Nuove funzionalità del leggendario scanner di sicurezza Interceptre-NG. Sniffer per Windows Interceptre-NG (istruzioni per l'uso) Funzioni aggiuntive Interceptre-NG

06.12.2020

Browser

Visto: 2890

Intro

Con grande piacere vorrei presentare una nuova versione di Interceptre-NG 0.9.10, che, a mio parere,
amplia notevolmente la portata dello strumento. Questa panoramica non verrà presentata come un elenco a secco.
innovazioni, ma piuttosto come descrizione di nuovi vettori di attacco insieme a una serie di dettagli tecnici ed elementi di hack-story. Iniziamo ...

Scansione di rete

Come sempre, sono state apportate molte correzioni e piccoli miglioramenti, che non ha senso elencare.
Chi utilizza spesso lo strumento sa che una delle modalità principali è la modalità scansione di rete e in particolare la funzione Smart Scan. Alle informazioni già note sugli indirizzi IP e MAC, sul produttore della scheda di rete e sul sistema operativo, è stata aggiunta la visualizzazione del nome del computer.
Per lo stesso periodo di tempo, ora puoi anche scoprire il nome Netbios o il nome del dispositivo con iOS.
Per risolvere quest'ultimo viene utilizzato il protocollo MDNS, sulla base del quale funziona il protocollo Bonjour di Apple. Tutti i nomi ricevuti sono ora archiviati in un file cache e se durante le scansioni successive per qualche motivo le informazioni sul nome host non sono state ottenute dinamicamente, verranno prese da Qui possiamo anche menzionare l'aspetto della funzione Auto ARP Poison, che è abilitata nelle impostazioni avanzate. Nella modalità automatica, è sufficiente aggiungere solo 1 host all'elenco dei target e Interceptre scansionerà la rete stessa a un certo intervallo e aggiungerà automaticamente nuovi target.

Modalità Bruteforce

In questa modalità, è stato aggiunto il supporto TLS per i protocolli SMTP e POP3, nonché l'autorizzazione TELNET a forza bruta.
Ora, quando si verifica un timeout, il thread attivo viene riavviato dalla stessa posizione e il processo di iterazione continua.
È apparso il Single Mode, che indica che ogni nuova coppia di LP deve essere controllata con la creazione di una nuova connessione, per alcuni protocolli ciò consente di aumentare la velocità di lavoro. Il registro di lavoro viene salvato in brute.txt.

Cambia traffico

Più di una volta ci sono state richieste per implementare la funzione di sostituzione del traffico e non sono state lasciate senza attenzione, ma non dovresti gioire prima del tempo.
A una contro domanda: "perché esattamente hai bisogno di questa opportunità?" alcuni utenti hanno avuto difficoltà a rispondere o hanno detto che stavano scherzando per cambiare le parole nel traffico web. E per non spiegare a tutti i burloni perché il risultato non sempre soddisfa le aspettative, è possibile sostituire solo dati di uguale dimensione senza modificare la lunghezza del pacchetto. La limitazione non è per nulla legata a problemi di implementazione tecnica, non c'è difficoltà a suddividere i frame ethernet con il ricalcolo dei corrispondenti campi tcp. Tutto dipende dai protocolli dell'applicazione. Diamo un'occhiata a un esempio con HTTP.

Supponiamo che il browser apra site.com/file.txt, che contiene la stringa "12345". In risposta a una richiesta GET, il server restituirà un'intestazione HTTP contenente la lunghezza dei dati trasmessi - Content-length: 5. Cosa succede se sostituiamo "12345" con "12356"? Il browser scarica solo 5 byte, scartando i "6" aggiunti, e se riduciamo la dimensione dei dati sostituendo "12345" con "1234", il browser riceverà solo 4 byte e attenderà un altro 1 byte dal server finché la connessione non viene interrotta da tempo scaduto. Questo è il motivo per cui viene applicata questa limitazione delle dimensioni. È possibile modificare sia dati testuali che binari, sintassi per schemi binari come in C - "x01x02x03".
Se è richiesta la sostituzione nel traffico HTTP, nelle impostazioni è necessario abilitare l'opzione "Disabilita codifica gzip HTTP".

HSTS Spoofing

Come promesso, esiste un bypass HSTS per SSL Strip. La tecnica di bypass è relativamente semplice, ma è nell'implementazione che ci sono alcune difficoltà, quindi non dovresti aspettarti risultati speciali. Consideriamo un esempio su Yandex Mail utilizzando il browser Chrome. Se vai a, nell'angolo in alto a destra ci sarà un collegamento https "Inserisci posta", che SSL Strip gestisce facilmente. Successivamente, si aprirà un modulo di autorizzazione, in cui i dati vengono trasferiti al metodo POST. Anche con lo "striping" di https, l'autorizzazione verrà effettuata tramite SSL. host passport.yandex.ru è nell'elenco di Chrome precaricato. Per intercettare i dati, dobbiamo sostituire il nome host passport.yandex.ru con qualcos'altro, in modo che il browser non rilevi che questa risorsa deve essere visitata rigorosamente su una connessione sicura. Ad esempio, puoi sostituire passport.yandex.ru con paszport.yandex.ru, in questo caso i dati verranno inviati in chiaro al nome di dominio modificato. Ma da allora non esiste un tale dominio - paszport.yandex.ru, quindi è inoltre necessario eseguire lo spoofing DNS, ad es. il cliente, quando risolve paszport.yandex.ru, dovrebbe ricevere in risposta l'indirizzo IP originale da passport.yandex.ru. Questa procedura è automatizzata e non richiede un intervento aggiuntivo da parte dell'utente durante un attacco. L'unica cosa necessaria è compilare prima un elenco di sostituzioni in mischsts.txt. Per impostazione predefinita, ci sono diverse voci per yandex, gmail, facebook, yahoo. È importante capire che questa tecnica di bypass non ti consentirà di intercettare la sessione o l'autorizzazione se l'utente accede a facebook.com nel browser. il browser aprirà immediatamente la versione protetta del sito. In questo caso l'attacco è possibile solo se il collegamento a facebook.com è preso da un'altra risorsa, ad esempio quando si accede a facebook all'indirizzo. Tra i problemi principali nell'implementazione dell'attacco, si può notare la logica imprevedibile del funzionamento dei siti con i loro sottodomini e le caratteristiche del codice web, che può annullare eventuali tentativi
bypassare l'HSTS. Ecco perché non dovresti aggiungere alcun sito alla lista, anche i domini presenti in Interceptre-NG hanno di default le loro caratteristiche e non sempre funzionano correttamente. Non voglio recintare stampelle per ogni risorsa, forse in futuro verranno apportati alcuni miglioramenti universali, ma per ora, come si suol dire, così com'è.
Un'altra sfumatura, nell'attuale implementazione per DNS Spoofing "ed è necessario che il server DNS non sia sulla rete locale, in modo che sia possibile vedere le richieste dns al gateway e rispondere ad esse secondo necessità.

È importante notare che la nuova versione migliora significativamente il lavoro della stessa SSL Strip.

Download forzato e JS Inject

Entrambe le innovazioni riguardano la modalità HTTP Injection. In russo, il download forzato può essere tradotto come "download forzato", perché questo è esattamente ciò che accade sul lato di destinazione durante la navigazione web. Entrando nel sito, si propone di scaricare il file specificato dall'aggressore, a seconda delle impostazioni del browser, può essere scaricato da solo e l'utente sceglierà già se avviarlo o meno.
Come hai capito, puoi aggiungere un file .exe con contenuto arbitrario al download forzato e la fonte di questo file sarà il sito che l'utente sta attualmente visitando. Sapendo che il target aprirà adobe.com, puoi emettere flashplayer.exe e adobe.com o uno dei suoi sottodomini saranno elencati come origine di questo file.
Dopo una singola erogazione, la forzatura viene disabilitata, per effettuare nuovamente l'iniezione è necessario premere nuovamente la casella di spunta corrispondente.

JS Inject non è esplicitamente presente tra i controlli, da allora in effetti, questo è il più comune inject http, ma con una differenza. Quando si sostituisce un file con un altro, ad esempio pictures.jpg per un dato file, avviene la sostituzione di un contenuto con un altro. Sostituire lo script .js con un'alta probabilità può interrompere il funzionamento della risorsa, quindi nella nuova versione js inject non sostituisce uno script con un altro, ma lo aggiunge a quello esistente, aggiungendo la possibilità di iniettare codice aggiuntivo senza intaccare quello originale.

SSL MiTM

Ci stiamo avvicinando senza intoppi alle novità più interessanti. La nuova versione ha riscritto completamente il codice per SSL MiTM. Ora è veloce e stabile. Anche l'algoritmo per la generazione dei certificati è cambiato, vengono aggiunti record DNS aggiuntivi e tutti i certificati vengono firmati con una singola chiave (miscserver). Ciò significa che aggiungendo questo certificato autofirmato all'elenco di quelli attendibili sul computer di destinazione, sarà possibile ascoltare il traffico SSL su qualsiasi risorsa (dove non è presente Pinning SSL). Cookie Killer ora funziona anche per le connessioni SSL. Aggiunte black list (miscssl_bl.txt) e white list (miscssl_wl.txt). Possono essere utilizzati per escludere o specificare rigidamente indirizzi IP o domini a cui SSL MiTM dovrebbe o non dovrebbe essere applicato. Quando si specifica una porta SSL aggiuntiva, non è più necessario specificare il tipo di lettura e scrittura, è sufficiente specificare il numero di porta. Tutto il traffico viene scritto in ssl_log.txt.

Dirottamento di criteri di gruppo

Un'altra caratteristica killer in Interceptre-NG. Nonostante il fatto che la tecnica non sia stata affatto scoperta da me, questa è la prima implementazione pubblica e completamente funzionale di questo attacco. È disponibile una descrizione dettagliata e.

Ancora una volta, SMB ha messo un maiale su Microsoft, perché grazie a questa vulnerabilità, in circa un'ora e mezza, è possibile ottenere l'accesso a qualsiasi computer del dominio (ad eccezione del controller di dominio). Qual è il punto.

Ogni 90+ \u200b\u200buna quantità casuale da 0 a 30 minuti, un membro del dominio richiede criteri di gruppo dal controller di dominio. Ciò avviene tramite SMB, aprendo l'indirizzo di rete DCSYSVOLdomain.namePoliciesUUIDgpt.ini.

