セキュリティ情報ポータル。 Kali Linux ToolsIntercepter-NGとは

10年間の開発（これはプロジェクトがどれだけヒットしたか）の後、Intercepter-NGバージョンのインデックスは最終的に1.0に達しました。伝統的に、Windowsのアップデートは年に一度リリースされ、記念日のリリースは大成功でした。長年にわたり、テストを支援し、詳細なフィードバックを提供し、イデオロギーに触発されたすべての人々に感謝します。ささいなことからレビューを始めましょう。最後に、Intercepter-NG1.0の最もおいしい機能について検討します。

1. RAWモードでは、選択したパッケージを.pcapファイルにエクスポートできるようになりました。自動保存を有効にすると、認証データを含むパッケージがseparate.pcapに書き込まれます。

2. SSLMiTMを参照するExtraSSL Portsフィールドで、コンマで区切られた複数のポートを駆動できるようになりました。

3.英語以外の言語を使用するドメインコントローラーに対するLDAPリレー攻撃では、エキスパート設定で、ユーザーを追加するために必要なグループを指定できます。たとえば、ドメイン管理者の代わりに、ロシアの同等のドメイン管理者を指定します。

4.正しいパスワード推測を許可しなかったNTLMv2SSPハッシュハンドラーのバグを修正しました。

5.ブルートフォースモードの多くの改善。追加：HTTPのSSLサポート、LDAPブルートフォースのUTF8サポート、VNCプロトコル、Vmware AuthDaemonおよびRDP。 RDPブルートフォースはWindows7 / 8/2008/2012で動作します。 NLA、および任意の言語のログインとパスワードがサポートされています。 RDPセキュリティレイヤーはサポートされていません。

6.HTTPインジェクションに「InjectReverseShell」オプションを追加しました。これは、インターセプターの組み込みシェルへのバックコネクトペイロードを使用した強制ダウンロードです。

7.一般的に多くの改善と変更。スプーフィングはデフォルトで無効になりました。

運命

FATEモードは、FAkesiTEとFAkeupdaTEの2つの新しい機能を組み合わせたものです。

FAke siTEの主な目標は、SSLやその他のセキュリティメカニズムをバイパスして、任意のWebリソースから認証データを取得することです。これは、認証ページのクローンを作成し、組み込みの疑似Webサーバーに配置されるテンプレートを作成することで実現されます。これがどのように機能するかは、投稿の最後にあるビデオで示されています。デフォルトでは、インターセプターにはaccounts.google.comのテンプレートが1つ含まれています。元のページでは、フィールドにログインを入力してから、パスワードを入力する必要があります。

このテンプレートは、両方のフィールドを同時にアクティブにするように少し変更されています。攻撃の前に、テンプレートがホストされるドメインを指定する必要があります。攻撃の開始後、選択したドメインへのリダイレクトがターゲットのトラフィックに注入され、その後、インターセプターは必要なアドレスへのDNSスプーフィングを自動的に実行します。その結果、選択した認証ページがブラウザで開きます。サイトのクローンを作成するプロセスは、例としてmail.yandex.ruを使用したビデオでも示されています。

Linux愛好家は、自動更新メカニズムを利用して任意のペイロードを実装できるEvilgradeと呼ばれるツールに精通しています。実際、このベクトルは大幅に過大評価されています。まず、Evilgradeでサポートされているアプリケーションの印象的なリストはほとんど古くなっています。次に、最も人気のあるアプリケーションのほとんどは、安全な方法で更新をチェックします。

それにもかかわらず、誰もが大規模ベンダーの更新メカニズムの目立った省略について聞いたことがあり、これは将来起こることは間違いないので、Evilgradeの類似物がIntercepter-NGに登場しましたが、サポートされるソフトウェアのリストは非常に控えめです。必要に応じて、独自のテンプレートを追加できます。それらの構造は、miscFATEupdatesで表示できます。公然と更新されたソフトウェアを送ってください、私たちはデータベースを補充します。

