAC à laquelle l'adresse de l'attaquant sera substituée
Injection de MySQL LOAD DATA
Relais LDAP DN: DC \u003d xxx, DC \u003d xxx
Arrêter l'injonction sur la demande NBNS
Supprimer la connexion SSH après l'authentification - Réinitialiser la connexion SSH après autorisation
Détournement SMB -\u003e Relais SMB
Poison ARP automatique - En mode automatique, il suffit d'ajouter 1 seul hôte à la liste des cibles, et Intercepter analysera le réseau lui-même à un certain intervalle et ajoutera automatiquement de nouvelles cibles.
Réinitialiser la table ARP- Réinitialiser la table ARP
Charge utile personnalisée pour SMB Hijack (64 Ko max)
Charge utile personnalisée pour GP Hijack
Exécuter Shell- Exécuter le shell
Exécutez HTTP NTLM Grabber

Types de scan

La numérisation est la première étape, c'est-à-dire que de nombreuses attaques MiTM commencent par elle. Pour afficher le menu de numérisation, accédez à la Mode MiTM et faites un clic droit sur le tableau.

Numérisation intelligente: Il combine l'analyse ARP et la découverte de passerelle. Aux informations habituelles sur les adresses IP et MAC, le fabricant de la carte réseau et le système d'exploitation, le nom de l'ordinateur s'affiche. Pour la même période, vous pouvez désormais trouver en plus le nom Netbios ou le nom de l'appareil exécutant iOS. Pour résoudre ce dernier, le protocole MDNS est utilisé, sur la base duquel fonctionne le protocole Bonjour d'Apple. Tous les noms reçus sont maintenant enregistrés dans un fichier cache et si, lors des analyses ultérieures, pour une raison quelconque, des informations sur le nom d'hôte n'ont pas été obtenues dynamiquement, elles seront extraites De plus, cette analyse montre l'IP Stealth et définit automatiquement l'IP de la passerelle (si elle est détectée) et l'IP Stealth dans les champs appropriés de l'onglet MiTM. La détection du système d'exploitation est également effectuée en fonction des valeurs TTL.
Analyse ARP (Analyse ARP): vérifie simplement le sous-réseau de classe C attribué à l'adaptateur Ethernet sélectionné. Par exemple, si votre IP est 192.168.0.10, alors 255 adresses IP dans la plage 192.168.0.1-255 seront vérifiées. Depuis la version 0.9.5, le programme vérifie le masque de réseau pour analyser correctement tous les sous-réseaux.
Découverte DHCP (Découverte DHCP): envoie des diffusions de découverte DHCP et attend les réponses des serveurs DHCP. Si des serveurs répondent, ajoutez-les à la liste.
Détection de promisc (découverte promiscuité des cartes réseau): envoie des requêtes ARP spéciales au réseau. Les hôtes qui répondent sont évidemment des renifleurs. Certaines cartes Ethernet (3COM) peuvent également répondre, c'est-à-dire que des faux positifs sont possibles.
Découverte de la passerelle (découverte de passerelle): envoie un paquet SYN à travers tous les hôtes du réseau, s'il y a une passerelle, une réponse sera renvoyée.

Techniques d'attaque Intercepter-NG Man-in-the-Middle (MiTM)

En appuyant sur le bouton Configurer les MiTM (chapeau avec oeil) La boîte de dialogue s'ouvre Attaques MiTM:

Il contient une liste des techniques prises en charge.

SSL MiTM

Il s'agit d'une ancienne technique classique d'usurpation de certificats. Vous permet d'intercepter les données de tout protocole protégé par SSL. Pris en charge en standard: HTTPS, POP3S, SMTPS, IMAPS. Tout port supplémentaire peut être spécifié en option.

Lors de l'interception HTTPS, les certificats sont générés «à la volée», copiant les informations d'origine de la ressource demandée. Pour tous les autres cas, un certificat statique est utilisé.

Naturellement, lors de l'utilisation de cette fonctionnalité, les avertissements du navigateur et d'autres logiciels clients sont inévitables.

