Sicherheitsinformationsportal. Kali Linux Tools Was ist Intercepter-NG?

Nach 10 Jahren Entwicklung (so sehr hat das Projekt getroffen) hat der Index der Intercepter-NG-Version endlich 1,0 erreicht. Traditionell werden Updates für Windows einmal im Jahr veröffentlicht, und die Jubiläumsveröffentlichung war wirklich ein Erfolg. Ich möchte allen Menschen danken, die im Laufe der Jahre beim Testen geholfen, detailliertes Feedback gegeben und ideologisch inspiriert haben. Beginnen wir den Test mit den kleinen Dingen und am Ende werden wir die köstlichste Funktion von Intercepter-NG 1.0 betrachten.

1. Im RAW-Modus wurde es möglich, ausgewählte Pakete in eine .pcap-Datei zu exportieren. Wenn die automatische Speicherung aktiviert ist, werden Pakete mit Autorisierungsdaten in eine separate Datei geschrieben.

2. Im Feld Zusätzliche SSL-Ports, das sich auf SSL MiTM bezieht, können Sie jetzt mehrere durch Kommas getrennte Ports steuern.

3. Bei einem LDAP-Relay-Angriff auf einen Domänencontroller mit einer anderen Sprache als Englisch können Sie in den Experteneinstellungen die erforderliche Gruppe angeben, um einen Benutzer hinzuzufügen. Geben Sie beispielsweise anstelle von Domänenadministratoren die entsprechenden russischen Domänenadministratoren an.

4. Es wurde ein Fehler im NTLMv2SSP-Hash-Handler behoben, der keine korrekte Kennwortschätzung ermöglichte.

5. Viele Verbesserungen im Bruteforce-Modus. Hinzugefügt: SSL-Unterstützung für HTTP, UTF8-Unterstützung für LDAP-Brute-Force, VNC-Protokolle, Vmware Auth Daemon und RDP. RDP Brute-Force funktioniert unter Windows 7/8/2008/2012. NLA sowie Anmeldungen und Kennwörter in jeder Sprache werden unterstützt. Die RDP-Sicherheitsschicht wird nicht unterstützt.

6. Die Option "Inject Reverse Shell" wurde zu HTTP Injections hinzugefügt. Dies ist ein erzwungener Download mit einer Backconnect-Nutzlast für die integrierte Shell des Interceptors.

7. Viele Verbesserungen und Änderungen im Allgemeinen. Spoofing ist jetzt standardmäßig deaktiviert.

SCHICKSAL

Der FATE-Modus kombiniert zwei neue Funktionen: FAke siTE und FAke updaTE.

Das Hauptziel von FAke siTE besteht darin, Autorisierungsdaten von jeder Webressource unter Umgehung von SSL und anderen Sicherheitsmechanismen abzurufen. Dies wird erreicht, indem die Autorisierungsseite geklont und eine Vorlage erstellt wird, die auf dem integrierten Pseudo-Webserver abgelegt wird. Wie das funktioniert, zeigt das Video am Ende des Beitrags. Standardmäßig enthält der Interceptor seitdem eine Vorlage für accounts.google.com Auf der Originalseite müssen Sie nacheinander das Feld mit dem Login und dann mit dem Passwort ausfüllen.

Diese Vorlage wurde geringfügig geändert, um beide Felder gleichzeitig zu aktivieren. Vor dem Angriff müssen Sie die Domäne angeben, in der die Vorlage gehostet wird. Nach dem Start des Angriffs wird eine Umleitung zur ausgewählten Domäne in den Datenverkehr des Ziels eingefügt, und anschließend führt der Interceptor automatisch DNS-Spoofing an die erforderlichen Adressen durch. Infolgedessen wird die ausgewählte Autorisierungsseite im Browser geöffnet. Der Prozess des Klonens einer Site wird auch im Video am Beispiel von mail.yandex.ru demonstriert.

Linux-Liebhaber kennen ein Tool namens Evilgrade, mit dem Sie den automatischen Update-Mechanismus nutzen und eine beliebige Nutzlast implementieren können. Tatsächlich wird dieser Vektor stark überschätzt. Erstens ist die beeindruckende Liste der unterstützten Anwendungen in Evilgrade größtenteils veraltet, und zweitens suchen die meisten der beliebtesten Anwendungen auf sichere Weise nach Updates.

Trotzdem hat jeder von hochkarätigen Auslassungen in den Aktualisierungsmechanismen großer Anbieter gehört, und dies wird sicherlich in Zukunft geschehen. Daher erschien in Intercepter-NG ein Analogon zu Evilgrade, aber die Liste der unterstützten Software ist sehr bescheiden. Wenn Sie möchten, können Sie Ihre eigenen Vorlagen hinzufügen. Ihre Struktur kann in verschiedenen Datumsangaben angezeigt werden. Senden Sie Software, die offen aktualisiert wird, wir werden die Datenbank auffüllen.

X-Scan

Vor vielen Jahren mochte ich einen Netzwerksicherheitsscanner des chinesischen Xfocus-Teams namens X-Scan sehr. Geringes Gewicht, praktisches Design, gute Funktionalität. Mitte der 2000er Jahre konnten Sie viel schaffen, aber später hörte die Entwicklung auf und in der gegenwärtigen Realität ist es von geringem Nutzen. Aus diesem Grund wollte ich sein modernes Gegenstück schaffen, aber irgendwie hat es nicht geklappt ... bis vor kurzem. Aus alten Gründen hat Intercepter-NG unter diesem Namen einen eigenen Netzwerkscanner, der den primitiven Port-Scanner aus den vorherigen Versionen ersetzt hat. Also, was weiß er wie.

1. Scannen Sie offene Ports und erkennen Sie heuristisch die folgenden Protokolle: SSH, Telnet, HTTPProxy, Socks45, VNC, RDP.

2. Ermitteln Sie das Vorhandensein von SSL an einem offenen Port, lesen Sie Banner und verschiedene Web-Header.

3. Wenn ein Proxy oder Soks gefunden wird, überprüfen Sie deren Offenheit nach außen.

4. Überprüfen Sie den kennwortlosen Zugriff auf VNC-Server und SSL auf HeartBleed. Lesen Sie version.bind von DNS.

5. Überprüfen Sie die Datenbank auf das Vorhandensein von Skripten auf dem Webserver, die möglicherweise für ShellShock anfällig sind. Überprüfen Sie die Liste der Verzeichnisse und Dateien auf 200 OK in der Datenbank sowie die Liste der Verzeichnisse aus robots.txt.

6. Ermitteln Sie die Betriebssystemversion über SMB. Wenn Sie anonymen Zugriff haben, erhalten Sie Ortszeit, Verfügbarkeit, Liste der freigegebenen Ressourcen und lokale Benutzer. Für gefundene Benutzer wird ein automatischer Brute-Force-Angriff gestartet.

7. Bestimmen Sie anhand der integrierten Liste der SSH-Benutzer die Antwortzeit. Für gefundene Benutzer wird ein automatischer Brute-Force-Angriff gestartet. Wenn die Aufzählung nicht funktioniert (nicht bei allen Versionen), wird die Aufzählung nur für root gestartet.

8. Automatische Brute-Force für HTTP Basic und Telnet. Aufgrund der Besonderheiten des Telnet-Protokolls sind Fehlalarme möglich.

Jedes Ziel kann sowohl im lokalen Netzwerk als auch im Internet gescannt werden. Sie können eine Liste der zu scannenden Ports angeben: 192.168.1.1:80,443 oder den Bereich 192.168.1.1:100-200. Sie können einen Adressbereich für den Scan angeben: 192.168.1.1-192.168.3.255.

Für ein genaueres Ergebnis können nur 3 Hosts gleichzeitig gescannt werden. Im letzten Moment wurden buchstäblich Überprüfungen auf Daten von SSL-Zertifikaten hinzugefügt. Wenn beispielsweise das Wort Ubiquiti gefunden wird und Port 22 geöffnet ist, wird die Brute-Force-SSH des ubnt-Benutzers automatisch gestartet. Das Gleiche gilt für ein Paar Zyxel-Eisenstücke mit dem Administrator. Für die erste Version des Scanners ist die Funktionalität ausreichend und gut getestet. Senden Sie Ihre Ideen und Wünsche.

ps: Die erste Version des Handbuchs in russischer Sprache wird in Kürze erscheinen.

Seite: sniff.su
Spiegel: github.com/intercepter-ng/mirror
Mail: [E-Mail geschützt]
Twitter: twitter.com/IntercepterNG
Forum: intercepterng.boards.net
Blog: intercepter-ng.blogspot.ru

Hallo an alle, die den Artikel lesen.

Es wurde beschrieben, wie Kennwörter und Cookies im Netzwerk mit dem Programm Intercepter-ng abgefangen werden.

Einige wollten mehr über die Funktionalität erzählen, andere wollten mehr Funktionen zeigen, andere fragten nach der neuesten Version (derzeit Version 0.9.10).

Ich musste meinen faulen Arsch heben und anfangen, all das Material zu studieren, das ich Stück für Stück fand.

Als ich anfing, einen Entwurf zu schreiben, wurde mir klar, dass ein Artikel nicht ausreichte. Daher wird es heute nur eine Theorie geben, eine Beschreibung einiger Funktionen und Modi von Intercepter-ng. Innerhalb von zwei oder drei Tagen werde ich über die Arbeit mit dem Programm in der Praxis schreiben, und dann wird es mehrere Videos geben (für diejenigen, die es leichter finden zu lernen).