X-スキャン

何年も前、私はX-Scanと呼ばれる中国のXfocusチームのネットワークセキュリティスキャナーが本当に好きでした。軽量、便利なデザイン、優れた機能性。 2000年代半ばには、たくさんの作品を作ることができましたが、その後、開発は中止され、現在の現実ではほとんど役に立ちません。このため、私はその現代的な対応物を作りたかったのですが、どういうわけかそれはうまくいきませんでした...最近まで。昔からの愛情のために、Intercepter-NGが独自のネットワークスキャナーを持っているのはこの名前であり、以前のバージョンのプリミティブポートスキャナーに取って代わりました。それで、彼は何を知っていますか。

1.開いているポートをスキャンし、SSH、Telnet、HTTPProxy、Socks45、VNC、RDPのプロトコルをヒューリスティックに検出します。

2.開いているポートでのSSLの存在を確認し、バナーとさまざまなWebヘッダーを読み取ります。

3.プロキシまたはソックが見つかった場合は、それらの外部への開放性を確認します。

4. VNCサーバーへのパスワードなしのアクセスを確認し、HeartBleedのSSLを確認します。 DNSからversion.bindを読み取ります。

5.データベースをチェックして、ShellShockに対して潜在的に脆弱なWebサーバー上のスクリプトの存在を確認します。データベース内の200OKのディレクトリとファイルのリスト、およびrobots.txtのディレクトリのリストを確認します。

6.SMBを介してOSバージョンを判別します。匿名でアクセスできる場合は、現地時間、稼働時間、共有リソースのリスト、およびローカルユーザーを取得します。見つかったユーザーに対して、自動ブルートフォース攻撃が開始されます。

7.応答時間を測定して、SSHユーザーの組み込みリストで判別します。見つかったユーザーに対して、自動ブルートフォース攻撃が開始されます。列挙が機能しない場合（すべてのバージョンで機能するわけではありません）、列挙はルートに対してのみ開始されます。

8. HTTPBasicおよびTelnetの自動ブルートフォース。 telnetプロトコルの特性を考えると、誤検知が発生する可能性があります。

ローカルネットワークとインターネットの両方で、任意のターゲットをスキャンできます。スキャンするポートのリストを指定できます：192.168.1.1：80,443または範囲192.168.1.1:100-200。スキャンのアドレス範囲を指定できます：192.168.1.1-192.168.3.255。

より正確な結果を得るには、一度に3つのホストのみをスキャンできます。文字通り最後の瞬間に、SSL証明書からのデータのチェックが追加されました。たとえば、Ubiquitiという単語が検出され、ポート22が開いている場合、ubntユーザーのSSHブルートフォースが自動的に起動されます。管理者ユーザーとのZyxelの鉄片のペアについても同様です。スキャナーの最初のリリースでは、機能は十分であり、十分にデバッグされています。あなたのアイデアや願いを送ってください。

ps：ロシア語のマニュアルの最初のバージョンがまもなく登場します。

サイト：sniff.su
ミラー：github.com/intercepter-ng/mirror
郵便物： [メール保護]
Twitter：twitter.com/IntercepterNG
フォーラム：intercepterng.boards.net
ブログ：intercepter-ng.blogspot.ru

記事を読んでくださった皆さん、こんにちは。

Intercepter-ngプログラムを使用して、ネットワーク上のパスワードとCookieをインターセプトする方法について説明しました。

機能について詳しく説明するように求められる人もいれば、より多くの機能を表示するように求められる人もいれば、最新バージョンを検討するように求められる人もいます（現在のバージョンは0.9.10です。

私は怠惰なお尻を持ち上げて、見つけたすべての資料を少しずつ勉強し始めなければなりませんでした。

ドラフトを書き始めて、1つの記事では不十分であることに気づきました。したがって、今日は、Intercepter-ngのいくつかの機能とモードの理論、説明のみがあります。 2、3日以内に、実際にプログラムを操作する方法について書きます。その後、いくつかのビデオがあります（習得しやすいと思う人向け）。

私はすぐに言います-私は深い技術的知識を持っていないので、私は簡単な言葉で書きます、そしてそれは一般の人々に明白です。私の説明に誤りがあることに気付いた場合、または何か追加したいことがある場合は、コメントに書き込んでください。