Il contenuto di questo file è il seguente:

Versione \u003d 12345

Questo numero è la versione relativa dei Criteri di gruppo correnti. Se la versione non è cambiata dall'ultimo aggiornamento, il processo per ottenere i criteri di gruppo si interrompe, ma se la versione è diversa, è necessario aggiornarli. In questa fase, il client richiede al dominio i CSE attivi (estensioni lato client), che includono vari script di accesso, attività per lo scheduler e così via. Naturalmente, un utente malintenzionato, in piedi nel mezzo, può sostituire una delle attività generate dal controller come file. In questa situazione, l'operazione sarebbe molto semplice, ma tutti questi CSE sono disabilitati di default e l'unica cosa che si può fare è modificare il registro, perché durante l'aggiornamento delle politiche di gruppo, il client richiede un altro file - GptTmpl.inf, attraverso il quale è possibile aggiungere o eliminare una voce. Gli autori di entrambi gli articoli hanno deciso di utilizzare un metodo ben noto - AppInit_Dll per dimostrare l'esecuzione del codice. Abbiamo registrato il caricamento della nostra dll dal percorso di rete nella chiave di registro richiesta, dopodiché il processo appena creato nel sistema ha eseguito codice arbitrario. Ma questo metodo è adatto solo come prova del concetto, perché AppInit_Dll è stato disabilitato per impostazione predefinita per molti anni. A tal proposito, l'attività era impostata per trovare un altro modo per eseguire codice da remoto, e senza dover attendere un riavvio, come nel caso dell'aggiunta di autorun al tasto Run.

Molti tentativi sono stati fatti in un modo o nell'altro per ottenere ciò che volevamo, senza alcun risultato, fino a quando una brava persona (thx man) ha suggerito una chiave di registro molto curiosa di cui non sapevo nulla prima.

È possibile aggiungere un debugger alla chiave per qualsiasi file .exe. Ad esempio, indica che calc.exe deve essere aperto tramite c: pathdebuger.exe e non appena viene avviata la calcolatrice, il debugger si aprirà per primo, nella riga di comando di cui ci sarà un percorso per calc "a. Questa sembrava già quasi una soluzione pronta, perché siamo riusciti a eseguire il codice senza A quel tempo, ero soddisfatto della restrizione sull'inevitabilità della partecipazione dell'utente al processo di accesso, ovvero invece di una calcolatrice era possibile eseguire il codice chiamando IE o Chrome o qualsiasi altra applicazione, ma è apparso un nuovo problema. l'utente non disponeva dei diritti di amministratore, quindi anche dopo aver ricevuto la shell non era possibile cancellare il debugger precedentemente aggiunto al registro, il che significa che dopo che l'attacco è stato fermato o al riavvio, l'applicazione sfruttata ha smesso di funzionare, perché l'indirizzo di rete falsificato con debuger.exe non esisteva più.
Era necessario trovare un modo per ottenere non solo l'accesso alla shell, ma sempre con i diritti di amministratore. Tralasciando tutte le difficoltà successive, descriverò il risultato. Dopo aver ricevuto i criteri di gruppo, il sistema deve applicarli, per questo svchost viene chiamato e crea un nuovo processo taskhost.exe con diritti di SISTEMA. Dopo essersi schierato come debugger per taskhost.exe, due piccioni con una fava sono stati uccisi contemporaneamente: non solo abbiamo ricevuto una shell con i diritti di SISTEMA, ma l'abbiamo anche ricevuta immediatamente, senza alcun intervento manuale da parte dell'utente. L'attacco è completamente automatizzato, puoi selezionare un gruppo di bersagli contemporaneamente e, entro un'ora e mezza o due, ottenere un intero set di sessioni shell attive con i massimi diritti. Non è nemmeno necessario essere un membro del dominio da soli. L'unica cosa necessaria è abilitare l'accesso alla rete: consentire a tutti di applicare le autorizzazioni agli utenti anonimi. Durante il test, per non aspettare un'ora e mezza, è sufficiente eseguire gpupdate dalla console. Testato su Windows 78.1 con patch in domini con server 2008R22012R2.

Quali sono le misure di protezione? Microsoft ha rilasciato una patch per MS15-011, introducendo il cosiddetto UNC Hardened Access, che richiede la configurazione manuale. Una frase interessante appare nella newsletter:

"Gli utenti i cui account sono configurati per avere meno diritti utente sul sistema potrebbero essere meno interessati rispetto agli utenti che operano con diritti utente amministrativi".

Come è già diventato chiaro, la minaccia è altrettanto alta per qualsiasi utente.

Nonostante il pieno potenziale di GP Hijacking, mi sembra che un'altra innovazione di questa versione meriti un'attenzione speciale ...

Dolce

Ciò che verrà discusso alla fine non è una novità. Piuttosto, è un vettore di attacco che si apre quando vengono utilizzate insieme diverse soluzioni esistenti in Interceptre-NG.

L'enfasi in questo caso è sulle reti wireless e sui dispositivi mobili, in particolare su iOS - Iphone e Ipad. Tutti sanno che il veleno arp elementare di questi dispositivi non dà praticamente nulla. L'intercettazione dei cookie da siti aperti nel browser è forse l'unica cosa su cui puoi contare, perché nella maggior parte dei casi, l'utente lavora attraverso applicazioni di marca da vari servizi, dove la comunicazione con il server avviene tramite SSL. Anche se provi a eseguire SSL MiTM, nulla funzionerà, le applicazioni smetteranno semplicemente di funzionare con un certificato non attendibile. Pertanto, si ritiene che telefoni e tablet siano abbastanza ben protetti dalle intercettazioni di rete per impostazione predefinita.

Ma immagina la seguente situazione, l'utente medio si siede sull'app di Instagram e visualizza il feed.
All'improvviso l'applicazione smette di funzionare lamentandosi della mancanza di connessione e l'utente apre instagram.com nel browser, dove compare un avviso con il testo "Per continuare a lavorare su instagram.com, installa un nuovo certificato di sicurezza" e dopo che il messaggio viene chiuso, sullo schermo compare la richiesta di installare un nuovo certificato. L'ulteriore sviluppo degli eventi, ovviamente, dipende dall'utente, ma la probabilità che installi ancora il certificato proposto è piuttosto alta, perché la situazione è abbastanza plausibile: l'applicazione ha smesso di funzionare, è andata sul sito, ha visto un avviso su un aggiornamento necessario, aggiornato - tutto ha funzionato, sebbene in realtà l'attaccante ha sostituito il suo certificato e ora legge tutto il traffico SSL. L'implementazione di Forced Download, JS Inject e SSL MiTM stabile consentono di implementare uno scenario simile in pochissimo tempo:

1. Do.js inject con avviso ("Installa un nuovo certificato per% domain%.");
Il modello% domain% conterrà il nome del sito in cui è avvenuta l'iniezione.

2. Forziamo il download di miscserver.crt, il certificato radice in Interceptre-NG.

3. Attivare SSL MiTM (nonché la striscia SSL per iniezioni).

4. Dopo aver lanciato l'attacco, le connessioni SSL smetteranno di funzionare sul dispositivo di destinazione e nel browser verrà visualizzato un avviso con un certificato.

Sorge spontanea una domanda su cosa fare con il traffico SSL, fatta eccezione per l'intercettazione passiva di sessioni già stabilite. Viene in soccorso Cookie Killer, che funziona correttamente, ad esempio, sull'applicazione Facebook.
Anche IOS ha il suo Santo Graal: iCloud, ma cancellare un cookie non aiuterà a ripristinare la sua sessione. È per iCloud, oltre che per Instagram e VK, che è stata aggiunta la funzione iOS Killer, che azzera le sessioni delle applicazioni specificate e permette di intercettare le riattivazioni. Questo trucco non può essere fatto con l'AppStore, da allora sembra che ci sia SSL Pinning. Questo vettore è stato testato su IOS 56 e 8.4.

I piani erano di aggiungere la possibilità di creare gestori autonomamente in LUA o tramite un plugin DLL, ma a giudicare dalla reazione degli utenti, nessuno ha un reale interesse. La nuova versione sarà molto probabilmente il prossimo anno, forse in autunno ci sarà un aggiornamento funzionale di Interceptre-NG per Android. Domande, feedback, richieste di funzionalità sono sempre i benvenuti. È tutto.

Una dimostrazione delle nuove funzionalità è mostrata nel video.

Contatti del progetto.

Ciao a tutti coloro che leggono l'articolo.

Ha descritto come intercettare password e cookie sulla rete utilizzando il programma Interceptre-ng.

Alcuni hanno chiesto di dire di più sulla funzionalità, altri hanno chiesto di mostrare più funzionalità, qualcuno ha chiesto di considerare l'ultima versione (attualmente la versione corrente è 0.9.10.

Ho dovuto sollevare il mio culo pigro e iniziare a studiare tutto il materiale che ho trovato un po 'alla volta.

Iniziando a scrivere una bozza, mi sono reso conto che un articolo non era sufficiente. Pertanto, oggi ci sarà solo una teoria, una descrizione di alcune funzioni e modalità di Interceptre-ng. Entro due o tre giorni scriverò di come lavorare con il programma in pratica, e poi ci saranno diversi video (per coloro che sono così più facili da imparare).

Dico subito: non ho una conoscenza tecnica approfondita, quindi scrivo con parole semplici e in modo che sia chiaro alla gente comune. Se noti un'imprecisione nelle mie descrizioni, o se hai qualcosa da aggiungere, scrivi nei commenti.

Non posso descrivere ogni funzione, solo quello che ho potuto trovare da solo.

Cominciamo a esaminare il paziente.

Interceptre-ng. Strumento hacker Pentester.

Funzionalità (solo una piccola parte di tutte le possibilità).

Diamo un'occhiata alle modalità e ai pulsanti.

1 - Seleziona l'interfaccia attraverso la quale sei connesso al router (l'icona a sinistra commuta tra modalità Wi-Fi o cablata, scegli la tua).

2 — Modalità messenger. Funzione di intercettazione per messaggi ICQ \\ AIM \\ JABBER. Lo considero irrilevante in questi giorni, quindi non verrà preso in considerazione.