La nouvelle version a complètement réécrit le code pour SSL MiTM. Il est désormais rapide et stable. L'algorithme de génération de certificats a également changé, des enregistrements DNS supplémentaires leur sont ajoutés et tous les certificats sont signés avec une seule clé ( misc \\ serveur). Cela signifie qu'en ajoutant ce certificat auto-signé à la liste des certificats de confiance sur l'ordinateur cible, il sera possible d'écouter le trafic SSL vers n'importe quelle ressource (là où il n'y a pas d'épinglage SSL). Fonction Tueur de biscuits fonctionne maintenant aussi pour les connexions SSL. Le noir est apparu ( misc \\ ssl_bl.txt) et la liste blanche ( misc \\ ssl_wl.txt). Ils peuvent être utilisés pour exclure ou spécifier de manière rigide des adresses IP ou des domaines auxquels SSL MiTM doit ou ne doit pas être appliqué. Lors de la spécification d'un port ssl supplémentaire, il n'est plus nécessaire de spécifier le type de lecture / écriture, il suffit de spécifier le numéro de port. Tout le trafic est écrit dans ssl_log.txt.

Bande SSL

SSL Strip est une technique silencieuse pour intercepter les connexions HTTPS. Pendant longtemps, la version de travail n'existait que sous unix, maintenant des actions similaires peuvent être effectuées dans l'environnement NT. L'essentiel est le suivant: l'attaquant est "au milieu", le trafic HTTP est analysé, tous les liens https: // sont identifiés et remplacés par http: // Ainsi, le client continue à communiquer avec le serveur en mode non sécurisé. Toutes les demandes de liens remplacés sont surveillées et les données sont fournies à partir des sources https d'origine en réponse.

Car aucun certificat n'est remplacé, alors il n'y a aucun avertissement. Pour simuler une connexion sécurisée, l'icône favicon est remplacée.

DNC<> ICMP

Il s'agit d'une technique totalement nouvelle, mentionnée précédemment ou non mise en œuvre. Il s'appuie sur le même ancien ICMP Redirect MiTM mais ouvre une nouvelle façon de renifler les données. La première étape de cette attaque est similaire à la redirection ICMP classique, avec une différence importante.

Le soi-disant «nouvel enregistrement» est le serveur DNS de la victime. Nous allons prendre le contrôle de toutes les requêtes DNS et faire de la magie avant que la victime n'obtienne les réponses.

Lorsque nous résolvons (résolvons) somehost.com, DNS nous envoie une réponse contenant une ou plusieurs réponses d'IP somehost.com. De plus, il peut contenir des réponses «supplémentaires», et nous allons également nous en occuper. Après avoir terminé la première partie de l'attaque, la victime commence à envoyer toutes les requêtes DNS via l'hôte de l'attaquant (NAT). Lorsque NAT reçoit une réponse du DNS, il lit toutes les adresses IP, puis envoie des messages de redirection ICMP à la victime avec l'adresse IP résolue.

Ainsi, au moment où NAT renvoie une réponse DNS à la victime, sa table de routage a déjà des entrées pour toutes les adresses traduites qui pointent vers notre hôte!

Cela signifie que nous reniflons non seulement le DNS de la victime, mais tout ce qui a été transformé. Tout le trafic sera usurpé via de faux IP / MAC.

Cette partie de l'attaque se fait du côté NAT, c'est pourquoi vous devez la configurer correctement.

Cochez la case "DNS over ICMP" puis remplissez:

L'IP du routeur est l'adresse IP de la passerelle par défaut utilisée par la victime.
L'IP du client est l'IP de la victime. Vous pouvez ajouter plusieurs cibles, mais n'oubliez pas de commencer par envoyer un paquet de redirection ICMP d'Intercepter vers chaque cible.

Après avoir ajouté des clients, vous devez mettre une adresse IP libre / inutilisée dans le champ «Nouvelle passerelle» et dans «IP furtif».

Sélectionnez un adaptateur, ils devraient être les mêmes que nous allons acheminer le trafic dans la même zone Ethernet.

Démarrez NAT.

Toutes les réponses DNS sont stockées dans une liste spéciale et NAT régulièrement (conformément à l'heure définie dans les paramètres) renvoie les redirections ICMP,

À la fin, vous devez faire une autre action. Vous ne pouvez pas "désinfecter" la table de routage de la victime (comme avec l'empoisonnement ARP), vous devez donc décocher "DNS ↔ ICMP" pour empêcher les redirections ICMP d'être renvoyées et attendre environ 10 à 15 minutes. Après cela, aucune nouvelle entrée ne sera ajoutée, mais les anciennes fonctionneront correctement via NAT jusqu'à ce qu'elles expirent.

WPAD MiTM

Voir la description de l'option pour plus de détails Configuration WPAD (PROXY: PORT).