Ich sage sofort - ich habe kein tiefes technisches Wissen, also schreibe ich in einfachen Worten und damit es den normalen Menschen klar ist. Wenn Sie eine Ungenauigkeit in meinen Beschreibungen bemerken oder etwas hinzuzufügen haben, schreiben Sie in die Kommentare.

Ich kann nicht jede Funktion beschreiben, nur das, was ich selbst finden konnte.

Beginnen wir mit der Untersuchung des Patienten.

Intercepter-ng. Pentester-Hacker-Tool.

Funktionalität (nur ein kleiner Teil aller Möglichkeiten).

Werfen wir einen Blick auf die Modi und Schaltflächen.

1 - Wählen Sie die Schnittstelle aus, über die Sie mit dem Router verbunden sind (das Symbol auf der linken Seite wechselt zwischen WLAN oder Kabelmodus, wählen Sie Ihre).

2 — Messenger-Modus. Die Funktion zum Abfangen von ICQ \\ AIM \\ JABBER-Nachrichten. Ich halte es heutzutage für irrelevant, daher wird es nicht berücksichtigt.

3. — Auferstehungsmodus - Wiederherstellungsmodus. Wenn das Opfer Websites durchsucht, gibt es Dateien, Bilder, einige HTML-Seiten usw. Sie werden mit Ihnen gespeichert (möglicherweise werden nicht alle oder teilweise gespeichert). Vielleicht ist der Analysemodus für jemanden nützlich.

4. - Passwortmodus - Hier werden Cookies angezeigt, mit etwas Glück die vom Opfer eingegebenen Passwörter und die besuchten Websites. Mit dem HTTP-Protokoll wird oft alles auf Null reduziert und nur Cookies werden mit etwas Glück rüberkommen. Dank einiger Einstellungen kann es jedoch manchmal umgangen werden (dazu später mehr).

5 .. Hier werden wir nach unseren Opfern suchen. Klicken Sie dazu mit der rechten Maustaste in das Fenster und wählen Sie Smart Scan.

Alle Geräte im Netzwerk und ihr ungefähres Betriebssystem werden angezeigt.

Stealth IP ist Ihre versteckte IP, unter der Sie sich in Ihrer Arbeit verstecken.

Schauen wir uns den Modus genauer an.

Wenn Sie auf "Promisc-Erkennung" klicken, werden Geräte angezeigt, die am wahrscheinlichsten den Datenverkehr abfangen (häufig falsch) ... Vorsichtig, da dies zeigen kann, dass Ihr Router auch ein Abfangjäger ist.

Durch Klicken auf eine bestimmte IP können Sie Nat ein Opfer hinzufügen (Add to nat), um weiter abzufangen.

Wenn Sie "Ports scannen" auswählen, können Sie auch offene Ports scannen. Die Funktionen sind weit von Nmap entfernt, aber wenn nur dieses Programm zur Hand ist, reicht es aus.

Hier gibt es nichts Interessanteres.

6. Nat-Modus... Nat-Modus - Der Hauptmodus, in dem wir arbeiten werden. Hier werden grundlegende Vorbereitungs- und ARP-Angriffe durchgeführt.

In diesem Artikel werde ich mich nicht darauf konzentrieren, wir werden es im nächsten betrachten.

7. DHCP-Modus... DHCP-Modus - Ermöglicht das Erhöhen Ihres DHCP-Servers im Netzwerk. Ich habe mit diesem Modus nicht gearbeitet und kann Ihnen nichts darüber erzählen.

8. RAW-Modus - Rohmodus. Es ist dem Wireshark-Programm aus der Ferne ähnlich. Zeigt die Hauptaktivität im Netzwerk an. Manchmal kann man etwas Interessantes fangen, wenn man natürlich weiß, wonach man suchen muss.

neun. Intercepter-ng-Einstellungen. Ein wichtiger Teil, also schauen wir uns das genauer an.

Fach verriegeln - Wenn das Programm minimiert ist, wird ein Passwort in das Fach gelegt. Das Standardkennwort lautet 4553.

Sitzung sichern - speichert Berichte automatisch in PCAP-Dateien zur weiteren Untersuchung und Analyse.

Promiscuous - "Messy Mode". Bei Aktivierung liest das Programm alle Pakete. Wenn es nicht installiert ist, liest es nur Pakete, die an die angegebene Schnittstelle gesendet werden. Nicht jedes Wi-FI-Modul kann damit arbeiten. Ich habe keine Ahnung, wofür es ist, ich habe den Unterschied damit und ohne nicht bemerkt.

Automatisch speichern... Speichert Berichte automatisch im Textformat im Stammordner mit dem Programm.

Rasteransicht... Ansicht in Form von Tabellen. Wenn deaktiviert, werden Berichte im Programm in eine Liste aufgenommen. Sehen Sie, wie bequem es ist, mit oder ohne.

Ios Killer und Cookie Killer... Fast gleich. Der Cookie-Killer ist so konzipiert, dass das Opfer, wenn es bereits ein Passwort auf der Site hat, die Site verlässt und erneut eingeben muss. Daher erhalten Sie ein Passwort. Ios Killer wurde für Iphone und Ipad entwickelt, sodass das Opfer die Social-Client-Programme (VK, Facebook, Icloud usw.) verlässt.

Kerberos-Downgrade.Kerberos ist ein Netzwerkprotokoll, eine der Authentifizierungsarten. Dank der Funktion, die jdm Hijaking verwendet, können Sie diesen Schutz umgehen. Ich selbst habe ein solches Protokoll nicht erfüllt, daher werden wir es nicht berücksichtigen.

Hsts... Ein interessanter Trick, um Hsts aus der neuesten Version zu umgehen, aber nicht ganz stabil. Das Fazit ist, dass viele Sites automatisch von Http zu Https Secure Protocol wechseln, wodurch verhindert wird, dass wir Daten abfangen. SSl-Streifen kommen nicht immer zurecht, daher kann diese Funktion manchmal hilfreich sein. Ich werde das Prinzip nicht beschreiben (Sie finden es auf Habré).

Das einzige, was Sie im Ordner mit dem Programm tun müssen, ist, die erforderliche Domäne zur Datei misc \\ hsts.txt hinzuzufügen. Einige beliebte sind bereits da. Unter dem Strich muss der Hauptdomäne ein Buchstabe zugewiesen werden. Zum Beispiel vk.com:vvk.com oder ok.ru:oks.ru und so weiter.

Das Programm ersetzt die geschützte Autorisierungsseite auf der Site durch eine gefälschte, aber die Autorisierungs-IP bleibt wie auf der Hauptseite.

In meinem Beispiel funktioniert es manchmal jedes Mal, aber besser als nichts. Experimentieren Sie allgemein.

Wpad-Konfiguration. Geben Sie WPAD-WebProxy Auto-Discovery ein oder aktivieren Sie den Standard-Wpad-Proxy. Um es zu aktivieren, aktivieren Sie im Nat-Modus das Kontrollkästchen Wpad mitm.

Im Exppert-Modus (Planetensymbol) interessiert uns möglicherweise das Kontrollkästchen Auto-ARP-Gift. Das heißt, wenn Personen eine Verbindung zum Netzwerk herstellen, werden sie automatisch zum Nat-Modus hinzugefügt.

Im Abschnitt Einstellungen gibt es also nichts weiter zu beachten.

10. - HeartBleed Exploit - Suchen Sie nach der HeartBleed-Sicherheitsanfälligkeit.

11. - Bruteforce-Modus - Brute für einige Zielprotokolle. Sie müssen den Benutzernamen kennen. Passwörter für Brute sind im Programm enthalten und Sie können Ihr eigenes Wörterbuch verwenden.

12. ARP Uhr - In diesem Modus können Sie beobachten, ob bei Angriffen ein ARP-Angriff ausgeführt wird (Abhörverkehr usw.). Im Nat-Modus wird rechtzeitig eine Warnung angezeigt.
13. ARP-Käfig - Arp-Zelle. Isoliert den Host. Leitet das Opfer auf eine andere IP um. nützlich, wenn Sie den Verdacht auf ausgehenden Spam usw. haben.

Dies sind eigentlich alle Informationen, die ich finden und erkennen kann.

Auf der Seite Avi1.ru Sehr günstige VK-Reposts können bereits bestellt werden. Beeilen Sie sich, um einen profitablen Kauf zu tätigen, während der Service wirklich erhebliche Großhandelsrabatte bietet. Sie können auf jeder Seite des Netzwerks auch andere Ressourcen abrufen: Likes, Ansichten von Datensätzen und Videos, Abonnenten, Freunde usw.

Ein wenig über den Nat-Modus.

Da alle Hauptarbeiten direkt in diesem Modus stattfinden werden, werde ich versuchen zu beschreiben, was uns bevorsteht.

Router-IP - direkt die IP des Routers, mit dem sie verbunden sind. Sie wird automatisch erkannt, wenn Sie Smart Scan im Scan-Modus ausführen.

Stealth Ip - Dein verstecktes Ip.

Nat cliens - die angegriffenen "Opfer" werden hier angezeigt.

Mitm Optionen.