3. — Modalità Resurection - modalità di ripristino. Quando la vittima naviga nei siti web, ci sono file, immagini, alcune pagine Html, ecc. Vengono salvati con te (non tutti possono essere salvati o parzialmente). Forse la modalità di analisi sarà utile a qualcuno.

4. - Modalità password - Qui vengono visualizzati i cookie, con fortuna le password inserite dalla vittima e dai siti visitati. Con il protocollo Https, spesso tutto viene ridotto a zero e solo i cookie si imbatteranno con fortuna. Ma grazie ad alcune impostazioni, a volte può essere bypassato (ne parleremo più avanti).

cinque. Qui cercheremo le nostre vittime. Per fare ciò, fai clic con il pulsante destro del mouse nella finestra e seleziona Smart scan.

Verranno visualizzati tutti i dispositivi sulla rete e il loro sistema operativo approssimativo.

Stealth IP è il tuo IP nascosto, sotto il quale ti nascondi nel tuo lavoro.

Diamo uno sguardo più da vicino alla modalità.

Se fai clic su "Promisc detection", verranno visualizzati i dispositivi che hanno maggiori probabilità di intercettare il traffico (spesso errato) ... Attenzione, perché può mostrare che il tuo router è anche un intercettore.

Cliccando su un certo Ip, puoi aggiungere una vittima a Nat (Aggiungi a nat) per impegnarti ulteriormente nell'intercettazione.

Inoltre, se selezioni "Scansione porte" puoi scansionare le porte aperte. Le funzioni sono lontane da Nmap, ma se solo questo programma è a portata di mano, lo farà.

Non c'è niente di più interessante qui.

6. Modalità Nat... Modalità Nat - La modalità principale in cui lavoreremo. È qui che vengono eseguiti la preparazione di base e gli attacchi ARP.

In questo articolo, non mi concentrerò su di esso, lo considereremo nel prossimo.

7. Modalità DHCP... Modalità DHCP: consente di aumentare il server DHCP all'interno della rete. Non ho lavorato con questa modalità e non posso dirti nulla al riguardo.

8. Modalità RAW - Modalità Raw. Molto simile al programma Wireshark. Mostra l'attività principale sulla rete. A volte puoi cogliere qualcosa di interessante, se ovviamente sai cosa cercare.

nove. Impostazioni del programma Interceptre-ng. Una parte importante, quindi diamo un'occhiata più da vicino.

Blocca sul vassoio - Quando il programma è ridotto a icona, una password verrà inserita nel vassoio. La password predefinita è 4553.

Salva sessione - salva automaticamente i rapporti nei file PCAP per ulteriori studi e analisi.

Promiscuo - "Modalità disordinato". Quando è attivato, il programma legge tutti i pacchetti, se non è installato legge solo i pacchetti inviati all'interfaccia specificata. Non tutti i moduli Wi-FI possono funzionare con esso. Non ho idea a cosa serva, non ho notato la differenza con esso e senza di essa.

Salvataggio automatico... Salva automaticamente i report in formato testo nella cartella principale con il programma.

Vista a griglia... Visualizza sotto forma di tabelle. Se disabilitato, i report all'interno del programma andranno in un elenco. Guarda come è più conveniente, con o senza.

Ios Killer e Cookie killer... Quasi identico. Cookie killer è progettato in modo che se la vittima ha già salvato una password sul sito, lasci il sito e dovrà rientrare, e quindi riceverai una password. Ios killer è progettato per Iphone e Ipad, in modo che la vittima esca dai programmi del client sociale (VK, Facebook, Icloud, ecc.).

Downgrade Kerberos.Kerberos è un protocollo di rete, uno dei tipi di autenticazione. Grazie alla funzionalità, utilizzando smb hijaking, puoi aggirare questa protezione. Io stesso non ho rispettato un protocollo del genere, quindi non lo prenderemo in considerazione.

Hsts... Un trucco interessante per bypassare Hsts dall'ultima versione, ma non del tutto stabile. La conclusione è che molti siti passano automaticamente dal protocollo sicuro Http al protocollo protetto Https, che ci impedisce di intercettare i dati. La striscia SSl non sempre fa fronte, quindi questa funzione a volte può aiutare.Non descriverò il principio (lo puoi trovare su Habré).

L'unica cosa che devi fare nella cartella con il programma è aggiungere il dominio richiesto al file misc \\ hsts.txt. Alcuni popolari sono già lì. La conclusione è che devi assegnare una lettera al dominio principale. Ad esempio vk.com:vvk.com o ok.ru:oks.ru e così via.

Il programma sostituirà la pagina di autorizzazione protetta sul sito con una falsificata, ma l'IP di autorizzazione rimane come quello principale.

Nel mio esempio, a volte funziona a volte, ma meglio di niente. Esperimento in generale.

Configurazione Wpad. Immettere WPAD-WebProxy Auto-Discovery o abilitare il proxy Wpad standard. Per attivarlo, in modalità Nat, seleziona la casella Wpad mitm.

In modalità Exppert (icona del pianeta), potremmo essere interessati alla casella di controllo Veleno ARP automatico. Cioè, quando le persone si connettono alla rete, verranno automaticamente aggiunte alla modalità nat.

Non c'è più niente da considerare nella sezione Impostazioni, quindi oltre.

10. - Exploit di HeartBleed - cerca la vulnerabilità HeartBleed.

11. - Modalità Bruteforce - bruto per alcuni protocolli di destinazione. Devi conoscere il nome utente. Ci sono password per brute nel programma e puoi usare il tuo dizionario.

12. Orologio ARP - in questa modalità è possibile osservare se è in corso un attacco ARP (intercettazioni di traffico, ecc.) in caso di attacchi, in modalità Nat verrà visualizzato tempestivamente un avviso.
13. Gabbia ARP - Cella Arp. Isola l'host. Reindirizza la vittima a un IP diverso. utile se sospetti spam in uscita, ecc.

Queste sono in realtà tutte le informazioni che posso trovare e capire.

Sul posto Avi1.ru sono già disponibili per l'ordinazione repost VK molto economici. Affrettati a fare un acquisto redditizio mentre il servizio ha sconti all'ingrosso davvero significativi. Puoi anche ottenere altre risorse su qualsiasi pagina della rete: Mi piace, visualizzazioni di record e video, iscritti, amici, ecc.

Un po 'sulla modalità Nat.

Poiché tutto il lavoro principale si svolgerà direttamente attraverso questa modalità, cercherò di descrivere cosa dovremo affrontare.

IP del router: direttamente l'IP del router a cui sono collegati. Viene rilevato automaticamente quando si esegue Smart scan in modalità di scansione.

Stealth Ip - Il tuo Ip nascosto.

Nat cliens - le "vittime" attaccate vengono visualizzate qui.

Opzioni mitm.

Configura mitm: gli attacchi Mitm di base sono abilitati / disabilitati qui.

Ne esaminerò due: SSL Mitm e SSL Strip.

SSL mitm - Una tecnica che sostituisce i certificati della vittima.

Obbligatorio durante l'intercettazione dei dati. Sfortunatamente, molti browser e client su telefoni cellulari hanno imparato a bloccarli, avvisandoci o addirittura impedendoci di accedere a Internet.

Ssl Strip - Anche una funzione di cui abbiamo spesso bisogno. SSL è più nascosto. Tecnica "silenziosa" per intercettare le connessioni HTTPS. Non c'è spoofing del certificato qui, quindi è più difficile da calcolare e non ci sono avvisi di sicurezza. Necessario quando si utilizza Cookie killer. quando dobbiamo consegnare un file alla vittima, ecc. Diamo uno sguardo più da vicino al prossimo articolo.

Cambia traffico - sostituzione del traffico. Funzionalità inutili per divertimento. Spoofing una richiesta Http alla vittima (ad esempio, una persona vuole accedere a un sito e inoltrarla a un altro). Ma non tutto è liscio qui, maggiori dettagli nel prossimo articolo.

Configura l'iniezione http: qui configuriamo la vittima per scaricare il file di cui abbiamo bisogno. Può essere un'immagine, una sceneggiatura o un programma innocuo. Maggiori dettagli nel prossimo articolo.

I pulsanti Start arp poison e Start nat iniziano il nostro attacco. Quando attivi Avvia arp veleno, il secondo viene immediatamente attivato. Ma prima di abilitarlo, è necessario abilitare: Inizia lo sniffing in alto, accanto alla scelta dell'interfaccia del router.

In realtà è tutto in questo articolo, sono sorpreso del tuo estratto se leggi fino a questo punto. Se hai qualcosa da correggere, o aggiungere, scrivi nei commenti e lo aggiungerò all'articolo.

Uno di questi giorni prenderò già in considerazione l'idea di lavorare con Interceptre-ng nella pratica. Quindi resta con noi finché non ci rivedremo.

E non dimenticare: il Grande Fratello ti sta guardando!

Descrizione di Interceptre-NG

Interceptre-NG è un set multifunzionale di strumenti di rete per professionisti IT di vario tipo. L'obiettivo principale è recuperare dati interessanti da un flusso di rete ed eseguire vari tipi di attacchi man-in-the-middle (MiTM). Inoltre, il programma consente di rilevare lo spoofing ARP (può essere utilizzato per rilevare attacchi man-in-the-middle), identificare e sfruttare alcuni tipi di vulnerabilità, credenziali di accesso a forza bruta dei servizi di rete. Il programma può funzionare sia con il flusso di traffico in tempo reale che analizzare i file con il traffico acquisito per rilevare file e credenziali.

Il programma offre le seguenti funzionalità:

Sniffing di password / hash dei seguenti tipi: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC ++, VNC, MYSQL, ORACLE, NTLM, KRB5 , RAGGIO
Rilevamento dei messaggi di chat: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
Ricostruzione di file da: HTTP, FTP, IMAP, POP3, SMTP, SMB
Vari tipi di scansione come Promiscuous, ARP, DHCP, Gateway, Port e Smart scan
Acquisizione di pacchetti e analisi (offline) / modalità RAW (raw)
Acquisizione del traffico remoto tramite demone RPCAP e PCAP su IP
NAT, CALZINI, DHCP
ARP, DNS su ICMP, DHCP, SSL, SSLSTRIP, WPAD, SMB relay, SSH MiTM
Hijack SMB, inoltro LDAP, iniezione di dati di caricamento MySQL
ARP Watch, ARP Cage, HTTP Injection, Heartbleed Exploit, Kerberos Downgrade, Cookie Killer
DNS, NBNS, LLMNR spoofing
Forza bruta vari servizi di rete

La versione principale gira su Windows, c'è una versione console per Linux e una versione per Android.