Détournement de SMB

SSH MiTM

Vous pouvez intercepter les données d'authentification SSH (nom d'utilisateur / mot de passe) et voir toutes les commandes passant pendant la session à distance. 2 mécanismes d'authentification sont pris en charge: par mot de passe et interactif. Pour renifler les données de la victime, nous devons agir comme un vrai sshd et nous fournissons nos propres clés rsa / dsa. Si la clé d'hôte d'origine est mise en cache par la victime, un message d'avertissement apparaîtra, s'il n'est pas mis en cache, alors il n'y aura aucun signe d'attaque côté client.

Lorsque la victime est connectée, elle peut travailler comme d'habitude, exécuter des commandes et des programmes pseudo-graphiques tels que Midnight Commander. Intercepter intercepte les requêtes WINDOW_CHANGE, donc si la victime décide de redimensionner la fenêtre, tout sera correctement redessiné pour correspondre à la nouvelle taille de la fenêtre.

Le programme fonctionne avec une session distante, mais ne fonctionne pas avec SFTP. Si la victime lance un client SFTP, les données d'authentification seront interceptées, mais la connexion sera abandonnée et signalée. Ensuite, lorsque la victime essaie de se reconnecter, elle aura accès au serveur ssh d'origine en plus de notre faux sshd.

Il faut mentionner que l'attaquant se connecte au serveur distant et laisse son adresse IP dans les logs. En mode expert, vous pouvez sélectionner l'option permettant de supprimer la connexion ssh après avoir obtenu les informations d'identification de la victime. La connexion sera marquée et à la prochaine tentative, le programme autorisera l'accès au serveur d'origine.

Détournement de GP

Capacités supplémentaires pour les attaques Man-in-the-Middle (MiTM) dans Intercepter-NG

Les boutons permettant d'utiliser ces fonctionnalités se trouvent également dans la section Options MiTM (cubes, symbole JDownloader, seringue, écran et symbole de danger de rayonnement sur pied):

Traffic Changer (modifier les données de texte dans le flux de trafic réseau)

Seules les données de taille égale peuvent être remplacées sans changer la longueur du paquet. Disons que le navigateur ouvre site.com/file.txt, qui contient la chaîne "12345". En réponse à une requête GET, le serveur renverra un en-tête HTTP, qui indiquera la longueur des données transmises - Content-length: 5. Que se passe-t-il si nous remplaçons «12345» par «12356»? Le navigateur ne télécharge que 5 octets, supprimant le «6» ajouté, et si nous réduisons la taille des données en remplaçant «12345» par «1234», le navigateur ne recevra que 4 octets et attendra encore 1 octet du serveur jusqu'à ce que la connexion soit interrompue par temps libre. C'est pourquoi cette limitation de taille est faite. Vous pouvez modifier les données textuelles et binaires, la syntaxe des modèles binaires comme en C est "\\ x01 \\ x02 \\ x03".

Si une substitution dans le trafic HTTP est requise, dans les paramètres, vous devez activer l'option "Désactiver le codage gzip HTTP".

Usurpation d'identité

L'usurpation d'identité vous permet de rediriger les hôtes vers une adresse IP donnée. Les protocoles DNS, NBNS, LLMNR sont pris en charge.

Avec DNS, vous pouvez également spécifier un masque pour rediriger tous les sous-domaines. En général, domain.com: les paires IP sont définies, mais les sous-domaines ne seront pas usurpés. Pour les rediriger tous, ajoutez * (astérisque) avant le nom de domaine: * host.com

Téléchargement forcé et injection JS

Comme vous le comprenez, vous pouvez également ajouter un fichier .exe avec un contenu arbitraire au téléchargement forcé, et la source de ce fichier sera le site que l'utilisateur visite actuellement. Sachant que la cible va ouvrir adobe.com, vous pouvez lancer flashplayer.exe, et adobe.com ou l'un de ses sous-domaines sera répertorié comme la source de ce fichier.

Après une distribution unique, le forçage est désactivé, pour réinjecter vous devez cliquer à nouveau sur la case correspondante.

Le mode FATE combine deux nouvelles fonctions: FAke siTE et FAke updaTE.