Mitms konfigurieren - Hier werden grundlegende Mitm-Angriffe aktiviert / deaktiviert.

Ich werde mir zwei ansehen: SSL Mitm und SSL Strip.

SSL mitm - Eine Technik, die die Zertifikate des Opfers ersetzt.

Erforderlich beim Abfangen von Daten. Leider haben viele Browser und Clients auf Mobiltelefonen gelernt, sie zu blockieren, uns zu warnen oder uns sogar daran zu hindern, auf das Internet zuzugreifen.

SSL-Streifen - Auch eine Funktion, die wir oft brauchen. SSL ist versteckter. "Silent" -Technik zum Abfangen von HTTPS-Verbindungen. Hier gibt es kein Spoofing von Zertifikaten, daher ist die Berechnung schwieriger und es gibt keine Sicherheitswarnungen. Erforderlich bei Verwendung des Cookie-Killers. wenn wir dem Opfer eine Akte zusenden müssen usw. Wir werden im nächsten Artikel genauer darauf eingehen.

Verkehrswechsler - Verkehrssubstitution. Nutzlose Funktionalität zum Spaß. Spoofing einer HTTP-Anfrage an das Opfer (z. B. möchte eine Person zu einer Site gelangen und diese an eine andere weiterleiten). Aber hier ist nicht alles glatt, mehr Details im nächsten Artikel.

HTTP-Injection konfigurieren - hier konfigurieren wir das Opfer so, dass es die benötigte Datei herunterlädt. Es kann ein harmloses Bild, Skript oder Programm sein. Weitere Details im nächsten Artikel.

Die Tasten Start Arp Poison und Start nat beginnen unseren Angriff. Wenn Sie Start Arp Poison einschalten, wird die zweite sofort aktiviert. Bevor Sie es aktivieren, müssen Sie Folgendes aktivieren: - Beginnen Sie oben neben der Auswahl der Router-Schnittstelle mit dem Schnüffeln.

Das ist eigentlich alles in diesem Artikel. Ich bin überrascht über Ihren Auszug, wenn Sie bis zu diesem Punkt lesen. Wenn Sie etwas korrigieren oder hinzufügen müssen, schreiben Sie in die Kommentare, und ich werde es dem Artikel hinzufügen.

Eines Tages werde ich bereits in Betracht ziehen, in der Praxis mit Intercepter-ng zu arbeiten. Also bleib bei uns, bis wir uns wieder sehen.

Und vergiss nicht - Big Brother beobachtet dich!

Mit Intercepter-NG können Sie die MAC-Adresse und IP-Adresse aller Benutzer ermitteln, die mit dem öffentlichen Netzwerk verbunden sind. Mit dem Programm können Sie außerdem Cookies, ausgehenden und eingehenden Datenverkehr für illegale Zwecke abfangen.

Spezifikationen

Intercepter-NG ist eine multifunktionale Anwendung, die sich in den richtigen Händen in ein Werkzeug für illegale Operationen verwandelt. Erstens können damit alle Geräte identifiziert werden, die mit dem öffentlichen Netzwerk verbunden sind. Unter den Daten wird nicht nur die IP-Adresse angegeben, sondern auch die eindeutige MAC-Adresse des Geräts.

Zweitens können Sie mit der Anwendung den bidirektionalen Verkehr des ausgewählten Benutzers abfangen, Dateien durchsuchen, verwenden und sogar ersetzen. Da das Programm keine detaillierten Anweisungen zur Verwendung der Funktionalität enthält, müssen Sie über minimale Kenntnisse verfügen. In diesem Fall ermitteln Sie nicht nur die IP- oder MAC-Adresse, sondern können Cookies auch einfach abfangen, um die Korrespondenz anderer Personen zu lesen und sogar im Namen des Benutzers Maßnahmen zu ergreifen.

Eigenschaften:

• Rootzugang. Das Gerät muss über Root-Rechte verfügen, um alle Funktionen der Anwendung nutzen zu können.
• Die Möglichkeit, die IP- und MAC-Adresse eines Benutzers zu ermitteln, der denselben Zugriffspunkt wie Sie verwendet.
• Die Fähigkeit, Cookies zum Lesen von Korrespondenz und Aktionen mit Konten abzufangen.
• Die Fähigkeit, ausgehenden und eingehenden Verkehr abzufangen und Dateien zu ersetzen.

Eine minimalistische Benutzeroberfläche und ein stabiler Betrieb sind einige weitere Merkmale der Anwendung, die sie in engen Kreisen beliebt machen.

Beschreibung von Intercepter-NG

Intercepter-NG ist ein multifunktionaler Satz von Netzwerkwerkzeugen für IT-Experten verschiedener Typen. Das Hauptziel besteht darin, interessante Daten aus einem Netzwerkstrom wiederherzustellen und verschiedene Arten von Man-in-the-Middle-Angriffen (MiTM) durchzuführen. Darüber hinaus können Sie mit dem Programm ARP-Spoofing erkennen (kann zum Erkennen von Man-in-the-Middle-Angriffen verwendet werden), bestimmte Arten von Sicherheitslücken identifizieren und ausnutzen sowie Anmeldeinformationen für Brute-Force-Anmeldungen von Netzwerkdiensten erzwingen. Das Programm kann sowohl mit dem Live-Verkehrsfluss arbeiten als auch Dateien mit erfasstem Verkehr analysieren, um Dateien und Anmeldeinformationen zu erkennen.

Das Programm bietet folgende Funktionen:

• Schnüffeln von Passwörtern / Hashes der folgenden Typen: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC ++, VNC, MYSQL, ORACLE, NTLM, KRB5 , RADIUS
• Schnüffeln von Chat-Nachrichten: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
• Rekonstruktion von Dateien aus: HTTP, FTP, IMAP, POP3, SMTP, SMB
• Verschiedene Scan-Typen wie Promiscuous, ARP, DHCP, Gateway, Port und Smart Scan
• Paketerfassung und Post (Offline) -Analyse / RAW (Raw) -Modus
• Remote-Verkehrserfassung über RPCAP-Daemon und PCAP Over IP
• NAT, SOCKEN, DHCP
• ARP, DNS über ICMP, DHCP, SSL, SSLSTRIP, WPAD, SMB-Relay, SSH MiTM
• SMB Hijack, LDAP-Relay, MySQL LOAD DATA-Injektion
• ARP-Uhr, ARP-Käfig, HTTP-Injektion, Heartbleed Exploit, Kerberos-Downgrade, Cookie-Killer
• Spoofing von DNS, NBNS, LLMNR
• Brute Force verschiedene Netzwerkdienste

Die Hauptversion läuft unter Windows, es gibt eine Konsolenversion für Linux und eine Version für Android.

Lizenz: "wie sie ist"

Intercepter-NG-Modi

Intercepter-NG verfügt über sieben Hauptmodi, die der Anzahl der Programmregisterkarten und der Anzahl der Haupttasten entsprechen:

Dies sind die Modi:

• Boten
• Auferstehung
• Passwörter
• Scannen
• RAW (roh)

An erster Stelle setzen Messenger-Modus (ICQ-Logo). Dies geschah aus historischen Gründen - ursprünglich wurde Intercepter-NG als Programm zum Abfangen von Nachrichten von ICQ und anderen Instant Messenger erstellt.

Auferstehungsmodus (Das Logo auf der Schaltfläche ist Phoenix) bedeutet die Wiederherstellung von Dateien aus einem Netzwerk-Stream. Dies können Dateien mit Bildern sein, die auf Websites angezeigt werden, sowie Dateien mit übertragenen Archiven, Dokumenten und anderen.

Beim Umschalten auf Passwortmodus (Die dritte Schaltfläche ist der Schlüsselbund.) Sie sehen die vom Netzwerk-Stream erfassten Anmeldeinformationen. Site-Adressen, eingegebene Logins und Passwörter werden angezeigt.

Wenn das Programm startet, wird es geöffnet Scan-Modus (mittlere Taste - Radar). Dies ist der Anfangsmodus zum Starten von Angriffen: Auf dieser Registerkarte können Sie scannen, Ziele auswählen und andere Netzwerkparameter festlegen.

Tab MiTM (Patchkabel-Bundle) enthält Felder zur Eingabe von Zieleinstellungen, von denen viele beim Scannen automatisch auf der Registerkarte Scannen ausgefüllt werden. Es gibt auch Schaltflächen zum Starten einer Vielzahl von MiTM-Angriffen.

Tab DHCPenthält einige Netzwerk- und DHCP-Servereinstellungen.

RAW-Modus (roh) Zeigt Rohinformationen zu den im Netzwerkstrom übertragenen Daten an. Die Informationen werden in ähnlicher Form wie dargestellt.