Licenza: "così com'è"

Modalità Interceptre-NG

Interceptre-NG ha sette modalità principali, che corrispondono al numero di schede del programma e al numero di pulsanti principali:

Queste sono le modalità:

Messaggeri
Risurrezione
Le password
Scansione
RAW (grezzo)

Metti al primo posto Modalità Messenger (Logo ICQ). Ciò è accaduto per ragioni storiche: originariamente Interceptre-NG è stato creato come programma per intercettare i messaggi da ICQ e altri servizi di messaggistica istantanea.

Modalità Resurrezione (il logo sul pulsante è Phoenix) significa ripristino di file da un flusso di rete. Questi possono essere file di immagini visualizzati su siti Web, nonché file di archivi trasferiti, documenti e qualsiasi altro.

Quando si passa a Modalità password (il terzo pulsante è il portachiavi) vedrai le credenziali catturate dal flusso di rete. Vengono visualizzati gli indirizzi del sito, gli accessi immessi e le password.

All'avvio si apre il programma Modalità di scansione (pulsante centrale - radar). Questa è la modalità iniziale per avviare gli attacchi: questa scheda viene utilizzata per eseguire la scansione, selezionare i bersagli e impostare altri parametri di rete.

Tab MiTM (bundle patch cord) contiene campi per l'immissione delle impostazioni di destinazione, molti dei quali vengono compilati automaticamente durante la scansione nella scheda Scansione. Ci sono anche pulsanti per lanciare una varietà di attacchi MiTM.

Tab DHCPcontiene alcune impostazioni di rete e del server DHCP.

Modalità RAW (raw) visualizza le informazioni non elaborate sui dati trasmessi nel flusso di rete. Le informazioni sono presentate in una forma simile a.

Suggerimenti per l'uso e la risoluzione dei problemi di Interceptre-NG:

Interceptre-NG richiede WinPcap per funzionare, ma non è necessario installarlo separatamente poiché Interceptre viene fornito con una versione portatile di WinPcap.
Se non vedi il tuo adattatore nell'elenco degli adattatori, significa che WinPcap non supporta la tua scheda.
Se non funziona nulla con la scheda WiFi, nemmeno l'incisione ARP, utilizzare l'icona NIC situata sul lato sinistro dell'elenco degli adattatori per passare alla modalità WiFi. Assicurati anche che l'IP Stealth abbia accesso a Internet.
In alcune rare situazioni, il servizio BFE (Base Filtering Engine) potrebbe bloccare le porte Interceptre locali. Si manifesta così: ARP funziona, ma le altre funzioni MiTM non funzionano (su Windows 7 e superiori). Gli antivirus come Avast possono anche bloccarli anche se Protezione di rete è disabilitata nel Pannello di controllo. Un altro motivo di questo comportamento potrebbe essere il funzionamento simultaneo della connessione WiFi e del servizio Condivisione connessione Internet.
Interceptre supporta l'incapsulamento 802.11, quindi è possibile utilizzare pcap dump dai programmi e. Sono supportati anche gli incapsulamenti PPPoE, GRE (PP2P) e le intestazioni 802.11 opzionali. Ciò non significa che Interceptre possa analizzare dati crittografati, significa che Interceptre è in grado di rimuovere le intestazioni ethernet \\ ip da pacchetti di questo tipo e analizzarli.
A causa delle limitazioni del protocollo, l'origine e la destinazione di UIN \\ MAIL \\ ... potrebbero non essere visualizzate nella scheda dei messaggi di chat.
Per copiare i dati dalla tabella delle password, fare clic sulla riga e premere ctrl + c.
Per nascondere la finestra del programma, utilizza la scorciatoia da tastiera Ctrl + Alt + S. Fare nuovamente clic per visualizzare nuovamente la finestra.
Interceptre può anche essere eseguito su win9x (98 e 95!), Ma è necessario installare WinPcap 3.1 o WinPcap 4.0beta2. Le build più recenti di WinPcap non supportano win9x.
Modalità console per analisi offline:

./interceptre -t dump.cap

Per attivare lo sniffing automatico, è necessario aprire settings.cfg e modifica " autorun". L'impostazione predefinita è 0 , cambia il numero dell'interfaccia che intendi annusare.
Interceptre converte i dump pcap incapsulati IP grezzi in incapsulamento Ethernet (aggiungendo informazioni sull'intestazione Ethernet).
Interceptre può leggere un nuovo formato: pcapng. Poiché tutti i file di acquisizione pcapng di Wireshark utilizzano solo il tipo "Enhanced Packet Block", Interceptre supporta solo questo tipo di blocco di pacchetti. Inoltre, mostra i commenti sui pacchetti.
In modalità RAW, puoi impostare le tue regole utilizzando i filtri pcap per filtrare il traffico. Vedere la sintassi del filtro pcap per i dettagli. Esempio:

porta 80

significa ricevere solo i pacchetti dalla porta tcp 80 dal kernel.

Non porta 80

significa escludere i pacchetti dalla porta 80

Puoi combinare le regole:

Porta 80 e non porta 25

Non dovresti lavorare con enormi dump in modalità raw, poiché Interceptre carica ogni pacchetto in memoria e non usa il disco rigido come partizione di swap (file).

Suggerimenti per l'opzione Interceptre-NG

Opzioni sniffer:

Se hai intenzione di eseguire un'analisi pcap dump offline, quindi per accelerare il processo, deseleziona il " Risolvi host”.
Se spunti l'opzione " Blocca sul vassoio", quindi quando ripristini una finestra dal vassoio ti verrà richiesta una password. La password predefinita è" 4553 ". Puoi cambiarlo nel file settings.cfg... La password è codificata in base64.
Opzione " Salva sessione"significa che Interceptre salverà tutti i pacchetti ricevuti nel file pcap. Questo file può essere utilizzato per l'analisi dei dati offline. Questa è una sorta di funzione di esportazione dei risultati.
Se installi Promiscuoquindi Interceptre apre la scheda di rete in modalità promiscua. Ciò significa che leggerà tutti i pacchetti, anche quelli che non sono destinati all'interfaccia di rete data. Se la casella di controllo è deselezionata, leggerà solo i pacchetti inviati all'interfaccia specificata. Alcune schede Wi-Fi non supportano questa modalità.
“Dati unici"- mostra solo login e password univoci. Quelli. mostra gli accessi e le password acquisiti solo una volta: se l'utente ha immesso nuovamente lo stesso nome utente e password, non verrà visualizzato.
Salvataggio automatico - tutte le informazioni di testo verranno salvate ogni 10 secondi.
Per impostazione predefinita, è presente un segno di spunta su " Vista a griglia". Significa che le password appariranno come una griglia di dati. Per visualizzare tutte le informazioni dettagliate, deseleziona il " Vista a griglia”.
estremo.In un flusso di lavoro tipico, lo sniffer analizza le porte predefinite associate a protocolli specifici. Se diciamo http, intendiamo la porta 80 (o 8080 o qualsiasi cosa sia predefinita nell'elenco delle porte associate al protocollo http). Quelli. verranno analizzati solo questi porti. Se alcune applicazioni utilizzano una porta diversa, ad esempio 1234, lo sniffer non analizzerà i pacchetti che la attraversano. In modalità estremoInterceptre analizzerà tutti i pacchetti TCP senza controllare le porte. Quelli. anche se alcune applicazioni utilizzano una porta indefinita, lo sniffer controllerà comunque questi pacchetti. Sebbene ciò rallenti le prestazioni (ci sono molte più porte da controllare rispetto al solito) e può rivelare dati errati o perdere il protocollo corretto (6 ad esempio, FTP e POP3 utilizzano lo stesso tipo di autenticazione), rende possibile trovare e intercettare dati interessanti su porte indefinite. Usa questa modalità a tuo rischio, non sorprenderti se qualcosa va storto quando la modalità eXtreme è attiva.
"Cattura solo"significa che Interceptre salverà i pacchetti solo in un file di dump senza analisi in tempo reale. Ciò è utile per migliorare le prestazioni quando si acquisiscono molti dati di rete.
Opzione Risurrezionesignifica l'inclusione della modalità Resurrection, che ricostruisce i file dai dati trasmessi nel flusso di rete.
Porte IM
HTTP... Porte associate a HTTP, vedere la descrizione dell'opzione per i dettagli estremo.
CALZINI
IRC \\ BNC

Opzioni di attacco Man-in-the-Middle (MiTM) Interceptre-NG

In tutti gli attacchi MiTM, Interceptre utilizza lo spoofing (spoofing) degli indirizzi ip \\ mac (opzione IP fittizio \\ MAC). Se utilizzi un'interfaccia Wi-Fi, dovresti deselezionare questa opzione, poiché il 99% dei driver Wi-Fi non consente l'invio di pacchetti con un Mac falsificato. Sebbene tu riveli il tuo vero indirizzo, sei almeno in grado di eseguire qualsiasi attacco MiTM tramite l'interfaccia Wi-Fi. Meglio di niente. Invece di disabilitare lo spoofing nelle impostazioni, usa la modalità WIFI. Puoi cambiare il Mac mostrato in Modalità Esperto.
iOS Killer è stato aggiunto per iCloud, così come per Instagram e VK. Questa funzionalità (iOS Killer) ripristina le sessioni delle applicazioni specificate e consente di intercettare la nuova autorizzazione.
Downgrade Kerberos
HSTS Spoofing... Bypassare HSTS durante l'esecuzione di una striscia SSL. La tecnica di bypass è relativamente semplice, ma è nell'implementazione che ci sono alcune difficoltà, quindi non dovresti aspettarti risultati speciali. Consideriamo un esempio su Yandex Mail utilizzando il browser Chrome. Se vai su ya.ru, nell'angolo in alto a destra ci sarà un link https "Inserisci posta", che SSL Strip può gestire facilmente. Successivamente, si aprirà un modulo di autorizzazione, in cui i dati vengono trasferiti a passport.yandex.ru utilizzando il metodo POST. Anche con lo "striping" di https, l'autorizzazione verrà effettuata tramite SSL. host passport.yandex.ru è nell'elenco di Chrome precaricato. Per intercettare i dati, dobbiamo sostituire il nome host passport.yandex.ru con qualcos'altro, in modo che il browser non rilevi che questa risorsa deve essere visitata rigorosamente su una connessione sicura. Ad esempio, puoi sostituire passport.yandex.ru con paszport.yandex.ru, in questo caso i dati verranno inviati in chiaro al nome di dominio modificato. Ma da allora non esiste un tale dominio - paszport.yandex.ru, quindi è inoltre necessario eseguire lo spoofing DNS, ad es. Durante la conversione di paszport.yandex.ru, il client dovrebbe ricevere in risposta l'indirizzo IP originale da passport.yandex.ru.