L'objectif principal de FAke siTE est d'obtenir des données d'autorisation à partir de n'importe quelle ressource Web, en contournant SSL et d'autres mécanismes de sécurité. Ceci est réalisé en clonant la page d'autorisation et en créant un modèle qui sera placé sur le pseudo-serveur Web intégré. Par défaut, l'intercepteur inclut un modèle pour accounts.google.com, car la page d'origine vous demande de remplir un par un le champ avec le login, puis avec le mot de passe. Ce modèle a été légèrement modifié pour rendre les deux champs actifs en même temps. Avant l'attaque, vous devez spécifier le domaine dans lequel le modèle sera hébergé. Après le début de l'attaque, une redirection vers le domaine sélectionné est injectée dans le trafic de la cible, et par la suite l'intercepteur effectuera automatiquement l'usurpation DNS vers les adresses requises. En conséquence, la page d'autorisation sélectionnée s'ouvrira dans le navigateur.

La fonctionnalité de FAke updaTE (fausses mises à jour) signifie l'apparition de messages sur le logiciel installé sur la «victime» et le téléchargement d'un fichier de mise à jour qui semble contenir une charge utile. La liste des logiciels pris en charge est très limitée. Si vous le souhaitez, vous pouvez ajouter vos propres modèles, leur structure se trouve dans misc \\ FATE \\ updates.

ARP Poison (gravure ARP)

Cela fait partie de l'attaque classique de l'homme du milieu. Cette attaque commence par l'analyse des hôtes. Lorsque des hôtes sont trouvés et que certains d'entre eux sont sélectionnés comme cibles, l'empoisonnement ARP commence, à la suite de quoi les hôtes attaqués commencent à transférer leur trafic non pas vers la passerelle, mais vers l'attaquant. L'attaquant examine (renifle) ce trafic, effectue d'autres manipulations et l'envoie au serveur cible. Le serveur cible répond à l'attaquant (en tant que source de la requête), ce trafic est également reniflé, modifié et envoyé à la victime. En conséquence, aucun changement significatif ne se produit pour la victime - elle semble échanger des données avec un serveur distant.

Fonctionnalités supplémentaires d'Intercepter-NG

Les boutons de lancement de fonctions supplémentaires sont situés dans une section distincte de la colonne de droite de la fenêtre du programme:

Intercepter-NG possède son propre scanner de réseau, qui a remplacé le scanner de port primitif des versions précédentes. Ses principales fonctions:

Analysez les ports ouverts et détectez de manière heuristique les protocoles suivants: SSH, Telnet, HTTP \\ Proxy, Socks4 \\ 5, VNC, RDP.
Détectez SSL sur un port ouvert, lisez les bannières et divers en-têtes Web.
Si un proxy ou des soks sont trouvés, vérifiez leur ouverture vers l'extérieur.
Vérifiez l'accès sans mot de passe aux serveurs VNC, vérifiez SSL pour HeartBleed. Lisez version.bind depuis DNS.
Vérifiez la base de données pour la présence de scripts sur le serveur Web, potentiellement vulnérables à ShellShock. Vérifiez la liste des répertoires et fichiers pour 200 OK dans la base de données, ainsi que la liste des répertoires du fichier robots.txt.
Déterminez la version du système d'exploitation via SMB. Si vous disposez d'un accès anonyme, obtenez l'heure locale, la disponibilité, la liste des ressources partagées et des utilisateurs locaux. Pour les utilisateurs trouvés, une attaque automatique par force brute est lancée.
Déterminez par la liste intégrée d'utilisateurs SSH en mesurant le temps de réponse. Pour les utilisateurs trouvés, une attaque automatique par force brute est lancée. Si l'énumération ne fonctionne pas (elle ne fonctionne pas sur toutes les versions), l'énumération est lancée uniquement pour root.
Force brute automatique pour HTTP Basic et Telnet. Compte tenu des particularités du protocole telnet, des faux positifs sont possibles.

Toute cible peut être scannée, à la fois sur le réseau local et sur Internet. Vous pouvez spécifier une liste de ports à analyser: 192.168.1.1:80,443 ou la plage 192.168.1.1:100-200. Vous pouvez spécifier la plage d'adresses pour l'analyse: 192.168.1.1-192.168.3.255.

Pour un résultat plus précis, seuls 3 hôtes peuvent être analysés à la fois. Littéralement au dernier moment, des vérifications ont été ajoutées pour les données des certificats SSL, par exemple, si le mot Ubiquiti est rencontré et que le port 22 est ouvert, alors la force brute SSH de l'utilisateur ubnt est automatiquement lancée. Idem pour une paire de pièces de fer Zyxel avec l'administrateur. Pour la première version du scanner, la fonctionnalité est suffisante et elle est bien déboguée.

Exploit Heartbleed

Teste si la cible est vulnérable à HeartBleed. Si la cible est vulnérable, elle exploite cette vulnérabilité - elle reçoit une partie du contenu de la RAM de l'hôte distant.