Tipps zur Verwendung und Fehlerbehebung von Intercepter-NG:

• Für Intercepter-NG muss WinPcap funktionieren, muss jedoch nicht separat installiert werden, da Intercepter mit einer portablen Version von WinPcap geliefert wird.
• Wenn Sie Ihren Adapter nicht in der Liste der Adapter sehen, bedeutet dies, dass WinPcap Ihre Karte nicht unterstützt.
• Wenn mit der WiFi-Karte nichts funktioniert, auch nicht mit dem ARP-Ätzen, wechseln Sie mit dem NIC-Symbol auf der linken Seite der Adapterliste in den WiFi-Modus. Stellen Sie außerdem sicher, dass die Stealth IP über einen Internetzugang verfügt.
• In einigen seltenen Situationen blockiert der BFE-Dienst (Base Filtering Engine) möglicherweise lokale Intercepter-Ports. Es manifestiert sich wie folgt: ARP funktioniert, aber andere MiTM-Funktionen funktionieren nicht (unter Windows 7 und höher). Antivirenprogramme wie Avast können sie auch blockieren, wenn der Netzwerkschutz in der Systemsteuerung deaktiviert ist. Ein weiterer Grund für dieses Verhalten kann der gleichzeitige Betrieb der WiFi-Verbindung und des Intsein.
• Intercepter unterstützt die 802.11-Kapselung, sodass Sie PCAP-Dumps aus Programmen und verwenden können. PPPoE-, GRE (PP2P) -Kapselungen und optionale 802.11-Header werden ebenfalls unterstützt. Dies bedeutet nicht, dass Intercepter verschlüsselte Daten analysieren kann, sondern dass Intercepter in der Lage ist, Ethernet \\ ip-Header von Paketen dieser Art zu entfernen und sie zu analysieren.
• Aufgrund von Protokollbeschränkungen werden Quelle und Ziel von UIN \\ MAIL \\… möglicherweise nicht auf der Registerkarte Chat-Nachrichten angezeigt.
• Um Daten aus der Kennworttabelle zu kopieren, klicken Sie auf die Zeile und drücken Sie Strg + C.
• Verwenden Sie zum Ausblenden des Programmfensters die Tastenkombination Strg + Alt + S. Klicken Sie erneut darauf, um das Fenster erneut anzuzeigen.
• Intercepter kann sogar unter win9x (98 und 95!) Ausgeführt werden. Sie müssen jedoch WinPcap 3.1 oder WinPcap 4.0beta2 installieren. Neuere WinPcap-Builds unterstützen win9x nicht.
• Konsolenmodus für die Offline-Analyse:

./intercepter -t dump.cap

• Um das automatische Schnüffeln zu aktivieren, müssen Sie öffnen settings.cfg und bearbeiten " autorun". Die Standardeinstellung ist 0 Ändern Sie die Nummer der Schnittstelle, an der Sie schnüffeln möchten.
• Intercepter konvertiert rohe IP-gekapselte PCAP-Dumps in Ethernet-Kapselung (Hinzufügen von Ethernet-Header-Informationen).
• Intercepter kann ein neues Format lesen - pcapng. Da alle Wireshark pcapng-Erfassungsdateien nur den Typ "Enhanced Packet Block" verwenden, unterstützt Intercepter nur diesen Typ von Paketblock. Außerdem werden Kommentare zu Paketen angezeigt.
• Im RAW-Modus können Sie mithilfe von PCAP-Filtern Ihre eigenen Regeln festlegen, um den Datenverkehr zu filtern. Weitere Informationen finden Sie in der PCAP-Filtersyntax. Beispiel:

Port 80

bedeutet, nur Pakete vom TCP-Port 80 vom Kernel zu empfangen.

Nicht Port 80

bedeutet, Pakete von Port 80 auszuschließen

Sie können Regeln kombinieren:

Port 80 und nicht Port 25

• Sie sollten im Raw-Modus nicht mit großen Dumps arbeiten, da Intercepter jedes Paket in den Speicher lädt und die Festplatte nicht als Swap-Partition (Datei) verwendet.

Hinweise zur Intercepter-NG-Option

Sniffer-Optionen:

• Wenn Sie eine Offline-PCAP-Dump-Analyse durchführen möchten, deaktivieren Sie das Kontrollkästchen „ Hosts auflösen”.
• Wenn Sie die Option " Fach verriegeln"Wenn Sie dann ein Fenster aus dem Fach wiederherstellen, werden Sie nach einem Kennwort gefragt. Das Standardkennwort lautet" 4553 ". Sie können es in der Datei ändern settings.cfg... Das Passwort ist base64-codiert.
• Möglichkeit " Sitzung sichern"bedeutet, dass Intercepter alle empfangenen Pakete in einer PCAP-Datei speichert. Diese Datei kann für die Offline-Datenanalyse verwendet werden. Dies ist eine Art Exportfunktion.
• Wenn Sie installieren Promiscuousdann öffnet Intercepter den Netzwerkadapter im Promiscuous-Modus. Dies bedeutet, dass alle Pakete gelesen werden, auch diejenigen, die nicht für die angegebene Netzwerkschnittstelle vorgesehen sind. Wenn das Kontrollkästchen deaktiviert ist, werden nur Pakete gelesen, die an die angegebene Schnittstelle gesendet werden. Einige Wi-Fi-Karten unterstützen diesen Modus nicht.
• “Eindeutige Daten”- Nur eindeutige Anmeldungen und Passwörter anzeigen. Jene. Erfasste Anmeldungen und Passwörter nur einmal anzeigen - Wenn der Benutzer denselben Login und dasselbe Passwort erneut eingegeben hat, wird es nicht angezeigt.
• Automatisch speichern - Alle Textinformationen werden alle 10 Sekunden gespeichert.
• Standardmäßig ist das Häkchen bei „ Rasteransicht”. Dies bedeutet, dass Passwörter wie ein Datenraster aussehen. Deaktivieren Sie das Kontrollkästchen „Um detaillierte Informationen anzuzeigen“ Rasteransicht”.
• extrem.In einem typischen Workflow analysiert der Sniffer die vordefinierten Ports, die bestimmten Protokollen zugeordnet sind. Wenn wir http sagen, meinen wir Port 80 (oder 8080 oder was auch immer in der Liste der mit dem http-Protokoll verknüpften Ports vordefiniert ist). Jene. Nur diese Ports werden analysiert. Wenn einige Anwendungen einen anderen Port verwenden, z. B. 1234, analysiert der Sniffer keine Pakete, die ihn passieren. Im Modus extremIntercepter analysiert alle TCP-Pakete, ohne die Ports zu überprüfen. Jene. Selbst wenn eine Anwendung einen undefinierten Port verwendet, überprüft der Sniffer diese Pakete dennoch. Dies verlangsamt zwar die Leistung (es müssen viel mehr Ports überprüft werden als üblich) und kann fehlerhafte Daten aufdecken oder das richtige Protokoll verfehlen (6, beispielsweise verwenden FTP und POP3 denselben Authentifizierungstyp), ermöglicht es jedoch, interessante Daten an undefinierten Ports zu finden und abzufangen. Verwenden Sie diesen Modus auf eigenes Risiko. Seien Sie nicht überrascht, wenn im eingeschalteten eXtreme-Modus etwas schief geht.
• "Nur erfassen"bedeutet, dass Intercepter nur Pakete ohne Echtzeitanalyse in eine Speicherauszugsdatei ausgibt. Dies ist nützlich, um die Leistung zu verbessern, wenn Sie viele Netzwerkdaten erfassen.
• Möglichkeit Auferstehungbedeutet die Aufnahme des Auferstehungsmodus, der Dateien aus den im Netzwerkstrom übertragenen Daten rekonstruiert.
• IM-Ports
• HTTP... HTTP-zugeordnete Ports, Einzelheiten finden Sie in der Optionsbeschreibung extrem.
• Socken
• IRC \\ BNC

Intercepter-NG-Angriffsoptionen für Man-in-the-Middle (MiTM)

• Bei allen MiTM-Angriffen verwendet Intercepter das Spoofing (Spoofing) von IP \\ Mac-Adressen (Option) Parodie IP \\ MAC). Wenn Sie eine Wi-Fi-Schnittstelle verwenden, müssen Sie diese Option deaktivieren, da 99% der WLAN-Treiber das Senden von Paketen mit einem gefälschten Mac nicht zulassen. Obwohl Sie Ihre tatsächliche Adresse offenlegen, können Sie zumindest MiTM-Angriffe über die WLAN-Schnittstelle ausführen. Es ist besser als nichts. Verwenden Sie den WIFI-Modus, anstatt das Spoofing in den Einstellungen zu deaktivieren. Sie können den im Expertenmodus angezeigten Mac ändern.
• iOS Killer wurde für iCloud sowie für Instagram und VK hinzugefügt. Diese Funktion (iOS Killer) löscht Sitzungen bestimmter Anwendungen und ermöglicht das Abfangen der erneuten Autorisierung.
• Kerberos-Downgrade
• HSTS-Spoofing... HSTS mit SSL-Strip umgehen Die Bypass-Technik ist relativ einfach, aber bei der Implementierung gibt es bestimmte Schwierigkeiten, sodass Sie keine besonderen Ergebnisse erwarten sollten. Betrachten wir ein Beispiel für Yandex Mail mit dem Chrome-Browser. Wenn Sie zu ya.ru gehen, befindet sich in der oberen rechten Ecke ein https-Link "Enter mail", den SSL Strip problemlos verarbeiten kann. Als nächstes wird ein Autorisierungsformular geöffnet, in dem die Daten mithilfe der POST-Methode an passport.yandex.ru übertragen werden. Auch durch "Striping" erfolgt die https-Autorisierung seitdem über SSL Host passport.yandex.ru ist auf der vorinstallierten Chrome-Liste. Um die Daten abzufangen, müssen wir den Hostnamen passport.yandex.ru durch etwas anderes ersetzen, damit der Browser nicht erkennt, dass diese Ressource ausschließlich über eine sichere Verbindung besucht werden sollte. Beispielsweise können Sie passport.yandex.ru durch paszport.yandex.ru ersetzen. In diesem Fall werden die Daten im Klartext an den geänderten Domainnamen gesendet. Aber seit Es gibt keine solche Domain - paszport.yandex.ru, dann ist es zusätzlich erforderlich, DNS-Spoofing durchzuführen, d. h. Bei der Konvertierung von paszport.yandex.ru sollte der Client als Antwort die ursprüngliche IP-Adresse von passport.yandex.ru erhalten.