Questa procedura è automatizzata e non richiede un intervento aggiuntivo da parte dell'utente durante un attacco. L'unica cosa necessaria è fare un elenco preliminare di sostituzioni in formato misc \\ hsts.txt... Per impostazione predefinita, ci sono diverse voci per yandex, gmail, facebook, yahoo. È importante capire che questa tecnica di bypass non permetterà di intercettare la sessione o l'autorizzazione se l'utente accede a facebook.com nel browser, perché il browser aprirà immediatamente la versione protetta del sito. In questo caso l'attacco è possibile solo se il collegamento a facebook.com è preso da un'altra risorsa, ad esempio quando si accede a facebook su google.com. I problemi principali nell'attuazione dell'attacco includono la logica imprevedibile del funzionamento dei siti con i loro sottodomini e le peculiarità del codice web, che può annullare qualsiasi tentativo di bypassare l'HSTS. Ecco perché non dovresti aggiungere alcun sito alla lista, anche i domini presenti in Interceptre-NG hanno di default le loro caratteristiche e non sempre funzionano correttamente. Non voglio recintare stampelle per ogni risorsa, forse in futuro verranno apportati alcuni miglioramenti universali, ma per ora, come si suol dire, così com'è. Un'altra sfumatura, nell'attuale implementazione per DNS Spoofing "ed è necessario che il server DNS non sia sulla rete locale, in modo che sia possibile vedere le richieste dns al gateway e rispondere a loro secondo necessità.

IP Forward... Abilita la modalità di inoltro IP puro. Gli attacchi MiTM non sono disponibili in questa modalità, ma ti consente di avviare l'arp etching in situazioni in cui non puoi usare Stealth IP. Questo di solito è necessario quando il gateway dispone di una whitelist di computer legittimi sulla rete, quindi NAT non può funzionare correttamente.
Cookie killer - cancella i cookie, costringendo così l'utente a riattivarli - inserisci un nome utente e una password in modo che un malintenzionato possa intercettarli. La funzione Cookie Killer funziona anche per le connessioni SSL. Ci sono neri ( misc \\ ssl_bl.txt) e whitelisting ( misc \\ ssl_wl.txt). Possono essere utilizzati per escludere o specificare rigidamente indirizzi IP o domini a cui SSL MiTM dovrebbe o non dovrebbe essere applicato. Quando si specifica una porta SSL aggiuntiva, non è necessario specificare il tipo di lettura \\ scrittura, è sufficiente specificare il numero di porta. Viene scritto tutto il traffico ssl_log.txt.
Acquisizione remota (RPCAP). Libpcap consente di inviare dati di rete da un host a un altro utilizzando il proprio protocollo chiamato RPCAP. Quelli. puoi far apparire il demone rpcap sul tuo gateway e vedere tutto il traffico che lo attraversa. Dopo aver avviato il demone, puoi iniziare ad acquisire il traffico remoto utilizzando Interceptre. Immettere il nome host o l'IP del daemon nel campo fornito, quindi selezionare l'adattatore dall'elenco. Quindi è necessario impostare il filtro "non host IP", sostituendo "IP" con un indirizzo IP valido assegnato alla scheda ethernet (questo è necessario per ignorare il traffico rpcap tra te e il demone).
PCAP su IP

Questa funzionalità è correlata all'acquisizione del traffico remoto ed è un ottimo sostituto per il vecchio e problematico servizio rpcapd. Il nome parla da solo. Quasi tutti gli Unix hanno sempre un sacco di tcpdump e netcat, con l'aiuto dei quali è possibile registrare il traffico su un computer ricevente remoto. In questo caso, Interceptre può aprire una porta in attesa di un flusso di dati nel formato libpcap e analizzarlo in tempo reale.

Non vi è alcuna differenza fondamentale nella sorgente di traffico, quindi, oltre a tcpdump, è possibile utilizzare l'utilità cat per leggere un log esistente.pcap allo stesso modo.

Ecco alcuni esempi di utilizzo, Interceptre ascolta sulla porta 2002 per impostazione predefinita:

Tcpdump -i face -w - | nc IP 2002

se si prevede di trasmettere il traffico attraverso la stessa interfaccia da cui si sta acquisendo, è necessario aggiungere una regola di filtro che escluda il traffico del servizio tra il server e Interceptre:

Tcpdump -i face -w - non porta 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

questo è un analogo di tcpdump "e incluso nel flag -P indica che i pacchetti devono essere salvati nel formato libpcap standard e non nel nuovo pcapng.

Modo alternativo per inoltrare i pacchetti senza l'aiuto di netcat:

Tcpdump\u003e / dev / tcp / ip / port

WPAD sta per "WebProxy Autodiscovering Protocol" che corrisponde alla funzione "Rileva automaticamente impostazioni" nei browser moderni. Questa funzione consente al browser di ottenere la configurazione proxy corrente senza l'intervento dell'utente. Questa è una minaccia ancora oggi e un utente malintenzionato può facilmente configurare un server dannoso per intercettare il traffico web. La situazione è aggravata dal fatto che Internet Explorer (e anche Chrome) supporta questa funzionalità per impostazione predefinita.

In genere WPAD non è configurato sulla rete, quindi il comportamento abituale dei browser è inviare query a NetBios per il nome "WPAD" (bypassando i metodi DHCP e DNS). Se non viene ricevuta alcuna risposta, il browser utilizza semplicemente una connessione diretta. Ma se viene ricevuta una risposta, il browser tenta di scaricare il file di configurazione da http: /ip_of_wpad_host/wpad.dat.

Interceptre-NG risponderà a ogni richiesta e chiederà ai client di utilizzare la propria configurazione in modo che possa intercettare il traffico attraverso il server proxy. È possibile personalizzare la propria configurazione per qualsiasi altro proxy sulla rete o semplicemente scegliere il proxy integrato. Il proxy integrato consente l'uso della funzionalità di iniezione HTTP.

Opzioni della modalità avanzata Interceptre-NG

Timeout strip SSL (secondi) - Timeout in secondi SSL Strip
Veleno ARP ogni (secondi) - Esegui incisione ARP ogni ... secondi
Timeout scansione ARP (secondi) - Timeout scansione ARP
DNS Cache TTL (secondi) - Durata della cache DNS
Spoofing MAC - Indirizzo MAC al quale verrà sostituito l'indirizzo dell'aggressore
Iniezione dei dati di caricamento di MySQL
DN relè LDAP: DC \u003d xxx, DC \u003d xxx
Fermare l'infortunio su richiesta NBNS
Interrompi la connessione SSH dopo l'autenticazione - Ripristina la connessione SSH dopo l'autorizzazione
Hijack SMB -\u003e SMB Relay
Veleno ARP automatico - Nella modalità automatica è sufficiente aggiungere 1 solo host all'elenco dei target e Interceptre scansionerà la rete stessa a un certo intervallo e aggiungerà automaticamente nuovi target.
Reimposta tabella ARP- Ripristina la tabella ARP
Payload personalizzato per dirottamento SMB (max 64 kb)
Payload personalizzato per GP Hijack
Esegui Shell- Esegui shell
Esegui HTTP NTLM Grabber

Tipi di scansione

La scansione è la prima fase, ovvero molti attacchi MiTM iniziano con essa. Per mostrare il menu di scansione, vai a Modalità MiTM e fare clic con il tasto destro sulla tabella.

Scansione intelligente: Combina la scansione ARP e il rilevamento del gateway. Alle solite informazioni sugli indirizzi IP e MAC, il produttore della scheda di rete e il sistema operativo, viene visualizzato il nome del computer. Per lo stesso periodo di tempo, ora puoi anche scoprire il nome Netbios o il nome del dispositivo con iOS. Per risolvere quest'ultimo viene utilizzato il protocollo MDNS, sulla base del quale funziona il protocollo Bonjour di Apple. Tutti i nomi ricevuti vengono ora salvati in un file cache e se durante le scansioni successive per qualche motivo le informazioni sul nome host non sono state ottenute dinamicamente, verranno prese da Inoltre, questa scansione mostra l'IP Stealth e imposta automaticamente l'IP del gateway (se rilevato) e l'IP Stealth nei campi appropriati nella scheda MiTM. Anche il rilevamento del sistema operativo viene eseguito in base ai valori TTL.
Scansione ARP (Scansione ARP): controlla semplicemente la sottorete di classe C assegnata all'adattatore ethernet selezionato. Ad esempio, se il tuo IP è 192.168.0.10, verranno controllati 255 indirizzi IP nell'intervallo 192.168.0.1-255. Dalla versione 0.9.5, il programma controlla la maschera di rete per scansionare correttamente tutte le sottoreti.
Rilevamento DHCP (DHCP Discovery): invia le trasmissioni DHCP-Discovery e attende le risposte dai server DHCP. Se qualche server risponde, aggiungilo all'elenco.
Rilevamento promisc (scoperta promiscua di schede di rete): invia richieste ARP speciali alla rete. Gli host che rispondono sono ovviamente degli sniffer. Anche alcune schede Ethernet (3COM) potrebbero rispondere, ovvero sono possibili falsi positivi.
Gateway Discovering (gateway discovery): invia un pacchetto SYN attraverso tutti gli host sulla rete, se è presente un gateway, verrà restituita una risposta.

Tecniche di attacco Interceptre-NG Man-in-the-Middle (MiTM)

Premendo il pulsante Configura MiTM (cappello con occhio) si apre la finestra di dialogo Attacchi MiTM:

Contiene un elenco di tecniche supportate.

SSL MiTM

Questa è una vecchia tecnica classica di falsificazione dei certificati. Consente di intercettare i dati di qualsiasi protocollo protetto da SSL. Supportato come standard: HTTPS, POP3S, SMTPS, IMAPS. Qualsiasi porta aggiuntiva può essere facoltativamente specificata.