Mode Bruteforce

L'attaque par force brute (force brute, force brute) est prise en charge pour les protocoles réseau suivants:

POP3 TLS
SMTP TLS
HTTP basique
Message HTTP
TELNET
VMWARE

Vous pouvez définir le nombre de threads dans lesquels les informations d'identification seront vérifiées.

Lorsqu'un délai d'expiration se produit, le thread actif est redémarré à partir du même endroit et le processus d'itération se poursuit.

Il y a Mode unique, ce qui indique que chaque nouvelle paire de login: password doit être vérifiée lors de l'établissement d'une nouvelle connexion, pour certains protocoles cela peut augmenter la vitesse de travail. Le journal de travail est enregistré dans brute.txt.

Fonctions ARP

Outre la gravure ARP et la numérisation ARP, il existe plusieurs autres fonctions liées à ARP. Deux d'entre eux sont placés dans des boutons séparés de la colonne de droite dans la fenêtre du programme:

Montre ARP: Service de surveillance ARP personnel intégré. Vous devez commencer par effectuer une analyse ARP pour remplir la liste des adresses MAC de confiance (propres). Si quelqu'un essaie d'empoisonner votre cache arp, un message d'avertissement apparaîtra.
Cage ARP: Isole l'adresse IP cible des autres hôtes locaux en usurpant les entrées de la table arp.

Exemples de lancement d'Intercepter-NG

Comment exécuter MiTM dans Intercepter-NG

Commencez par choisir une carte réseau ( Adaptateur de réseau):

Faites un clic droit sur une table vide et sélectionnez Analyse Intelligente:

Une liste de cibles s'affiche:

Ajoutez les cibles souhaitées ( Ajouter comme cible):

Pour commencer à renifler, cliquez sur l'icône correspondante:

Aller à l'onglet Mode MiTM (ceci est un globe avec des cordons de brassage) et cliquez sur l'icône Poison ARP (symbole de danger de rayonnement):

Dans l'onglet Mode mot de passe (le symbole est un trousseau), les informations d'identification capturées apparaîtront:

Travaillez avec le Wi-Fi et travaillez avec Ethernet

Lorsque vous travaillez avec des connexions Wi-Fi ou filaires, il n'y a pas de différences, mais vous devez passer au mode souhaité en cliquant sur l'icône:

Analyse hors ligne des fichiers de capture pcap

Il existe de nombreuses options qui peuvent ralentir ou accélérer le temps d'analyse.

Tout d'abord, si vous avez besoin de lire un fichier .pcap volumineux, désactivez l'option " Résoudre".
Si votre .pcap contient des fichiers volumineux et que la résurrection est activée, la vitesse peut chuter. La solution consiste à définir une limite sur la taille maximale des fichiers pour la restauration.
Si vous n'avez rien à faire de l'ingénierie inverse, désactivez cette option dans les paramètres. La vitesse augmentera.
Si vous devez analyser uniquement un protocole spécifique, par exemple ICQ \\ AIM ou uniquement HTTP, installez le filtre approprié " filtre pcap"de MODE RAW: port TCP xxxoù xxxEst le numéro de port de votre protocole.
Vous pouvez télécharger plus d'une capture pour analyse. DANS Ouvrir la boîte de dialogue sélectionnez plusieurs fichiers, tous seront analysés à leur tour.

Installation d'Intercepter-NG

Installation sur Linux Kali

Pour installer et exécuter Intercepter-NG dans Kali Linux, exécutez les commandes suivantes:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw\u003dtrue -O wine_pcap_dlls.tar.gz sudo apt installer libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump: i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap / wpcap.dll.so / usr / lib / i386-linux-gnu / wine sudo cp packet / packet. dll.so / usr / lib / i386-linux-gnu / wine rm -rf wine_pcap_dlls.tar.gz wpcap / packet / sudo apt installer winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Load Intercepter-NG v1. 0 et supprimez les fichiers dll wpcap.dll et Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw\u003dtrue -O Intercepter-NG .zip décompressez Intercepter-NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Installation sous Windows

Pour installer Intercepter-NG sous Windows, accédez à et téléchargez l'archive correspondante (sans lettres CE). Le programme ne nécessite pas d'installation, décompressez simplement l'archive et exécutez le fichier .EXE.

Installation sur Android

Pour installer Intercepter-NG sous Android, accédez à et téléchargez le fichier apk... Les droits root sont nécessaires pour exécuter l'application avec succès.