Dieser Vorgang ist automatisiert und erfordert keine zusätzlichen Benutzereingriffe während eines Angriffs. Das einzige, was erforderlich ist, ist eine vorläufige Liste der Ersetzungen in misc \\ hsts.txt... Standardmäßig gibt es mehrere Einträge für yandex, gmail, facebook, yahoo. Es ist wichtig zu verstehen, dass Sie mit dieser Bypass-Technik die Sitzung oder Autorisierung nicht abfangen können, wenn der Benutzer facebook.com im Browser eingibt, weil Der Browser öffnet sofort die sichere Version der Site. In diesem Fall ist der Angriff nur möglich, wenn der Link zu facebook.com von einer anderen Ressource stammt, z. B. bei der Eingabe von facebook auf google.com. Unter den Hauptproblemen bei der Implementierung des Angriffs kann man die unvorhersehbare Logik des Betriebs von Sites mit ihren Subdomänen und die Merkmale des Webcodes feststellen, die jegliche Versuche, HSTS zu umgehen, zunichte machen können. Aus diesem Grund sollten Sie der Liste keine Websites hinzufügen, auch wenn die in Intercepter-NG vorhandenen Domänen standardmäßig ihre eigenen Merkmale aufweisen und nicht immer ordnungsgemäß funktionieren. Ich möchte nicht für jede Ressource Krücken umzäunen, vielleicht werden in Zukunft einige universelle Verbesserungen vorgenommen, aber vorerst, wie sie sagen, so wie sie sind. Eine weitere Nuance in der aktuellen Implementierung für DNS-Spoofing "und es ist erforderlich, dass sich der DNS-Server nicht im lokalen Netzwerk befindet, damit DNS-Anforderungen an das Gateway angezeigt und bei Bedarf beantwortet werden können.

• IP-Weiterleitung... Aktiviert den reinen IP-Weiterleitungsmodus. MiTM-Angriffe sind in diesem Modus nicht verfügbar, aber Sie können das Arp-Ätzen in Situationen starten, in denen Sie Stealth IP nicht verwenden können. Dies ist normalerweise erforderlich, wenn das Gateway über eine Whitelist legitimer Computer im Netzwerk verfügt, sodass NAT nicht ordnungsgemäß funktioniert.
• Kekskiller - löscht Cookies und zwingt den Benutzer zur erneuten Autorisierung. - Geben Sie einen Benutzernamen und ein Kennwort ein, damit ein Angreifer sie abfangen kann. Die Cookie Killer-Funktion funktioniert auch für SSL-Verbindungen. Es gibt schwarze ( misc \\ ssl_bl.txt) und Whitelisting ( misc \\ ssl_wl.txt). Sie können verwendet werden, um IP-Adressen oder Domänen auszuschließen oder starr anzugeben, auf die SSL MiTM angewendet werden soll oder nicht. Wenn Sie einen zusätzlichen SSL-Port angeben, muss der Lese- / Schreibtyp nicht angegeben werden. Es reicht aus, die Portnummer anzugeben. Der gesamte Datenverkehr wird an geschrieben ssl_log.txt.
• Remote Capture (RPCAP). Libpcap ermöglicht das Senden von Netzwerkdaten von einem Host zu einem anderen über ein eigenes Protokoll namens RPCAP. Jene. Sie können den rpcap-Daemon auf Ihrem Gateway aufrufen und den gesamten durchlaufenden Datenverkehr anzeigen. Nach dem Starten des Dämons können Sie mit Intercepter den Remote-Verkehr erfassen. Geben Sie den Hostnamen oder die IP des Dämons in das dafür vorgesehene Feld ein und wählen Sie den Adapter aus der Liste aus. Dann müssen Sie den Filter "Nicht-Host-IP" setzen und "IP" durch eine gültige IP-Adresse ersetzen, die Ihrer Ethernet-Karte zugewiesen ist (dies ist erforderlich, um den rpcap-Verkehr zwischen Ihnen und dem Dämon zu ignorieren).
• PCAP über IP

Diese Funktion bezieht sich auf die Erfassung des Remoteverkehrs und ist ein hervorragender Ersatz für den alten und problematischen rpcapd-Dienst. Der Name spricht für sich. Fast jedes Unix verfügt immer über eine Reihe von tcpdump und netcat, mit denen Sie Datenverkehr auf einem Remote-Empfangscomputer protokollieren können. In diesem Fall kann Intercepter den Port öffnen, während er auf einen Datenstrom im libpcap-Format wartet, und ihn in Echtzeit analysieren.

Es gibt keinen grundlegenden Unterschied in der Quelle des Datenverkehrs. Daher können Sie zusätzlich zu tcpdump das Dienstprogramm cat verwenden, um ein vorhandenes.pcap-Protokoll auf dieselbe Weise zu lesen.

Hier einige Anwendungsbeispiele: Intercepter überwacht standardmäßig Port 2002:

Tcpdump -i Gesicht -w - | nc IP 2002

wenn Sie Datenverkehr über dieselbe Schnittstelle übertragen möchten, von der aus die Erfassung ausgeführt wird, müssen Sie eine Filterregel hinzufügen, die den Dienstverkehr zwischen dem Server und dem Intercepter ausschließt:

Tcpdump -i face -w - nicht port 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w - | nc IP 2002

dies ist ein Analogon von tcpdump "und in der.-Flagge enthalten -P gibt an, dass Pakete im Standard-libpcap-Format und nicht im neuen pcapng gespeichert werden sollen.

Alternative Möglichkeit, Pakete ohne Netcat-Hilfe weiterzuleiten:

Tcpdump\u003e / dev / tcp / ip / port

WPAD steht für "WebProxy Autodiscovering Protocol", was der Funktion "Einstellungen automatisch erkennen" in modernen Browsern entspricht. Mit dieser Funktion kann der Browser die aktuelle Proxy-Konfiguration ohne Benutzereingriff abrufen. Dies ist auch heute noch eine Bedrohung, und ein Angreifer kann einen böswilligen Server problemlos so konfigurieren, dass er den Webverkehr abfängt. Die Situation wird durch die Tatsache verschärft, dass Internet Explorer (und auch Chrome) diese Funktion standardmäßig unterstützt.

Normalerweise ist WPAD nicht im Netzwerk konfiguriert. Daher besteht das übliche Verhalten für Browser darin, NetBios-Abfragen für den Namen "WPAD" zu senden (unter Umgehung der DHCP- und DNS-Methoden). Wenn keine Antwort eingeht, verwendet der Browser einfach eine direkte Verbindung. Wenn jedoch eine Antwort eingeht, versucht der Browser, die Konfigurationsdatei von http: /ip_of_wpad_host/wpad.dat herunterzuladen.

Intercepter-NG antwortet auf jede Anfrage und fordert die Clients auf, eine eigene Konfiguration zu verwenden, damit der Datenverkehr über den Proxyserver abgehört werden kann. Sie können Ihre eigene Konfiguration für jeden anderen Proxy im Netzwerk anpassen oder einfach den integrierten Proxy auswählen. Der integrierte Proxy ermöglicht die Verwendung der HTTP-Injection-Funktion.

Optionen für den Intercepter-NG-Expertenmodus

• SSL Strip Timeout (Sekunden) - Zeitüberschreitung in Sekunden SSL Strip
• ARP-Gift alle (Sekunden) - ARP-Ätzung alle ... Sekunden durchführen
• ARP-Scan-Zeitlimit (Sekunden) - ARP-Scan-Timeout
• DNS-Cache-TTL (Sekunden) - Lebensdauer des DNS-Cache
• MAC fälschen - MAC-Adresse, an die die Adresse des Angreifers ersetzt wird
• MySQL LOAD DATA Injection
• LDAP-Relais-DN: DC \u003d xxx, DC \u003d xxx
• Stoppen Sie die Verletzung auf NBNS-Anfrage
• Trennen Sie die SSH-Verbindung nach der Authentifizierung - Setzen Sie die SSH-Verbindung nach der Autorisierung zurück
• SMB-Hijack -\u003e SMB-Relais
• Auto ARP Gift - Im automatischen Modus reicht es aus, nur 1 Host zur Liste der Ziele hinzuzufügen, und Intercepter scannt das Netzwerk selbst in einem bestimmten Intervall und fügt automatisch neue Ziele hinzu.
• ARP-Tabelle zurücksetzen- ARP-Tabelle zurücksetzen
• Benutzerdefinierte Nutzlast für SMB Hijack (max. 64 KB)
• Benutzerdefinierte Nutzlast für GP Hijack
• Führen Sie Shell aus- Shell ausführen
• Führen Sie HTTP NTLM Grabber aus

Scan-Typen

Das Scannen ist die erste Phase, dh viele MiTM-Angriffe beginnen damit. Um das Scan-Menü anzuzeigen, gehen Sie zu MiTM-Modus und klicken Sie mit der rechten Maustaste auf die Tabelle.