Quando si intercetta HTTPS, i certificati vengono generati "al volo", copiando le informazioni originali dalla risorsa richiesta. In tutti gli altri casi viene utilizzato un certificato statico.

Naturalmente, quando si utilizza questa funzionalità, gli avvisi del browser e altri software client sono inevitabili.

La nuova versione ha riscritto completamente il codice per SSL MiTM. Ora è veloce e stabile. Anche l'algoritmo per la generazione dei certificati è cambiato, vengono aggiunti record DNS aggiuntivi e tutti i certificati vengono firmati con una singola chiave ( misc \\ server). Ciò significa che aggiungendo questo certificato autofirmato all'elenco di quelli attendibili sul computer di destinazione, sarà possibile ascoltare il traffico SSL su qualsiasi risorsa (dove non è presente Pinning SSL). Funzione Cookie killer ora funziona anche per le connessioni SSL. Il nero è apparso ( misc \\ ssl_bl.txt) e whitelisting ( misc \\ ssl_wl.txt). Possono essere utilizzati per escludere o specificare rigidamente indirizzi IP o domini a cui SSL MiTM dovrebbe o non dovrebbe essere applicato. Quando si specifica una porta ssl aggiuntiva, non è più necessario specificare il tipo di lettura \\ scrittura, è sufficiente specificare il numero di porta. Tutto il traffico viene scritto in ssl_log.txt.

Striscia SSL

SSL Strip è una tecnica silenziosa per intercettare le connessioni HTTPS. Per molto tempo, la versione funzionante esisteva solo sotto unix, ora azioni simili possono essere eseguite nell'ambiente NT. La conclusione è la seguente: l'attaccante è "al centro", il traffico HTTP viene analizzato, tutti i collegamenti https: // vengono identificati e sostituiti con http: // Pertanto, il client continua a comunicare con il server in modalità non sicura. Tutte le richieste di collegamenti sostituiti vengono monitorate e i dati vengono forniti dalle origini https originali in risposta.

Perché nessun certificato viene modificato, quindi non ci sono avvisi. Per simulare una connessione sicura, l'icona della favicon viene sostituita.

DNC<> ICMP

Questa è una tecnica completamente nuova, menzionata in precedenza o non implementata. Si basa sullo stesso vecchio ICMP Redirect MiTM ma apre un nuovo modo per annusare i dati. Il primo passaggio di questo attacco è simile al classico reindirizzamento ICMP, con un'importante differenza.

Il cosiddetto "nuovo record" è il server DNS della vittima. Prenderemo il controllo di tutte le richieste DNS e faremo qualche magia prima che la vittima ottenga le risposte.

Quando risolviamo (risolviamo) somehost.com, DNS ci invia una risposta contenente una o più risposte dall'IP somehost.com. Inoltre, potrebbe contenere risposte "aggiuntive" e noi ci occuperemo anche di quelle. Dopo aver completato la prima parte dell'attacco, la vittima inizia a inviare tutte le richieste DNS tramite l'host dell'aggressore (NAT). Quando NAT riceve una risposta dal DNS, legge tutti gli IP e quindi invia messaggi di reindirizzamento ICMP con l'IP risolto alla vittima.

Pertanto, nel momento in cui NAT invia una risposta DNS alla vittima, la sua tabella di routing ha già voci per tutti gli indirizzi tradotti che puntano al nostro host!

Ciò significa che non stiamo solo annusando il DNS della vittima, ma tutto ciò che è stato trasformato. Tutto il traffico verrà falsificato tramite IP / MAC fasulli.

Questa parte dell'attacco avviene sul lato NAT, per questo motivo è necessario configurarlo correttamente.

Seleziona la casella di controllo "DNS over ICMP" quindi compila:

L'IP del router è l'IP del gateway predefinito utilizzato dalla vittima.
L'IP del client è l'IP della vittima. Puoi aggiungere più target, ma ricorda di iniziare inviando un pacchetto di reindirizzamento ICMP da Interceptre a ciascun target.

Dopo aver aggiunto i client, è necessario inserire un IP libero / non utilizzato nel campo "Nuovo gateway" e in "IP invisibile".

Seleziona un adattatore, dovrebbero essere gli stessi che instraderemo il traffico nella stessa area ethernet.

Avvia NAT.

Tutte le risposte DNS vengono salvate in un elenco speciale e NAT regolarmente (in base al tempo impostato nelle impostazioni) invia nuovamente i reindirizzamenti ICMP,

Alla fine, devi fare un'altra azione. Non è possibile "disinfettare" la tabella di instradamento della vittima (come con l'avvelenamento ARP), quindi è necessario deselezionare "DNS ↔ ICMP" per evitare che i reindirizzamenti ICMP vengano ritrasmessi e attendere circa 10-15 minuti. Dopodiché, non verranno aggiunte nuove voci, ma quelle vecchie funzioneranno correttamente tramite NAT fino alla scadenza.

WPAD MiTM

Vedere la descrizione dell'opzione per i dettagli Configurazione WPAD (PROXY: PORT).

Hijack SMB

SSH MiTM

È possibile intercettare i dati di autenticazione SSH (login / password) e vedere tutti i comandi passati durante la sessione remota. Sono supportati 2 meccanismi di autenticazione: tramite password e interattivo. Per annusare i dati della vittima, dobbiamo agire come un vero sshd e forniamo le nostre chiavi rsa / dsa. Se la chiave host originale viene memorizzata nella cache dalla vittima, verrà visualizzato un messaggio di avviso, se non memorizzata nella cache, non ci saranno segni di un attacco dal lato client.

Quando la vittima è loggata, può lavorare come al solito, eseguire comandi e programmi pseudo-grafici come midnight commander. Interceptre intercetta le richieste WINDOW_CHANGE, quindi se la vittima decide di ridimensionare la finestra, tutto verrà correttamente ridisegnato per corrispondere alla nuova dimensione della finestra.

Il programma funziona con una sessione remota, ma non con SFTP. Se la vittima avvia un client SFTP, i dati di autenticazione verranno intercettati, ma la connessione verrà interrotta e contrassegnata. Quindi, quando la vittima tenta di riconnettersi, avrà accesso al server ssh originale oltre al nostro falso sshd.

Va ricordato che l'attaccante accede al server remoto e lascia il proprio indirizzo IP nei registri. In modalità esperto, è possibile selezionare l'opzione per interrompere la connessione ssh dopo aver ottenuto le credenziali della vittima. La connessione verrà contrassegnata e al prossimo tentativo il programma consentirà l'accesso al server originale.

GP Hijack

Funzionalità aggiuntive per attacchi man-in-the-middle (MiTM) in Interceptre-NG

I pulsanti per l'utilizzo di queste funzionalità si trovano anche nella sezione Opzioni MiTM (cubi, simbolo JDownloader, siringa, schermo e simbolo di pericolo di radiazioni indipendenti):

Traffic Changer (modifica i dati di testo nel flusso del traffico di rete)

Solo i dati di uguale dimensione possono essere sostituiti senza modificare la lunghezza del pacchetto. Supponiamo che il browser apra site.com/file.txt, che contiene la stringa "12345". In risposta a una richiesta GET, il server restituirà un'intestazione HTTP, che indicherà la lunghezza dei dati trasmessi - Content-length: 5. Cosa succede se sostituiamo "12345" con "12356"? Il browser scarica solo 5 byte, scartando i "6" aggiunti, e se riduciamo la dimensione dei dati sostituendo "12345" con "1234", il browser riceverà solo 4 byte e attenderà un altro 1 byte dal server finché la connessione non viene interrotta da tempo scaduto. Questo è il motivo per cui viene applicata questa limitazione delle dimensioni. È possibile modificare sia i dati testuali che binari, la sintassi per i modelli binari come in C - "\\ x01 \\ x02 \\ x03".

Se è richiesta la sostituzione nel traffico HTTP, nelle impostazioni è necessario abilitare l'opzione "Disabilita codifica gzip HTTP".

Spoofing

Lo spoofing ti consente di reindirizzare gli host a un determinato IP. Sono supportati i protocolli DNS, NBNS, LLMNR.

Con il DNS puoi specificare una maschera per reindirizzare anche tutti i sottodomini. Di solito vengono impostate coppie dominio.com:IP, ma i sottodomini non verranno falsificati. Per reindirizzarli tutti, aggiungi * (asterisco) prima del nome di dominio: * host.com

Download forzato e JS Inject

Come hai capito, puoi aggiungere un file .exe con contenuto arbitrario al download forzato e l'origine di questo file sarà il sito che l'utente sta attualmente visitando. Sapendo che il target sta per aprire adobe.com, puoi emettere flashplayer.exe e adobe.com o uno dei suoi sottodomini saranno elencati come origine di questo file.

Dopo una singola erogazione, la forzatura viene disabilitata, per effettuare nuovamente l'iniezione è necessario premere nuovamente la casella di spunta corrispondente.

La modalità FATE combina due nuove funzioni: FAke siTE e FAke updaTE.

L'obiettivo principale di FAke siTE è ottenere dati di autorizzazione da qualsiasi risorsa web, aggirando SSL e altri meccanismi di sicurezza. Ciò si ottiene clonando la pagina di autorizzazione e creando un modello che verrà ospitato sullo pseudo-server web integrato. Per impostazione predefinita, l'interceptor include un modello per accounts.google.com, da allora la pagina originale richiede di compilare uno ad uno il campo con il login e poi con la password. Abbiamo apportato alcune piccole modifiche a questo modello in modo che entrambi i campi siano attivi contemporaneamente. Prima dell'attacco, è necessario specificare il dominio in cui verrà ospitato il modello. Dopo l'inizio dell'attacco, un reindirizzamento al dominio selezionato viene iniettato nel traffico del bersaglio e successivamente l'intercettatore eseguirà automaticamente lo spoofing DNS agli indirizzi richiesti. Di conseguenza, la pagina di autorizzazione selezionata si aprirà nel browser.

La funzionalità di FAke updaTE (falsi aggiornamenti) significa la comparsa di messaggi sul software installato sulla "vittima" e il download di un file di aggiornamento che sembra contenere un payload. L'elenco dei software supportati è molto limitato. Se lo desideri, puoi aggiungere i tuoi modelli, la loro struttura può essere visualizzata in misc \\ FATE \\ updates.