Captures d'écran Intercepter-NG

Après 10 ans de développement (c'est à quel point le projet a frappé), l'indice de la version Intercepter-NG a finalement atteint 1.0. Par tradition, les mises à jour pour Windows sont publiées une fois par an et la sortie anniversaire a vraiment été un succès. Je tiens à remercier toutes les personnes qui, au fil des ans, ont fourni une assistance dans les tests, ont donné des commentaires détaillés et idéologiquement inspirés. Commençons l'examen par les petites choses et à la fin, nous examinerons la fonctionnalité la plus délicieuse d'Intercepter-NG 1.0.

1. En mode RAW, vous pouvez désormais exporter les packages sélectionnés vers un fichier .pcap. Lorsque l'enregistrement automatique est activé, les packages contenant des données d'autorisation seront écrits dans un fichier.pcap distinct.

2. Dans le champ Ports SSL supplémentaires, qui est lié à SSL MiTM, vous pouvez désormais piloter plusieurs ports séparés par des virgules.

3. Dans une attaque de relais LDAP sur un contrôleur de domaine avec une langue autre que l'anglais, dans les paramètres experts, vous pouvez spécifier le groupe requis pour ajouter un utilisateur, par exemple, au lieu d'administrateurs de domaine, spécifiez les administrateurs de domaine équivalents en russe.

4. Correction d'un bogue dans le gestionnaire de hachage NTLMv2SSP qui ne permettait pas de deviner correctement le mot de passe.

5. De nombreuses améliorations du mode Bruteforce. Ajouté: prise en charge SSL pour HTTP, prise en charge UTF8 pour LDAP brute-force, protocoles VNC, Vmware Auth Daemon et RDP. La force brute RDP fonctionne sur Windows 7/8/2008/2012. NLA et les identifiants et mots de passe dans n'importe quelle langue sont pris en charge. La couche de sécurité RDP n'est pas prise en charge.

6. Ajout de l'option "Inject Reverse Shell" aux injections HTTP. Il s'agit d'un téléchargement forcé avec une charge utile rétroconnectée au shell intégré de l'intercepteur.

7. De nombreuses améliorations et changements en général. L'usurpation d'identité est désormais désactivée par défaut.

SORT

Le mode FATE combine deux nouvelles fonctions: FAke siTE et FAke updaTE.

Ce modèle a été légèrement modifié pour rendre les deux champs actifs en même temps. Avant l'attaque, vous devez spécifier le domaine dans lequel le modèle sera hébergé. Après le début de l'attaque, une redirection vers le domaine sélectionné est injectée dans le trafic de la cible, et par la suite l'intercepteur effectuera automatiquement l'usurpation DNS vers les adresses requises. En conséquence, la page d'autorisation sélectionnée s'ouvrira dans le navigateur. Le processus de clonage d'un site est également illustré dans la vidéo en utilisant mail.yandex.ru comme exemple.

Les amateurs de Linux sont familiers avec un outil appelé Evilgrade, qui vous permet d'exploiter le mécanisme de mise à jour automatique et d'implémenter une charge utile arbitraire. En fait, ce vecteur est largement surestimé, d'une part, la liste impressionnante des applications prises en charge dans Evilgrade est pour la plupart obsolète, et d'autre part, la plupart des applications les plus populaires vérifient les mises à jour de manière sûre.

Néanmoins, tout le monde a entendu parler d'omissions très médiatisées dans les mécanismes de mise à jour des grands fournisseurs et cela se produira certainement dans le futur, donc un analogue d'Evilgrade est apparu dans Intercepter-NG, mais la liste des logiciels pris en charge est très modeste. Si vous le souhaitez, vous pouvez ajouter vos propres modèles; leur structure peut être consultée dans miscFATEupdates. Envoyez le logiciel mis à jour ouvertement, nous reconstituerons la base de données.

X-Scan

Il y a de nombreuses années, j'aimais beaucoup un scanner de sécurité réseau de l'équipe chinoise Xfocus appelé X-Scan. Poids léger, design pratique, bonne fonctionnalité. Au milieu des années 2000, il vous a permis de créer beaucoup, mais plus tard son développement s'est arrêté et dans les réalités actuelles, il est de peu d'utilité. Pour cette raison, je voulais créer son homologue moderne, mais d'une manière ou d'une autre, cela n'a pas fonctionné… jusqu'à récemment. Pour le vieil amour, c'est sous ce nom qu'Intercepter-NG a son propre scanner de réseau, qui a remplacé le scanner de port primitif des versions précédentes. Alors, que sait-il comment.