• Intelligentes Scannen: Es kombiniert ARP-Scan und Gateway-Erkennung. Zu den üblichen Informationen zu IP- und MAC-Adressen, dem Hersteller der Netzwerkkarte und dem Betriebssystem wird der Computername angezeigt. Im gleichen Zeitraum können Sie jetzt zusätzlich den Netbios-Namen oder den Namen des Geräts ermitteln, auf dem iOS ausgeführt wird. Um letzteres zu beheben, wird das MDNS-Protokoll verwendet, auf dessen Grundlage das Bonjour-Protokoll von Apple funktioniert. Alle empfangenen Namen werden jetzt in einer Cache-Datei gespeichert. Wenn bei nachfolgenden Scans aus irgendeinem Grund keine Informationen zum Hostnamen dynamisch abgerufen wurden, werden diese übernommen Darüber hinaus zeigt dieser Scan Stealth IP an und legt automatisch die Gateway-IP (falls erkannt) und Stealth IP in den entsprechenden Feldern auf der Registerkarte MiTM fest. Die Betriebssystemerkennung wird auch basierend auf TTL-Werten durchgeführt.
• ARP-Scannen (ARP-Scan): Überprüft einfach das dem ausgewählten Ethernet-Adapter zugewiesene Subnetz der C-Klasse. Wenn Ihre IP beispielsweise 192.168.0.10 lautet, werden 255 IP-Adressen im Bereich 192.168.0.1-255 überprüft. Seit Version 0.9.5 überprüft das Programm die Netzmaske, um alle Subnetze ordnungsgemäß zu scannen.
• DHCP-Erkennung (DHCP Discovery): Sendet DHCP-Discovery-Broadcasts und wartet auf Antworten von DHCP-Servern. Wenn Server antworten, fügen Sie sie der Liste hinzu.
• Promisc-Erkennung (promiskuitive Entdeckung von Netzwerkkarten): Sendet spezielle ARP-Anforderungen an das Netzwerk. Die antwortenden Hosts sind offensichtlich Schnüffler. Einige Ethernet-Karten (3COM) können ebenfalls reagieren, d. H. Fehlalarme sind möglich.
• Gateway entdecken (Gateway-Erkennung): Sendet ein SYN-Paket über alle Hosts im Netzwerk. Wenn ein Gateway vorhanden ist, wird eine Antwort zurückgesendet.

Intercepter-NG-Angriffstechniken für Man-in-the-Middle (MiTM)

Durch Drücken der Taste MiTMs konfigurieren Das Dialogfeld (Hut mit Auge) wird geöffnet MiTM-Angriffe:

Es enthält eine Liste der unterstützten Techniken.

SSL MiTM

Dies ist eine alte klassische Technik zum Spoofing von Zertifikaten. Ermöglicht das Abfangen von Daten eines durch SSL geschützten Protokolls. Standardmäßig unterstützt: HTTPS, POP3S, SMTPS, IMAPS. Jeder zusätzliche Port kann optional angegeben werden.

Beim Abfangen von HTTPS werden Zertifikate "on the fly" generiert, wobei die ursprünglichen Informationen aus der angeforderten Ressource kopiert werden. In allen anderen Fällen wird ein statisches Zertifikat verwendet.

Bei Verwendung dieser Funktionalität sind natürlich Warnungen des Browsers und anderer Client-Software unvermeidlich.

Die neue Version hat den Code für SSL MiTM komplett neu geschrieben. Es ist jetzt schnell und stabil. Der Algorithmus zum Generieren von Zertifikaten wurde ebenfalls geändert, zusätzliche DNS-Datensätze werden hinzugefügt und alle Zertifikate werden mit einem einzigen Schlüssel signiert ( sonstiges \\ Server). Dies bedeutet, dass durch Hinzufügen dieses selbstsignierten Zertifikats zur Liste der vertrauenswürdigen Zertifikate auf dem Zielcomputer auf SSL-Datenverkehr für jede Ressource gewartet werden kann (wenn kein SSL-Pinning vorhanden ist). Funktion Kekskiller funktioniert jetzt auch für SSL-Verbindungen. Schwarz erschien ( misc \\ ssl_bl.txt) und Whitelisting ( misc \\ ssl_wl.txt). Sie können verwendet werden, um IP-Adressen oder Domänen auszuschließen oder starr anzugeben, auf die SSL MiTM angewendet werden soll oder nicht. Wenn Sie einen zusätzlichen SSL-Port angeben, muss der Lese- / Schreibtyp nicht mehr angegeben werden. Es reicht aus, die Portnummer anzugeben. Der gesamte Datenverkehr wird in ssl_log.txt geschrieben.

SSL-Strip

SSL Strip ist eine stille Technik zum Abfangen von HTTPS-Verbindungen. Die Arbeitsversion existierte lange Zeit nur unter Unix, jetzt können ähnliche Aktionen in der NT-Umgebung ausgeführt werden. Das Fazit lautet wie folgt: Der Angreifer befindet sich "in der Mitte", der HTTP-Verkehr wird analysiert, alle https: // -Links werden identifiziert und durch http: // ersetzt. Daher kommuniziert der Client weiterhin in einem unsicheren Modus mit dem Server. Alle Anfragen nach ersetzten Links werden überwacht und als Antwort werden Daten aus den ursprünglichen https-Quellen geliefert.

weil Es werden keine Zertifikate ersetzt, dann gibt es keine Warnungen. Um eine sichere Verbindung zu simulieren, wird das Favicon-Symbol ersetzt.

DNC<> ICMP

Dies ist eine völlig neue Technik, die zuvor erwähnt oder nicht implementiert wurde. Es baut auf demselben alten ICMP Redirect MiTM auf, eröffnet jedoch eine neue Möglichkeit, Daten zu erfassen. Der erste Schritt dieses Angriffs ähnelt der klassischen ICMP-Umleitung, mit einem wichtigen Unterschied.

Der sogenannte "neue Eintrag" ist der DNS-Server des Opfers. Wir werden die Kontrolle über alle DNS-Anfragen übernehmen und etwas zaubern, bevor das Opfer die Antworten erhält.

Wenn wir somehost.com auflösen (auflösen), sendet DNS uns eine Antwort, die eine oder mehrere Antworten von IP somehost.com enthält. Darüber hinaus kann es "zusätzliche" Antworten enthalten, und wir werden uns auch darum kümmern. Nach Abschluss des ersten Teils des Angriffs beginnt das Opfer, alle DNS-Anforderungen über den Host (NAT) des Angreifers zu senden. Wenn NAT eine Antwort von DNS empfängt, liest es alle IPs und sendet dann ICMP-Umleitungsnachrichten mit der aufgelösten IP an das Opfer.

Wenn NAT eine DNS-Antwort an das Opfer zurücksendet, enthält seine Routing-Tabelle bereits Einträge für alle übersetzten Adressen, die auf unseren Host verweisen!

Dies bedeutet, dass wir nicht nur das DNS des Opfers beschnüffeln, sondern alles, was transformiert wurde. Der gesamte Datenverkehr wird über gefälschte IP / MAC gefälscht.

Dieser Teil des Angriffs erfolgt auf der NAT-Seite. Aus diesem Grund müssen Sie ihn korrekt konfigurieren.

Aktivieren Sie das Kontrollkästchen "DNS über ICMP" und füllen Sie Folgendes aus:

• Die IP des Routers ist die IP des vom Opfer verwendeten Standard-Gateways.
• Die IP des Clients ist die IP des Opfers. Sie können mehrere Ziele hinzufügen. Denken Sie jedoch daran, zunächst ein ICMP-Umleitungspaket von Intercepter an jedes Ziel zu senden.

Nach dem Hinzufügen von Clients müssen Sie eine freie / nicht verwendete IP in das Feld "Neues Gateway" und in die "Stealth-IP" eingeben.

Wählen Sie einen Adapter aus. Dieser sollte derselbe sein, mit dem der Datenverkehr im selben Ethernet-Bereich weitergeleitet wird.

Starten Sie NAT.

Alle DNS-Antworten werden in einer speziellen Liste gespeichert und NAT sendet regelmäßig (gemäß der in den Einstellungen festgelegten Zeit) erneut ICMP-Weiterleitungen.

Am Ende müssen Sie noch eine Aktion ausführen. Sie können die Routing-Tabelle des Opfers nicht „heilen“ (wie bei einer ARP-Vergiftung). Deaktivieren Sie daher „DNS ↔ ICMP“, um zu verhindern, dass ICMP-Weiterleitungen erneut gesendet werden, und warten Sie etwa 10 bis 15 Minuten. Danach werden keine neuen Einträge hinzugefügt, aber die alten funktionieren über NAT einwandfrei, bis sie ablaufen.

WPAD MiTM

Einzelheiten finden Sie in der Optionsbeschreibung WPAD-Konfiguration (PROXY: PORT).