すべての機能を説明することはできません。自分で見つけたものだけを説明します。

患者の診察を始めましょう。

インターセプター-ng。ペンテスターハッカーツール。

機能性（すべての可能性のごく一部のみ）。

モードとボタンを見てみましょう。

1-ルーターに接続するためのインターフェースを選択します（左側のアイコンでWi-Fiモードと有線モードを切り替えます。選択してください）。

2 — メッセンジャーモード。 ICQ \\ AIM \\ JABBERメッセージの傍受機能。最近は関係ないと思いますので、考慮しません。

3. — Resurectionモード - リカバリモード。被害者がウェブサイトを閲覧すると、ファイル、写真、いくつかのHtmlページなどがあります。それらはあなたと一緒に保存されます（すべてが保存されるわけではなく、部分的に保存される場合もあります）。おそらく、分析のモードは誰かに役立つでしょう。

4. - パスワードモード -ここでは、被害者と訪問したサイトによって入力されたパスワードとともに、運が良ければCookieが表示されます。 Httpsプロトコルでは、多くの場合、すべてがゼロになり、運が良ければCookieだけが見つかります。ただし、一部の設定のおかげで、バイパスできる場合があります（詳細は後で説明します）。

5.。ここでは、犠牲者を探します。これを行うには、ウィンドウを右クリックして[スマートスキャン]を選択します。

ネットワーク上のすべてのデバイスとそれらのおおよそのOSが表示されます。

ステルスIPはあなたの隠されたIPであり、その下であなたはあなたの仕事に隠れます。

モードについて詳しく見ていきましょう。

「Promiscdetection」をクリックすると、トラフィックを傍受する可能性が最も高い（誤解されることが多い）デバイスが表示されます...ルーターが傍受者でもあることが示される可能性があるため、注意してください。

特定のIpをクリックすると、犠牲者をNatに追加（natに追加）して、さらに傍受することができます。

また、「ポートのスキャン」を選択すると、開いているポートをスキャンできます。関数はNmapからはほど遠いですが、このプログラムだけが手元にあれば、それで十分です。

ここでこれ以上興味深いものはありません。

6. ナットモード..。ナットモード-作業するメインモード。ここで基本的な準備とARP攻撃が行われます。

この記事では、それに焦点を当てるのではなく、次の記事で検討します。

7. DHCPモード..。 DHCPモード-ネットワーク内でDHCPサーバーを起動できます。私はこのモードで作業していなかったので、それについては何も言えません。

8. RAWモード -生モード。これは、Wiresharkプログラムとリモートで似ています。ネットワーク上の主なアクティビティを表示します。もちろんあなたが何を探すべきかを知っていれば、時々あなたは何か面白いものを捕まえることができます。

9。。インターセプターの設定。重要な部分なので、詳しく見ていきましょう。

トレイをロックする -プログラムが最小化されると、パスワードがトレイに入れられます。デフォルトのパスワードは4553です。

セッションを保存 -さらなる調査と分析のために、レポートをPCAPファイルに自動的に保存します。

無差別 -「乱雑モード」。有効にすると、プログラムはすべてのパケットを読み取ります。インストールされていない場合は、指定されたインターフェイスに送信されたパケットのみを読み取ります。すべてのWi-FIモジュールがそれを使用できるわけではありません。私はそれが何のためにあるのか分かりません、私はそれがある場合とない場合の違いに気づきませんでした。

自動保存..。プログラムを使用して、レポートをテキスト形式でルートフォルダーに自動的に保存します。

グリッドビュー..。表の形式で表示します。無効にすると、プログラム内のレポートがリストに表示されます。それがある場合とない場合で、それがどのように便利であるかをご覧ください。

イオスキラーとクッキーキラー..。ほぼ同じです。クッキーキラーは、被害者がすでにサイトにパスワードを保存している場合、サイトを離れて再入場する必要があるため、パスワードを受け取るように設計されています。 Ios killerは、被害者をソーシャルクライアントプログラム（VK、facebook、Icloudなど）から解放するために、IphoneとIpad用に設計されています。

Kerberosのダウングレード。Kerberosは、認証のタイプの1つであるネットワークプロトコルです。この機能のおかげで、smb hijakingを使用して、この保護をバイパスできます。私自身はそのようなプロトコルを満たしていないので、それを考慮しません。