1. Analysez les ports ouverts et détectez de manière heuristique les protocoles suivants: SSH, Telnet, HTTPProxy, Socks45, VNC, RDP.

2. Déterminez la présence de SSL sur un port ouvert, lisez les bannières et divers en-têtes Web.

3. Si un proxy ou un sox est trouvé, vérifiez leur ouverture vers l'extérieur.

4. Vérifiez l'accès sans mot de passe aux serveurs VNC, vérifiez SSL pour HeartBleed. Lisez version.bind depuis DNS.

5. Vérifiez la base de données pour la présence de scripts sur le serveur Web, potentiellement vulnérables à ShellShock. Vérifiez la liste des répertoires et fichiers pour 200 OK dans la base de données, ainsi que la liste des répertoires du fichier robots.txt.

6. Déterminez la version du système d'exploitation via SMB. Si vous disposez d'un accès anonyme, obtenez l'heure locale, la disponibilité, la liste des ressources partagées et des utilisateurs locaux. Pour les utilisateurs trouvés, une attaque automatique par force brute est lancée.

7. Déterminez par la liste intégrée d'utilisateurs SSH en mesurant le temps de réponse. Pour les utilisateurs trouvés, une attaque automatique par force brute est lancée. Si l'énumération ne fonctionne pas (elle ne fonctionne pas sur toutes les versions), l'énumération est lancée uniquement pour root.

8. Force brute automatique pour HTTP Basic et Telnet. Compte tenu des particularités du protocole telnet, des faux positifs sont possibles.

ps: la première version du manuel en russe paraîtra bientôt.

Site: sniff.su
Miroir: github.com/intercepter-ng/mirror
Courrier: [email protected]
Twitter: twitter.com/IntercepterNG
Forum: intercepterng.boards.net
Blog: intercepter-ng.blogspot.ru

Bonjour les amis.

Comme promis, je continue sur le programme Intercepter-ng.

Aujourd'hui, il y aura un aperçu de la pratique.

Attention: vous ne devez pas modifier les paramètres ou appuyer sans réfléchir sur les paramètres. Au mieux, cela peut ne pas fonctionner ou vous raccrocherez le Wi-Fi. Et j'ai eu un cas où les paramètres du routeur ont été réinitialisés. Alors ne pensez pas que tout est inoffensif.

Et même avec les mêmes paramètres que les miens, cela ne signifie pas que tout fonctionnera sans problème. Dans tous les cas, pour des affaires sérieuses, vous devrez étudier le travail de tous les protocoles et modes.

Commençons?

Interception des cookies et des mots de passe.

Commençons par l'interception classique des mots de passe et des cookies, en principe, le processus est le même que dans l'article, mais je vais le réécrire à nouveau, avec des clarifications.

À propos, les antivirus peuvent souvent déclencher de telles choses et réduire l'interception de données via Wi-Fi

Si la victime est assise sur un appareil Android ou IOS, vous pouvez vous contenter du seul fait que la victime n'entre que dans le navigateur (mots de passe, sites Web, cookies); si la victime utilise un client social pour VK, des problèmes surviennent déjà, ils cessent tout simplement de fonctionner. Dans la dernière version d'Intercepter NG, vous pouvez résoudre le problème en remplaçant le certificat de la victime. Plus à ce sujet plus tard.

Pour commencer, décidez généralement de ce que vous devez obtenir de la victime? Peut-être avez-vous besoin de mots de passe provenant de réseaux sociaux, ou peut-être simplement de sites. Peut-être que les cookies suffisent pour que vous alliez sous la victime et que vous fassiez quelque chose tout de suite, ou que vous ayez besoin de mots de passe pour une sauvegarde future. Avez-vous besoin d'analyser à l'avenir les images vues par la victime et certaines pages, ou vous n'avez pas besoin de ce truc? Savez-vous que la victime est déjà entrée sur le site (elle est déjà connectée lors de la transition) ou va-t-elle simplement saisir ses données?

Si vous n'avez pas besoin de recevoir des images de ressources visitées, de parties de fichiers multimédias et de voir certains sites enregistrés dans le fichier html, désactivez dans Paramètres - Ressurection. Cela réduira légèrement la charge sur le routeur.