SMB Hijack

SSH MiTM

Sie können SSH-Authentifizierungsdaten (Benutzername / Kennwort) abfangen und alle Befehle anzeigen, die während der Remotesitzung übergeben werden. Es werden 2 Authentifizierungsmechanismen unterstützt: per Passwort und interaktiv. Um die Daten des Opfers zu erfassen, müssen wir uns wie ein echter SSH verhalten und unsere eigenen RSA / DSA-Schlüssel bereitstellen. Wenn der ursprüngliche Hostschlüssel vom Opfer zwischengespeichert wird, wird eine Warnmeldung angezeigt. Wenn er nicht zwischengespeichert wird, gibt es keine Anzeichen für einen Angriff auf der Clientseite.

Wenn das Opfer angemeldet ist, kann es wie gewohnt arbeiten, Befehle und pseudografische Programme wie den Mitternachtskommandanten ausführen. Intercepter fängt WINDOW_CHANGE-Anforderungen ab. Wenn das Opfer also entscheidet, die Größe des Fensters zu ändern, wird alles korrekt neu gezeichnet, um der neuen Fenstergröße zu entsprechen.

Das Programm arbeitet mit einer Remote-Sitzung, jedoch nicht mit SFTP. Wenn das Opfer einen SFTP-Client startet, werden die Authentifizierungsdaten abgefangen, die Verbindung wird jedoch getrennt und markiert. Wenn das Opfer dann versucht, die Verbindung wiederherzustellen, hat es zusätzlich zu unserem gefälschten SSH Zugriff auf den ursprünglichen SSH-Server.

Es sollte erwähnt werden, dass sich der Angreifer beim Remote-Server anmeldet und seine IP-Adresse in den Protokollen belässt. Im Expertenmodus können Sie die Option auswählen, die SSH-Verbindung zu trennen, nachdem Sie die Anmeldeinformationen des Opfers erhalten haben. Die Verbindung wird markiert und beim nächsten Versuch ermöglicht das Programm den Zugriff auf den ursprünglichen Server.

GP Hijack

Zusätzliche Funktionen für Man-in-the-Middle-Angriffe (MiTM) in Intercepter-NG

Schaltflächen zur Verwendung dieser Funktionen befinden sich ebenfalls im Abschnitt MiTM-Optionen (Würfel, JDownloader-Symbol, Spritze, Schild und freistehendes Strahlengefahren-Symbol):

Traffic Changer (Textdaten im Netzwerkverkehr ändern)

Es können nur Daten gleicher Größe ersetzt werden, ohne die Paketlänge zu ändern. Angenommen, der Browser öffnet site.com/file.txt, das die Zeichenfolge "12345" enthält. Als Antwort auf eine GET-Anfrage gibt der Server einen HTTP-Header zurück, der die Länge der übertragenen Daten angibt - Inhaltslänge: 5. Was passiert, wenn wir "12345" durch "12356" ersetzen? Der Browser lädt nur 5 Bytes herunter und verwirft die hinzugefügte "6". Wenn wir die Datengröße reduzieren, indem wir "12345" durch "1234" ersetzen, erhält der Browser nur 4 Bytes und wartet auf weitere 1 Byte vom Server, bis die Verbindung unterbrochen wird Auszeit. Aus diesem Grund wird diese Größenbeschränkung vorgenommen. Sie können sowohl Textdaten als auch Binärdaten ändern. Die Syntax für Binärmuster wie in C lautet "\\ x01 \\ x02 \\ x03".

Wenn eine Ersetzung im HTTP-Verkehr erforderlich ist, muss die Option "HTTP-GZIP-Codierung deaktivieren" in den Einstellungen aktiviert sein.

Spoofing

Mit Spoofing können Sie Hosts auf eine bestimmte IP umleiten. DNS-, NBNS- und LLMNR-Protokolle werden unterstützt.

Mit DNS können Sie eine Maske angeben, um auch alle Subdomains umzuleiten. Normalerweise werden domain.com:IP-Paare festgelegt, aber Subdomains werden nicht gefälscht. Um sie alle umzuleiten, fügen Sie * (Sternchen) vor dem Domainnamen hinzu: * host.com

Forced Download und JS Inject

Beide Innovationen beziehen sich auf den HTTP-Injection-Modus. Auf Russisch kann erzwungener Download als "erzwungener Download" übersetzt werden, da genau dies beim Surfen im Internet auf der Zielseite geschieht. Beim Betreten der Site wird vorgeschlagen, die vom Angreifer angegebene Datei herunterzuladen. Abhängig von den Browsereinstellungen kann sie selbst heruntergeladen werden, und der Benutzer entscheidet bereits, ob er sie starten soll oder nicht.

Wie Sie verstehen, können Sie dem erzwungenen Download auch eine EXE-Datei mit beliebigem Inhalt hinzufügen. Die Quelle dieser Datei ist die Site, die der Benutzer gerade besucht. Wenn Sie wissen, dass das Ziel adobe.com öffnen wird, können Sie flashplayer.exe ausgeben, und adobe.com oder eine seiner Subdomänen wird als Quelle dieser Datei aufgeführt.

Nach einer einmaligen Abgabe wird das Forcen ausgeschaltet. Zum erneuten Injizieren müssen Sie das entsprechende Kontrollkästchen erneut drücken.

JS Inject ist unter den Steuerelementen nicht explizit vorhanden, da In der Tat ist dies die häufigste http-Injektion, aber mit einem Unterschied. Wenn Sie eine Datei durch eine andere ersetzen, z. B. images.jpg für eine bestimmte, wird ein Inhalt durch einen anderen ersetzt. Das Ersetzen des .js-Skripts mit hoher Wahrscheinlichkeit kann den Betrieb der Ressource stören. In der neuen Version von js inj wird daher kein Skript durch ein anderes ersetzt, sondern dem vorhandenen Skript hinzugefügt, sodass zusätzlicher Code eingefügt werden kann, ohne den ursprünglichen zu beeinträchtigen.

Der FATE-Modus kombiniert zwei neue Funktionen: FAke siTE und FAke updaTE.

Das Hauptziel von FAke siTE besteht darin, Autorisierungsdaten von jeder Webressource unter Umgehung von SSL und anderen Sicherheitsmechanismen abzurufen. Dies wird erreicht, indem die Autorisierungsseite geklont und eine Vorlage erstellt wird, die auf dem integrierten Pseudo-Webserver abgelegt wird. Standardmäßig enthält der Interceptor seitdem eine Vorlage für accounts.google.com Auf der Originalseite müssen Sie nacheinander das Feld mit dem Login und dann mit dem Passwort ausfüllen. Diese Vorlage wurde geringfügig geändert, um beide Felder gleichzeitig zu aktivieren. Vor dem Angriff müssen Sie die Domäne angeben, in der die Vorlage gehostet wird. Nach dem Start des Angriffs wird eine Umleitung zur ausgewählten Domäne in den Datenverkehr des Ziels eingefügt, und anschließend führt der Interceptor automatisch DNS-Spoofing an die erforderlichen Adressen durch. Infolgedessen wird die ausgewählte Autorisierungsseite im Browser geöffnet.

Die Funktionalität von FAke updaTE (gefälschte Updates) bedeutet das Erscheinen von Meldungen über die auf dem "Opfer" installierte Software und das Herunterladen einer angeblich aktualisierten Datei, zu der die Nutzdaten hinzugefügt wurden. Die Liste der unterstützten Software ist sehr begrenzt. Wenn Sie möchten, können Sie Ihre eigenen Vorlagen hinzufügen. Die Struktur finden Sie unter Sonstiges \\ FATE \\ Updates.

ARP-Gift (ARP-Radierung)

Es ist Teil des klassischen Man-in-the-Middle-Angriffs. Dieser Angriff beginnt mit dem Scannen von Hosts. Wenn Hosts gefunden und einige von ihnen als Ziele ausgewählt werden, beginnt eine ARP-Vergiftung, wodurch die angegriffenen Hosts beginnen, ihren Datenverkehr nicht an das Gateway, sondern an den Angreifer weiterzuleiten. Der Angreifer untersucht (schnüffelt) diesen Datenverkehr, führt andere Manipulationen durch und sendet ihn an den Zielserver. Der Zielserver antwortet dem Angreifer (als Quelle der Anforderung). Dieser Datenverkehr wird ebenfalls abgehört, geändert und an das Opfer gesendet. Infolgedessen treten für das Opfer keine wesentlichen Änderungen auf - es scheint sich um den Datenaustausch mit einem Remote-Server zu handeln.