Hsts..。最新バージョンからHstをバイパスするための興味深いトリックですが、完全に安定しているわけではありません。要するに、多くのサイトがHttpからHttpsセキュアプロトコルに自動的に切り替わるため、データの傍受が防止されます。 SSlストリップは常に対応するとは限らないため、この機能が役立つ場合があります。原理については説明しません（Habréにあります）。

プログラムのあるフォルダーで行う必要があるのは、必要なドメインをmisc \\ hsts.txtファイルに追加することだけです。いくつかの人気のあるものはすでにそこにあります。肝心なのは、文字をメインドメインに割り当てる必要があるということです。たとえば、vk.com：vvk.comやok.ru：oks.ruなどです。

プログラムは、サイトの保護された認証ページをスプーフィングされたページに置き換えますが、認証Ipはメインページのままです。

私の例では、1回おきに機能することもありますが、何もないよりはましです。一般的な実験。

Wpad構成。 WPAD-WebProxy Auto-Discoveryと入力するか、標準のWpadプロキシを有効にします。これをアクティブにするには、Natモードで[Wpadmitm]ボックスをオンにします。

Exppertモード（惑星アイコン）では、Auto ARPpoisonチェックボックスに関心があるかもしれません。つまり、ユーザーがネットワークに接続すると、自動的にnatモードに追加されます。

[設定]セクションでは、これ以上考慮すべきことはありません。

10. - HeartBleedエクスプロイト --HeartBleedの脆弱性を検索します。

11. - ブルートフォースモード -一部のターゲットプロトコルでは野蛮です。ユーザー名を知っている必要があります。 bruteのパスワードはプログラムにあり、独自の辞書を使用できます。

12. ARPウォッチ -このモードでは、攻撃の場合にARP攻撃（ワイヤタッピングトラフィックなど）が実行されているかどうかを確認できます。Natモードでは、警告がタイムリーに表示されます。
13. ARPケージ -Arpセル。ホストを分離します。被害者を別のIPにリダイレクトします。発信スパムなどが疑われる場合に便利です。

これは実際に私が見つけて理解できるすべての情報です。

サイトに Avi1.ru 非常に安価なVK再投稿がすでに注文可能です。サービスが本当に重要な卸売割引を持っている間、有益な購入をするために急いでください。また、ネットワーク上の任意のページで他のリソースを取得することもできます：いいね、レコードとビデオのビュー、サブスクライバー、友達など。

ナットモードについて少し。

主な作業はすべてこのモードで直接行われるので、私たちが遭遇することを説明しようと思います。

ルーターのIP-接続されているルーターのIP。スキャンモードでスマートスキャンを実行すると、自動的に検出されます。

ステルスIP-あなたの隠されたIP。

Natcliens-攻撃された「犠牲者」がここに表示されます。

Mitmオプション。

mitmsの構成-基本的なMitm攻撃はここで有効/無効になります。

SSLMitmとSSLStripの2つを見ていきます。

SSLmitm-被害者の証明書を置き換える手法。

データを傍受するときに必要です。残念ながら、携帯電話の多くのブラウザやクライアントは、それらをブロックすることを学び、警告を発したり、インターネットへのアクセスを阻止したりしています。

SslStrip-私たちがよく必要とする機能でもあります。 SSLはもっと隠されています。 HTTPS接続を傍受するための「サイレント」手法。ここには証明書のなりすましがないため、計算が難しく、セキュリティ上の警告もありません。クッキーキラーを使用する場合に必要です。被害者にファイルを渡す必要があるときなど。次の記事でさらに詳しく検討します。

トラフィックチェンジャー-トラフィック置換。楽しみのための役に立たない機能。被害者へのHttpリクエストのなりすまし（たとえば、あるサイトにアクセスして別のサイトに転送したい場合）。しかし、ここではすべてがスムーズであるとは限りません。詳細は次の記事で説明します。

httpインジェクションを構成します-ここでは、必要なファイルをダウンロードするように被害者を構成します。それは無害な絵、スクリプトまたはプログラムである可能性があります。詳細については、次の記事をご覧ください。