Veleno ARP (incisione ARP)

Fa parte del classico attacco man-in-the-middle. Questo attacco inizia con la scansione degli host. Quando vengono trovati host e alcuni di essi vengono selezionati come bersagli, inizia l'avvelenamento ARP, a seguito del quale gli host attaccati iniziano a inoltrare il loro traffico non al gateway, ma all'attaccante. L'autore dell'attacco esamina (annusa) questo traffico, esegue altre manipolazioni e lo invia al server di destinazione. Il server di destinazione risponde all'attaccante (come l'origine della richiesta), anche questo traffico viene sniffato, modificato e inviato alla vittima. Di conseguenza, non si verificano cambiamenti significativi per la vittima: sembra che stia scambiando dati con un server remoto.

Funzionalità aggiuntive di Interceptre-NG

I pulsanti per l'avvio di funzioni aggiuntive si trovano in una sezione separata della colonna di destra nella finestra del programma:

Interceptre-NG ha il proprio scanner di rete, che ha sostituito il primitivo port scanner delle versioni precedenti. Le sue principali funzioni:

Scansiona le porte aperte e rileva euristicamente i seguenti protocolli: SSH, Telnet, HTTP \\ Proxy, Socks4 \\ 5, VNC, RDP.
Rileva SSL su una porta aperta, leggi banner e varie intestazioni web.
Se viene trovato un proxy o un sox, controlla la loro apertura verso l'esterno.
Controlla l'accesso senza password ai server VNC, controlla SSL per HeartBleed. Leggi version.bind da DNS.
Verificare nel database la presenza di script sul server web, potenzialmente vulnerabili a ShellShock. Controlla l'elenco delle directory e dei file per 200 OK nel database, nonché l'elenco delle directory da robots.txt.
Determina la versione del sistema operativo tramite SMB. Se hai accesso anonimo, ottieni l'ora locale, il tempo di attività, l'elenco delle risorse condivise e gli utenti locali. Per gli utenti trovati, viene lanciato un attacco di forza bruta automatico.
Determinare in base all'elenco integrato di utenti SSH misurando il tempo di risposta. Per gli utenti trovati, viene lanciato un attacco di forza bruta automatico. Se l'enumerazione non funziona (non funziona su tutte le versioni), l'enumerazione viene avviata solo per root.
Forza bruta automatica per HTTP di base e Telnet. Date le peculiarità del protocollo telnet, sono possibili falsi positivi.

È possibile scansionare qualsiasi target, sia sulla rete locale che su Internet. È possibile specificare un elenco di porte per la scansione: 192.168.1.1:80,443 o l'intervallo 192.168.1.1:100-200. È possibile specificare un intervallo di indirizzi per la scansione: 192.168.1.1-192.168.3.255.

Per un risultato più accurato, è possibile scansionare solo 3 host alla volta. Letteralmente all'ultimo momento, sono stati aggiunti controlli per i dati dai certificati SSL, ad esempio, se viene rilevata la parola Ubiquiti e la porta 22 è aperta, viene avviato automaticamente l'SSH a forza bruta dell'utente ubnt. Idem per un paio di pezzi di ferro Zyxel con l'utente amministratore. Per la prima versione dello scanner, la funzionalità è sufficiente ed è ben debug.

Exploit sanguinante

Verifica se il bersaglio è vulnerabile a HeartBleed. Se l'obiettivo è vulnerabile, sfrutta questa vulnerabilità: riceve parte del contenuto della RAM dell'host remoto.

Modalità Bruteforce

L'attacco di forza bruta (forza bruta, forza bruta) è supportato per i seguenti protocolli di rete:

POP3 TLS
SMTP TLS
HTTP di base
HTTP Post
TELNET
VMWARE

È possibile impostare il numero di thread in cui verranno controllate le credenziali.

Quando si verifica un timeout, il thread attivo viene riavviato dalla stessa posizione e il processo di iterazione continua.

C'è Modalità singola, che indica che ogni nuova coppia di login: password va verificata con l'instaurazione di una nuova connessione, per alcuni protocolli questo permette di aumentare la velocità di lavoro. Il registro di lavoro viene salvato in brute.txt.

Funzioni ARP

Oltre ad ARP Etching e ARP Scanning, ci sono molte altre funzioni relative all'ARP. Due di questi sono posizionati in pulsanti separati della colonna di destra nella finestra del programma:

Orologio ARP: Servizio di sorveglianza ARP personale integrato. È necessario iniziare eseguendo una scansione ARP per popolare un elenco di indirizzi MAC affidabili (puliti). Se qualcuno cerca di avvelenare la tua cache arp, apparirà un messaggio di avviso.
Gabbia ARP: Isola l'indirizzo IP di destinazione da altri host locali falsificando le voci della tabella arp.

Esempi di lancio di Interceptre-NG

Come eseguire MiTM in Interceptre-NG

Inizia scegliendo una scheda di rete ( Scheda di rete):

Fare clic con il tasto destro su una tabella vuota e selezionare Scansione intelligente:

Verrà visualizzato un elenco di target:

Aggiungi gli obiettivi che desideri ( Aggiungi come destinazione):

Per avviare lo sniffing, fai clic sull'icona corrispondente:

Vai alla scheda Modalità MiTM (questo è un globo con patch cord) e fare clic sull'icona Veleno ARP (simbolo di pericolo di radiazioni):

Nella scheda Modalità password (il simbolo è un portachiavi), appariranno le credenziali acquisite:

Lavora con Wi-Fi e lavora con Ethernet

Quando si lavora con connessioni Wi-Fi o cablate, non ci sono differenze, ma è necessario passare alla modalità desiderata facendo clic sull'icona:

Analisi offline dei file di acquisizione pcap

Ci sono molte opzioni che possono rallentare o accelerare il tempo di analisi.

Per prima cosa, se devi leggere un file .pcap di grandi dimensioni, disabilita " Risolvere".
Se il tuo .pcap contiene file di grandi dimensioni e Resurrection è abilitato, la velocità potrebbe diminuire. La soluzione è impostare un limite alla dimensione massima del file per il ripristino.
Se non è necessario eseguire il reverse engineering di nulla, disabilitare questa opzione nelle impostazioni. La velocità aumenterà.
Se devi analizzare solo un protocollo specifico, ad esempio ICQ \\ AIM o solo HTTP, installa il filtro appropriato " filtro pcap"a partire dal MODALITÀ RAW: porta tcp xxxdove xxxÈ il numero di porta del tuo protocollo.
Puoi caricare più di una cattura per l'analisi. NEL Apri finestra di dialogo selezionare più file, tutti verranno analizzati a turno.

Installazione di Interceptre-NG

Installazione su Linux Kali

Per installare ed eseguire Interceptre-NG in Kali Linux, esegui i seguenti comandi:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw\u003dtrue -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump: i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap / wpcap.dll.so / usr / lib / i386-linux-gnu / wine sudo cp packet / packet. dll.so / usr / lib / i386-linux-gnu / wine rm -rf wine_pcap_dlls.tar.gz wpcap / packet / sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Carica Intercepter-NG v1. 0 ed elimina i file dll wpcap.dll e Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw\u003dtrue -O Intercepter-NG .zip decomprimere Interceptre-NG.zip rm wpcap.dll rm Packet.dll sudo wine Interceptre-NG.exe

Installazione su Windows

Per installare Interceptre-NG in Windows, vai su e scarica l'archivio corrispondente (senza lettere CE). Il programma non richiede installazione, basta decomprimere l'archivio ed eseguire il file .EXE.

Installazione su Android

Per installare Interceptre-NG su Android, vai su e scarica il file apk... I diritti di root sono necessari per eseguire correttamente l'applicazione.

Screenshot Interceptre-NG

Dopo 10 anni di sviluppo (questo è quanto ha colpito il progetto), l'indice della versione Interceptre-NG ha finalmente raggiunto 1.0. Per tradizione, gli aggiornamenti per Windows vengono rilasciati una volta all'anno e il rilascio dell'anniversario è stato davvero un successo. Ringrazio tutte le persone che, negli anni, hanno fornito assistenza nei test, fornito feedback dettagliati e ideologicamente ispirati. Cominciamo la recensione con le piccole cose e alla fine vedremo la caratteristica più deliziosa di Interceptre-NG 1.0.

1. In modalità RAW, è diventato possibile esportare i pacchetti selezionati in un file .pcap. Quando il salvataggio automatico è abilitato, i pacchetti contenenti dati di autorizzazione verranno scritti in un file.pcap separato.

2. Nel campo Extra SSL Ports, che è correlato a SSL MiTM, è ora possibile guidare più porte separate da virgole.

3. Quando si attacca un inoltro LDAP su un controller di dominio con una lingua diversa dall'inglese, nelle impostazioni avanzate, è possibile specificare il gruppo richiesto per aggiungere un utente, ad esempio, invece di Domain Admins, specificare l'equivalente russo Domain Admins.

4. Risolto un bug nel gestore hash NTLMv2SSP che non consentiva di indovinare correttamente la password.

5. Molti miglioramenti nella modalità Bruteforce. Aggiunto: supporto SSL per HTTP, supporto UTF8 per forza bruta LDAP, protocolli VNC, Vmware Auth Daemon e RDP. La forza bruta RDP funziona su Windows 7/8/2008/2012. Sono supportati NLA, accessi e password in qualsiasi lingua. Il livello di protezione RDP non è supportato.

6. Aggiunta l'opzione "Inject Reverse Shell" alle Iniezioni HTTP. Questo è un download forzato con un payload di backconnect alla shell incorporata dell'interceptor.

7. Molti miglioramenti e cambiamenti in generale. Lo spoofing è ora disabilitato per impostazione predefinita.

DESTINO

La modalità FATE combina due nuove funzioni: FAke siTE e FAke updaTE.

Abbiamo apportato alcune piccole modifiche a questo modello in modo che entrambi i campi siano attivi contemporaneamente. Prima dell'attacco, è necessario specificare il dominio in cui verrà ospitato il modello. Dopo l'inizio dell'attacco, un reindirizzamento al dominio selezionato viene iniettato nel traffico del bersaglio e successivamente l'intercettatore eseguirà automaticamente lo spoofing DNS agli indirizzi richiesti. Di conseguenza, la pagina di autorizzazione selezionata si aprirà nel browser. Il processo di clonazione di un sito è dimostrato anche nel video utilizzando mail.yandex.ru come esempio.