Zusätzliche Intercepter-NG-Funktionen

Schaltflächen zum Starten zusätzlicher Funktionen befinden sich in einem separaten Abschnitt der rechten Spalte im Programmfenster:

Intercepter-NG verfügt über einen eigenen Netzwerkscanner, der den primitiven Port-Scanner aus früheren Versionen ersetzt. Seine Hauptfunktionen:

1. Scannen Sie offene Ports und erkennen Sie heuristisch die folgenden Protokolle: SSH, Telnet, HTTP \\ Proxy, Socks4 \\ 5, VNC, RDP.
2. Erkennen Sie SSL an einem offenen Port, lesen Sie Banner und verschiedene Web-Header.
3. Wenn ein Proxy oder Soks gefunden wird, überprüfen Sie deren Offenheit nach außen.
4. Überprüfen Sie den kennwortlosen Zugriff auf VNC-Server und SSL auf HeartBleed. Lesen Sie version.bind von DNS.
5. Überprüfen Sie die Datenbank auf das Vorhandensein von Skripten auf dem Webserver, die möglicherweise für ShellShock anfällig sind. Überprüfen Sie die Liste der Verzeichnisse und Dateien auf 200 OK in der Datenbank sowie die Liste der Verzeichnisse aus robots.txt.
6. Bestimmen Sie die Betriebssystemversion über SMB. Wenn Sie anonymen Zugriff haben, erhalten Sie Ortszeit, Verfügbarkeit, Liste der freigegebenen Ressourcen und lokale Benutzer. Für gefundene Benutzer wird ein automatischer Brute-Force-Angriff gestartet.
7. Bestimmen Sie anhand der integrierten Liste der SSH-Benutzer die Antwortzeit. Für gefundene Benutzer wird ein automatischer Brute-Force-Angriff gestartet. Wenn die Aufzählung nicht funktioniert (nicht bei allen Versionen), wird die Aufzählung nur für root gestartet.
8. Automatische Brute-Force für HTTP Basic und Telnet. Aufgrund der Besonderheiten des Telnet-Protokolls sind Fehlalarme möglich.

Jedes Ziel kann sowohl im lokalen Netzwerk als auch im Internet gescannt werden. Sie können eine Liste der zu scannenden Ports angeben: 192.168.1.1:80,443 oder den Bereich 192.168.1.1:100-200. Sie können einen Adressbereich für den Scan angeben: 192.168.1.1-192.168.3.255.

Für ein genaueres Ergebnis können nur 3 Hosts gleichzeitig gescannt werden. Im letzten Moment wurden buchstäblich Überprüfungen auf Daten von SSL-Zertifikaten hinzugefügt. Wenn beispielsweise das Wort Ubiquiti gefunden wird und Port 22 geöffnet ist, wird die SSH-Brute-Force des ubnt-Benutzers automatisch gestartet. Das Gleiche gilt für ein Paar Zyxel-Eisenstücke mit dem Administrator. Für die erste Version des Scanners ist die Funktionalität ausreichend und gut getestet.

Heartbleed Exploit

Testet, ob das Ziel für HeartBleed anfällig ist. Wenn das Ziel anfällig ist, nutzt es diese Sicherheitsanfälligkeit aus - es empfängt einen Teil des Inhalts des RAM des Remote-Hosts.

Bruteforce-Modus

Brute-Force-Angriffe (Brute-Force, Brute-Force) werden für die folgenden Netzwerkprotokolle unterstützt:

• POP3 TLS
• SMTP TLS
• HTTP Basic
• HTTP-Post
• TELNET
• VMWARE

Sie können die Anzahl der Threads festlegen, in denen die Anmeldeinformationen überprüft werden.

Wenn eine Zeitüberschreitung auftritt, wird der aktive Thread an derselben Stelle neu gestartet und der Iterationsprozess fortgesetzt.

Es gibt EinspielermodusDies bedeutet, dass jedes neue Paar von Anmeldekennwörtern beim Herstellen einer neuen Verbindung überprüft werden sollte. Bei einigen Protokollen kann dadurch die Arbeitsgeschwindigkeit erhöht werden. Das Arbeitsprotokoll wird in gespeichert brute.txt.

ARP-Funktionen

Neben dem ARP-Ätzen und dem ARP-Scannen gibt es mehrere andere ARP-bezogene Funktionen. Zwei davon befinden sich in separaten Schaltflächen der rechten Spalte im Programmfenster:

• ARP Uhr: Eingebauter persönlicher ARP-Überwachungsdienst. Sie sollten zunächst einen ARP-Scan durchführen, um die Liste der vertrauenswürdigen (sauberen) MAC-Adressen zu füllen. Wenn jemand versucht, Ihren Arp-Cache zu vergiften, wird eine Warnmeldung angezeigt.
• ARP-Käfig: Isoliert die Ziel-IP-Adresse von anderen lokalen Hosts, indem Arp-Tabelleneinträge gefälscht werden.

Intercepter-NG-Startbeispiele

So führen Sie MiTM in Intercepter-NG aus

Wählen Sie zunächst einen Netzwerkadapter aus ( Netzwerkadapter):

Klicken Sie mit der rechten Maustaste auf eine leere Tabelle und wählen Sie Intelligente Suche:

Eine Liste der Ziele wird angezeigt:

Fügen Sie die gewünschten Ziele hinzu ( Als Ziel hinzufügen):

Klicken Sie auf das entsprechende Symbol, um mit dem Schnüffeln zu beginnen:

Gehen Sie zur Registerkarte MiTM-Modus (Dies ist ein Globus mit Patchkabeln) und klicken Sie auf das Symbol ARP-Gift (Strahlengefährdungssymbol):

In der Registerkarte Passwortmodus (Symbol ist ein Schlüsselbund) werden die erfassten Anmeldeinformationen angezeigt:

Arbeiten Sie mit Wi-Fi und mit Ethernet

Wenn Sie mit Wi-Fi oder Kabelverbindungen arbeiten, gibt es keine Unterschiede. Sie müssen jedoch in den gewünschten Modus wechseln, indem Sie auf das Symbol klicken:

Offline-Analyse von PCAP-Erfassungsdateien

Es gibt viele Optionen, die die Analysezeit verlangsamen oder beschleunigen können.

1. Wenn Sie eine große .pcap-Datei lesen müssen, deaktivieren Sie zunächst die Option " Entschlossenheit".
2. Wenn Ihre .pcap-Datei große Dateien enthält und die Auferstehung aktiviert ist, kann die Geschwindigkeit sinken. Die Lösung besteht darin, die maximale Dateigröße für die Wiederherstellung zu begrenzen.
3. Wenn Sie nichts zurückentwickeln müssen, deaktivieren Sie diese Option in den Einstellungen. Die Geschwindigkeit wird erhöht.
4. Wenn Sie nur ein bestimmtes Protokoll analysieren müssen, z. B. ICQ \\ AIM oder nur HTTP, installieren Sie den entsprechenden Filter. " pCAP-Filter"von RAW-MODUS: tCP-Port xxxwo xxxIst die Portnummer Ihres Protokolls.
5. Sie können mehr als ein Capture zur Analyse hochladen. IM Dialog öffnen Wählen Sie mehrere Dateien aus, die alle nacheinander analysiert werden.

Intercepter-NG installieren

Installation unter Linux Kali

Führen Sie die folgenden Befehle aus, um Intercepter-NG unter Kali Linux zu installieren und auszuführen:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw\u003dtrue -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-Architektur i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump: i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap / wpcap.dll dll.so / usr / lib / i386-linux-gnu / wine rm -rf wine_pcap_dlls.tar.gz wpcap / packet / sudo apt install winetricks winetricks cc580 sudo ethtool 0 und löschen Sie die DLL-Dateien wpcap.dll und Packet.dll: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw\u003dtrue -O Intercepter-NG .zip entpacken Intercepter-NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Installation unter Windows

Um Intercepter-NG unter Windows zu installieren, rufen Sie das entsprechende Archiv auf und laden Sie es herunter (ohne Buchstaben) CE). Das Programm muss nicht installiert werden. Entpacken Sie einfach das Archiv und führen Sie die Datei aus .exe.

Installation auf Android

Um Intercepter-NG in Android zu installieren, gehen Sie zu und laden Sie die Datei herunter apk... Root-Rechte sind erforderlich, um die Anwendung erfolgreich auszuführen.

Screenshots Intercepter-NG

Mit dem multifunktionalen Programm können Sie alle Geräte in einem öffentlichen Netzwerk identifizieren, die IP- und MAC-Adressen von Geräten ermitteln, den Datenverkehr abfangen und heruntergeladene Dateien ersetzen. Es kostet einen erfahrenen Benutzer nichts, die E-Mail-Korrespondenz eines anderen Benutzers zu lesen und sich mit diesem Dienstprogramm bei einem Konto in einem sozialen Netzwerk anzumelden.

Charakteristisch

Wie oben erwähnt, ist Intercepter-NG ein Programm für die nicht autorisierte Interaktion mit anderen Geräten. Mit wenigen Klicks können Sie die IP-Adresse und die Mac-Adresse des Geräts ermitteln, Datenverkehr und Cookies abfangen, die Online-Korrespondenz eines anderen lesen oder sich in das Konto eines anderen sozialen Netzwerks einloggen, um Ihre schmutzigen Taten auszuführen.

Erfahrene Benutzer stellen sicher, dass die Anwendung funktioniert. Wenn Sie mit einem Wi-Fi-Zugangspunkt verbunden sind, können Sie den Datenverkehr anderer Personen abfangen.

Eigenschaften:

Erstens müssen Sie nur minimale Kenntnisse haben. Die Anwendung enthält keine Anweisungen, Anleitungen und Trainingsmodi. Relevante Informationen finden Sie in thematischen Foren.

Zweitens ist es für das Funktionieren des Dienstprogramms erforderlich, Superuser-Rechte zu erhalten. Angesichts der Risiken, die eine solche Entscheidung mit sich bringt, ist es wichtig, die Vor- und Nachteile abzuwägen. Nachdem Sie sich für Root-Rechte entschieden haben, müssen Sie das Dienstprogramm zum Zugriffsrechte-Manager herunterladen und installieren, mit dem Sie den Zugriff von Anwendungen auf Superuser-Rechte in Echtzeit steuern können.