Start arppoisonボタンとStartnatボタンが攻撃を開始します。 Start arp poisonをオンにすると、2番目がすぐにアクティブになります。ただし、有効にする前に、有効にする必要があります-ルーターインターフェイスの選択の横にある上部でスニッフィングを開始します。

これが実際にはこの記事のすべてです。これまで読んだことがあるなら、あなたの抜粋に驚いています。修正または追加するものがある場合は、コメントに書き込んでください。記事に追加します。

最近のある日、私はすでにIntercepter-ngを実際に使用することを検討します。だから私たちが再び会うまで私たちと一緒にいてください。

そして忘れないでください-ビッグブラザーがあなたを見ています！

Intercepter-NGは、パブリックネットワークに接続されているすべてのユーザーのMACアドレスとIPアドレスを決定します。また、このプログラムを使用すると、違法な目的でCookie、発信および着信トラフィックを傍受できます。

仕様

Intercepter-NGは多機能アプリケーションであり、右手で違法な操作を行うためのツールになります。まず、パブリックネットワークに接続されているすべてのデバイスを識別するために使用できます。データの中で、IPアドレスだけでなく、デバイスの一意のMACアドレスも提供されます。

次に、このアプリケーションを使用すると、選択したユーザーの双方向トラフィックを傍受し、ファイルを参照、使用、さらには置き換えることができます。プログラムには機能を使用するための詳細な手順が含まれていないため、最小限の知識が必要です。この場合、IPアドレスまたはMACアドレスを見つけるだけでなく、Cookieを簡単に傍受して、他の人の通信を読み取ったり、ユーザーに代わってアクションを実行したりすることもできます。

特徴：

ルートアクセス。アプリケーションのすべての機能を使用するには、デバイスにroot権限が必要です。
あなたと同じアクセスポイントを使用するユーザーのIPアドレスとMACアドレスを見つける機能。
通信、アカウントでのアクションを読み取るためにCookieを傍受する機能。
発信トラフィックと着信トラフィックを傍受し、ファイルを置き換える機能。

最小限のインターフェースと安定した操作は、アプリケーションの他のいくつかの機能であり、狭い範囲で人気があります。

インターセプター-NGの説明

Intercepter-NGは、さまざまなタイプのITプロフェッショナル向けの多機能なネットワーキングツールのセットです。主な目標は、ネットワークストリームから興味深いデータを回復し、さまざまな種類のman-in-the-middle（MiTM）攻撃を実行することです。さらに、このプログラムを使用すると、ARPスプーフィング（man-in-the-middle攻撃の検出に使用できます）、特定の種類の脆弱性の識別と悪用、ネットワークサービスのブルートフォースログイン資格情報を検出できます。このプログラムは、ライブトラフィックストリームと連携し、キャプチャされたトラフィックを含むファイルを分析して、ファイルと資格情報を検出できます。

このプログラムは次の機能を提供します。

次のタイプのパスワード/ハッシュのスニッフィング：ICQ、IRC、AIM、FTP、IMAP、POP3、SMTP、LDAP、BNC、SOCKS、HTTP、WWW、NNTP、CVS、TELNET、MRA、DC ++、VNC、MYSQL、ORACLE、NTLM、KRB5 、RADIUS
チャットメッセージスニッフィング：ICQ、AIM、JABBER、YAHOO、MSN、IRC、MRA
HTTP、FTP、IMAP、POP3、SMTP、SMBからのファイルの再構築
無差別、ARP、DHCP、ゲートウェイ、ポート、スマートスキャンなどのさまざまなスキャンタイプ
パケットキャプチャおよびポスト（オフライン）分析/ RAW（生）モード
RPCAPデーモンおよびPCAPOverIPを介したリモートトラフィックキャプチャ
NAT、SOCKS、DHCP
ARP、DNS over ICMP、DHCP、SSL、SSLSTRIP、WPAD、SMBリレー、SSH MiTM
SMBハイジャック、LDAPリレー、MySQL LOADDATAインジェクション
ARPウォッチ、ARPケージ、HTTPインジェクション、ハートブリードエクスプロイト、Kerberosダウングレード、Cookieキラー
DNS、NBNS、LLMNRスプーフィング
ブルートフォースのさまざまなネットワークサービス