Ce qui peut être activé dans les paramètres - si vous êtes connecté via un câble Ethernet, vous devez activer Spoof Ip / mac. Activez également le tueur de cookies (il permet de réinitialiser les cookies afin que la victime puisse quitter le site). Cookie killer appartient à SSL Strip Attack, alors n'oubliez pas de l'activer.

Il est également préférable que Promiscious soit activé, ce qui vous permet d'améliorer l'interception, mais tous les modules ne la prennent pas en charge ... Le mode Extreme peut être supprimé. Avec lui, parfois il intercepte plus de ports, mais des informations supplémentaires + la charge apparaissent ...

Tout d'abord, nous sélectionnons l'interface par laquelle vous êtes connecté à Internet et le type de connexion Wi-Fi ou Ethernet si vous êtes connecté via un câble au routeur.

En mode de numérisation, cliquez avec le bouton droit sur un champ vide et cliquez sur Smart scan. Tous les appareils du réseau sont scannés, il reste à ajouter les victimes nécessaires à Add nat.

Ou vous pouvez mettre n'importe quelle adresse IP, accéder aux paramètres - mode expert et cocher la case poison Auto ARP, auquel cas le programme ajoutera tous ceux qui sont connectés et se connecteront au réseau.

Il nous reste à passer en mode Nat.

Cliquez sur configurer mitms, ici SSL mitm et SSL strip sont utiles.

SSL mitm permet juste de gérer l'interception de données, bien que de nombreux navigateurs y réagissent, en avertissant la victime.

Bande SSL permet à la victime de passer du protocole sécurisé Https à HTTP, ainsi qu'au tueur de cookies de fonctionner.

Nous n'avons besoin de rien d'autre, nous appuyons sur start arp poison (icône de rayonnement) et attendons l'activité de la victime.

Dans la section du mode mot de passe, cliquez sur pkm et Afficher les coolies. Ensuite, vous pouvez cliquer sur cookie pkm et accéder à l'URL complète.

D'ailleurs, si la victime est sur les réseaux sociaux, il y a une chance que sa correspondance active apparaisse en mode Messagers.

Http inject (donne un fichier à la victime).

Mmm, option assez douce.

Vous pouvez glisser la victime pour télécharger le fichier. On ne peut qu'espérer que la victime lancera le fichier. Pour plus de plausibilité, vous pouvez analyser les sites que la victime visite, glisser quelque chose comme une mise à jour.

Par exemple, si la victime est sur VK, nommez le fichier vk.exe. peut-être que la victime commencera à décider qu'il est utile quoi.

Commençons.

Mode Bruteforce.

Le mode force brute et force brute des mots de passe.

L'une des façons de l'utiliser consiste à accéder par force brute au panneau d'administration du routeur. Aussi quelques autres protocoles.

Brutus a besoin

Dans le serveur cible, indiquez l'adresse IP du routeur, le protocole telnet, le nom d'utilisateur est le nom d'utilisateur, dans notre cas Admin.

En bas, il y a un bouton sur lequel un dossier est dessiné, vous cliquez dessus et ouvrez la liste des mots de passe (dans le dossier avec le programme, misc / pwlist.txt, il y a une liste de mots de passe fréquemment utilisés, ou vous pouvez utiliser votre propre liste).

Après le chargement, appuyez sur start (triangle) et allez boire du thé.

S'il y a des correspondances (un mot de passe est trouvé), le programme s'arrêtera.

il est nécessaire de connaître le nom d'utilisateur. Mais si vous souhaitez accéder au routeur, essayez celui par défaut - admin.

Comment faire de la brute.

Changeur de trafic (substitution de trafic).

La fonction est plus une blague. Vous pouvez changer pour que la victime entrant dans un site, aille vers un autre que vous entrez.

En mode trafic, à gauche, entrez la demande, à droite, le résultat, mais avec le même nombre de lettres et de symboles, sinon cela ne fonctionnera pas.

Exemple - à gauche, nous allons marteler une requête modifiable, à droite, nous avons besoin - de changer test1 en test2. (cochez Désactiver le gzip HTTP).

Après avoir entré, appuyez sur AJOUTER puis sur OK.

Enfin, une vidéo expliquant comment intercepter les données d'IOS des clients, car comme vous le savez, lors d'une attaque Mitm, leurs applications cessent tout simplement de fonctionner.

Bientôt, je tournerai une vidéo sur ce qui a été écrit dans l'article.

C'était l'interception de données Wi FI.

C'est fondamentalement ça. Il y a quelque chose à ajouter - écrire, il y a quelque chose à corriger, il suffit d'écrire.

Jusqu'à la prochaine fois.