Gli amanti di Linux hanno familiarità con uno strumento chiamato Evilgrade, che consente di sfruttare il meccanismo di aggiornamento automatico e implementare un payload arbitrario. In effetti, questo vettore è notevolmente sovrastimato, in primo luogo, l'impressionante elenco di applicazioni supportate in Evilgrade è per lo più obsoleto e, in secondo luogo, la maggior parte delle applicazioni più popolari controlla gli aggiornamenti in modo sicuro.

Tuttavia, tutti hanno sentito parlare di omissioni di alto profilo nei meccanismi di aggiornamento dei grandi fornitori e di sicuro ciò accadrà in futuro, quindi un analogo di Evilgrade è apparso in Interceptre-NG, ma l'elenco dei software supportati è molto modesto. Se lo desideri, puoi aggiungere i tuoi modelli, la loro struttura può essere visualizzata in miscFATEupdates. Invia il software che viene aggiornato apertamente, riempiremo il database.

X-Scan

Molti anni fa, mi piaceva molto uno scanner di sicurezza di rete del team cinese Xfocus chiamato X-Scan. Design leggero e conveniente, buona funzionalità. A metà degli anni 2000 ti ha permesso di creare molto, ma in seguito il suo sviluppo si è fermato e nelle realtà attuali è di scarsa utilità. Per questo motivo, volevo creare la sua controparte moderna, ma in qualche modo non ha funzionato ... fino a poco tempo fa. Per vecchio amore, è sotto questo nome che Interceptre-NG ha il proprio scanner di rete, che ha sostituito il primitivo port scanner delle versioni precedenti. Allora, cosa sa come.

1. Scansione delle porte aperte e rilevamento euristico dei seguenti protocolli: SSH, Telnet, HTTPProxy, Socks45, VNC, RDP.

2. Determinare la presenza di SSL su una porta aperta, leggere banner e varie intestazioni web.

3. Se viene trovato un proxy o un sox, verificare la loro apertura verso l'esterno.

4. Verificare l'accesso senza password ai server VNC, controllare SSL per HeartBleed. Leggi version.bind da DNS.

5. Verificare nel database la presenza di script sul server Web, potenzialmente vulnerabili a ShellShock. Controlla l'elenco di directory e file per 200 OK nel database, così come l'elenco di directory da robots.txt.

6. Determinare la versione del sistema operativo tramite SMB. Se hai accesso anonimo, ottieni l'ora locale, il tempo di attività, l'elenco delle risorse condivise e gli utenti locali. Per gli utenti trovati, viene lanciato un attacco di forza bruta automatico

7. Determinare in base all'elenco integrato di utenti SSH misurando il tempo di risposta. Per gli utenti trovati, viene lanciato un attacco di forza bruta automatico Se l'enumerazione non funziona (non funziona su tutte le versioni), l'enumerazione viene avviata solo per root.

8. Forza bruta automatica per HTTP di base e Telnet. Date le peculiarità del protocollo telnet, sono possibili falsi positivi.

Per un risultato più accurato, è possibile scansionare solo 3 host alla volta. Letteralmente all'ultimo momento, sono stati aggiunti controlli per i dati dai certificati SSL, ad esempio, se viene incontrata la parola Ubiquiti e la porta 22 è aperta, viene avviata automaticamente la forza bruta SSH dell'utente ubnt. Idem per un paio di pezzi di ferro Zyxel con l'utente amministratore. Per la prima versione dello scanner, la funzionalità è sufficiente ed è ben debug. Invia le tue idee e desideri.

ps: presto apparirà la prima versione del manuale in russo.

Sito: sniff.su
Specchio: github.com/intercepter-ng/mirror
Posta: [email protected]
Twitter: twitter.com/IntercepterNG
Forum: intercepterng.boards.net
Blog: interceptre-ng.blogspot.ru

Ciao amici.

Come ho promesso, continuo con il programma Interceptre-ng.

Oggi ci sarà una panoramica pratica.

Attenzione: non dovresti modificare le impostazioni o premere irragionevolmente le impostazioni. Nella migliore delle ipotesi, potrebbe non funzionare o interromperai il Wi-Fi. E ho avuto un caso in cui le impostazioni del router sono state ripristinate. Quindi non pensare che tutto sia innocuo.

E anche con le stesse impostazioni delle mie non significa che tutto funzionerà senza problemi. In ogni caso, per affari seri, dovrai studiare il lavoro di tutti i protocolli e le modalità.

Iniziamo?

Intercettazione di cookie e password.

Partiamo dalla classica intercettazione di password e cookie, in linea di massima la procedura è la stessa dell'articolo, ma la riscriverò ancora, con delucidazioni.

A proposito, gli antivirus possono spesso attivare tali cose e ridurre l'intercettazione dei dati tramite Wi-Fi

Se la vittima è seduta su un dispositivo Android o IOS, puoi accontentarti del solo fatto che la vittima accede solo al browser (password, siti Web, cookie); se la vittima utilizza un client social per VK, sorgono già problemi, semplicemente smettono di funzionare. Nell'ultima versione di Interceptre NG, puoi risolvere il problema sostituendo il certificato della vittima. Ne parleremo più avanti.

Per cominciare, in genere decidi cosa devi ottenere dalla vittima? Forse hai bisogno di password dai social network o forse solo dai siti. Forse i cookie sono sufficienti per andare sotto la vittima e fare qualcosa subito, oppure hai bisogno di password per il salvataggio futuro. Hai bisogno di analizzare in futuro le immagini visualizzate dalla vittima e alcune pagine o non hai bisogno di questa roba? Sai che la vittima è già entrata nel sito (è già loggato durante la transizione) o inserirà solo i suoi dati?

Se non è necessario ricevere immagini dalle risorse visitate, parti di file multimediali e vedere alcuni siti salvati nel file html, disattivare Impostazioni - Risurrezione. Ciò ridurrà leggermente il carico sul router.

Cosa può essere attivato in Impostazioni - se sei connesso tramite cavo ethernet devi attivare Spoof Ip / mac. Attiva anche il Cookie killer (aiuta a reimpostare i cookie in modo che la vittima lasci il sito). Cookie killer appartiene a SSL Strip Attack, quindi non dimenticare di attivarlo.

È anche meglio se Promiscious è attivato, il che consente di migliorare l'intercettazione, ma non tutti i moduli lo supportano ... È possibile rinunciare alla modalità Extreme. Con esso, a volte intercetta più porte, ma appaiono informazioni extra + carico ...

Per prima cosa selezioniamo l'interfaccia attraverso la quale si è connessi ad Internet e il tipo di connessione Wi-fi o Ethernet se collegata tramite cavo al router.

In modalità di scansione, fare clic con il pulsante destro del mouse su un campo vuoto e fare clic su Smart scan. Tutti i dispositivi sulla rete vengono scansionati, resta da aggiungere le vittime necessarie per Aggiungi nat.

Oppure puoi inserire qualsiasi IP, andare alle impostazioni - modalità esperto e selezionare la casella Auto ARP veleno, nel qual caso il programma aggiungerà tutti coloro che sono connessi e si connetteranno alla rete.

Non ci resta che passare alla modalità Nat.

Fai clic su configura mitm, qui SSL mitm e SSL strip sono utili.

SSL mitm ti consente solo di intercettare i dati, sebbene molti browser reagiscano, avvertendo la vittima.

Striscia SSL consente alla vittima di passare dal protocollo sicuro Https a HTTP, così come il cookie killer di funzionare.

Non ci serve altro, premiamo start arp poison (icona radiazioni) e aspettiamo l'attività della vittima.

Nella sezione modalità password, fare clic su pkm e Mostra coolies. Quindi puoi fare clic su cookie pkm e andare all'URL completo.

A proposito, se la vittima è sui social network, c'è la possibilità che la sua corrispondenza attiva appaia in modalità Messaggeri.

Http inject (consegna un file alla vittima).

Mmm, opzione piuttosto dolce.

Puoi indurre la vittima a scaricare il file. Possiamo solo sperare che la vittima avvii il file. Per plausibilità, puoi analizzare quali siti visita la vittima, inserire qualcosa come un aggiornamento.

Ad esempio, se la vittima è su VK, denomina il file vk.exe. forse la vittima inizierà a decidere che è utile cosa.

Iniziamo.

Modalità Bruteforce.

Forza bruta e modalità forza bruta

Uno dei modi per usarlo è l'accesso brute-force al pannello di amministrazione del router. Anche alcuni altri protocolli.

Bruto ha bisogno

Inserisci l'ip del router nel server di destinazione, protocollo telnet, nome utente è il nome utente, nel nostro caso Admin.

In basso c'è un pulsante su cui è disegnata una cartella, fai clic su di esso e apri l'elenco delle password (nella cartella con il programma, misc / pwlist.txt c'è un elenco di password usate di frequente, oppure puoi usare il tuo elenco).

Dopo il caricamento, premi start (triangolo) e vai a bere il tè.

Se ci sono corrispondenze (viene trovata una password), il programma si ferma.

È necessario conoscere il nome utente. Ma se vuoi accedere al router prova quello predefinito - admin.

Come fare il bruto.

Cambia traffico (sostituzione del traffico).

La funzione è più che altro uno scherzo. Puoi cambiare in modo che la vittima che entra in un sito, vada a un altro in cui entri.

In modalità traffico a sinistra, inserisci una richiesta, a destra, il risultato, ma con lo stesso numero di lettere e simboli, altrimenti non funzionerà.

Esempio: a sinistra martelleremo una richiesta modificabile, a destra abbiamo bisogno di cambiare test1 in test2 (seleziona Disabilita HTTP gzip).

Dopo aver inserito premere AGGIUNGI e poi OK.

Infine, un video su come intercettare i dati da IOS dai client, perché come sapete, con un attacco Mitm, le loro applicazioni smettono semplicemente di funzionare.

Presto girerò un video su quanto scritto nell'articolo.

Era l'intercettazione dati Wi-Fi.

Fondamentalmente è così. C'è qualcosa da aggiungere: scrivi, c'è qualcosa da correggere, basta scrivere.

Fino alla prossima volta.