メインバージョンはWindowsで実行され、Linux用のコンソールバージョンとAndroid用のバージョンがあります。

ライセンス：「現状有姿」

インターセプター-NGモード

Intercepter-NGには、プログラムタブの数とメインボタンの数に対応する7つのメインモードがあります。

これらはモードです：

メッセンジャー
復活
パスワード
走査
RAW（生）

そもそも メッセンジャーモード （ICQロゴ）。これは歴史的な理由で発生しました。元々、Intercepter-NGは、ICQやその他のインスタントメッセンジャーからのメッセージを傍受するためのプログラムとして作成されました。

復活モード （ボタンのロゴはPhoenixです）は、ネットワークストリームからのファイルリカバリを意味します。これらは、Webサイトで表示された画像のファイルだけでなく、転送されたアーカイブ、ドキュメント、その他のファイルでもかまいません。

に切り替えるとき パスワードモード （3番目のボタンはキーチェーンです）ネットワークストリームからキャプチャされた資格情報が表示されます。サイトアドレス、入力されたログイン、およびパスワードが表示されます。

プログラムが起動すると、プログラムが開きます スキャンモード （中央のボタン-レーダー）。これは、攻撃を開始するための初期モードです。このタブは、スキャン、ターゲットの選択、およびその他のネットワークパラメーターの設定に使用されます。

タブ MiTM （パッチコードバンドル）には、ターゲット設定を入力するためのフィールドが含まれています。これらのフィールドの多くは、[スキャン]タブのスキャン中に自動的に入力されます。さまざまなMiTM攻撃を開始するためのボタンもあります。

タブ DHCPいくつかのネットワークおよびDHCPサーバー設定が含まれています。

RAWモード（raw） ネットワークストリームで送信されたデータに関する生の情報を表示します。情報は、のような形式で表示されます。

インターセプター-NGの使用法とトラブルシューティングのヒント：

Intercepter-NGが機能するにはWinPcapが必要ですが、IntercepterにはポータブルバージョンのWinPcapが付属しているため、個別にインストールする必要はありません。
アダプターのリストにアダプターが表示されない場合は、WinPcapがカードをサポートしていないことを意味します。
ARPエッチングでさえ、WiFiカードで何も機能しない場合は、アダプターのリストの左側にあるNICアイコンを使用してWiFiモードに切り替えます。また、ステルスIPがインターネットにアクセスできることを確認してください。
まれに、Base Filtering Engine（BFE）サービスがローカルのインターセプターポートをブロックする場合があります。これは次のように現れます。ARPは機能しますが、他のMiTM機能は機能しません（Windows 7以降）。コントロールパネルでネットワーク保護が無効になっている場合でも、Avastなどのアンチウイルスはそれらをブロックできます。この動作のもう1つの理由は、WiFi接続とインターネット接続共有サービスの同時操作である可能性があります。
Intercepterは802.11カプセル化をサポートしているため、プログラムおよびからのpcapダンプを使用できます。 PPPoE、GRE（PP2P）カプセル化、およびオプションの802.11ヘッダーもサポートされています。これは、Intercepterが暗号化されたデータを解析できることを意味するのではなく、Intercepterがこの種のパケットからethernet \\ ipヘッダーを削除して解析できることを意味します。
プロトコルの制限により、UIN \\ MAIL \\…の送信元と宛先がチャットメッセージタブに表示されない場合があります。
パスワードテーブルからデータをコピーするには、行をクリックしてctrl + cを押します。
プログラムウィンドウを非表示にするには、キーボードショートカットCtrl + Alt + Sを使用します。もう一度クリックすると、ウィンドウが再表示されます。
インターセプターはwin9x（98および95！）でも実行できますが、WinPcap3.1またはWinPcap4.0beta2をインストールする必要があります。新しいWinPcapビルドはwin9xをサポートしていません。
オフライン分析用のコンソールモード：

./intercepter -t dump.cap

自動スニッフィングを有効にするには、開く必要があります settings.cfg と編集 " 自動実行"。デフォルトは 0 、スニッフィングするインターフェイスの番号に変更します。
インターセプターは、生のIPカプセル化pcapダンプをイーサネットカプセル化に変換します（イーサネットヘッダー情報を追加します）。
インターセプターは新しいフォーマット-pcapngを読み取ることができます。すべてのWiresharkpcapngキャプチャファイルは「拡張パケットブロック」タイプのみを使用するため、Intercepterはこのタイプのパケットブロックのみをサポートします。さらに、パッケージに関するコメントも表示されます。
RAWモードでは、pcapフィルタを使用して独自のルールを設定し、トラフィックをフィルタリングできます。詳細については、pcapフィルタリング構文を参照してください。例：

ポート80

カーネルからtcpポート80からパケットのみを受信することを意味します。

ポート80ではありません

ポート80からパケットを除外することを意味します

ルールを組み合わせることができます。

ポート25ではなくポート80

Intercepterは各パケットをメモリにロードし、ハードディスクをスワップパーティション（ファイル）として使用しないため、rawモードで巨大なダンプを操作しないでください。

インターセプター-NGオプションのヒント

スニファーオプション：

オフラインのpcapダンプ分析を実行する場合は、プロセスを高速化するために、「 ホストを解決する”.
オプションにチェックを入れると「 トレイをロックする"、その後、トレイからウィンドウを復元するときに、パスワードの入力を求められます。デフォルトのパスワードは" 4553 "。ファイルで変更できます settings.cfg..。パスワードはbase64でエンコードされています。
オプション " セッションを保存「Intercepterが受信したすべてのパケットをpcapファイルに保存することを意味します。このファイルはオフラインデータ分析に使用できます。これは一種の結果エクスポート機能です。
インストールする場合 無差別次に、Intercepterはネットワークアダプタを無差別モードで開きます。これは、特定のネットワークインターフェイスを対象としていないパケットも含め、すべてのパケットを読み取ることを意味します。チェックボックスがオフの場合、指定されたインターフェイスに送信されたパケットのみが読み取られます。一部のWi-Fiカードはこのモードをサポートしていません。
“固有のデータ」-一意のログインとパスワードのみを表示します。それら。キャプチャされたログインとパスワードを1回だけ表示します-ユーザーが同じログインとパスワードを再度入力した場合、それは表示されません。
自動保存 -すべてのテキスト情報は10秒ごとに保存されます。
デフォルトでは、「」にチェックマークが付いています。 グリッドビュー」。これは、パスワードがデータのグリッドのように見えることを意味します。完全な詳細情報を表示するには、「 グリッドビュー”.
eXtreme。通常のワークフローでは、スニファーは特定のプロトコルに関連付けられた事前定義されたポートを分析します。 httpと言う場合は、ポート80（または8080、またはhttpプロトコルに関連付けられたポートのリストで事前定義されているもの）を意味します。それら。これらのポートのみが分析されます。一部のアプリケーションが別のポート（1234など）を使用している場合、スニファーはそのポートを通過するパケットを分析しません。モードで eXtremeインターセプターは、ポートをチェックせずにすべてのTCPパケットを分析します。それら。一部のアプリケーションが未定義のポートを使用している場合でも、スニファーはこれらのパケットをチェックします。これによりパフォーマンスが低下し（通常よりも多くのポートをチェックする必要があります）、不良データが明らかになったり、正しいプロトコルを見逃したりする可能性があります（たとえば、FTPとPOP3は同じ認証タイプを使用します）が、未定義のポートで興味深いデータを見つけて傍受することができます。このモードは自己責任で使用してください。eXtremeモードがオンのときに問題が発生しても驚かないでください。
"キャプチャのみ「つまり、Intercepterは、リアルタイム分析なしでパケットをダンプファイルにダンプするだけです。これは、大量のネットワークデータをキャプチャする場合のパフォーマンスを向上させるのに役立ちます。
オプション復活ネットワークストリームで送信されたデータからファイルを再構築する復活モードを含めることを意味します。
IMポート
HTTP..。 HTTP関連ポート。詳細については、オプションの説明を参照してください eXtreme.
靴下
IRC \\ BNC

インターセプター-NGMan-in-the-Middle（MiTM）攻撃オプション

すべてのMiTM攻撃で、Intercepterはip \\ macアドレスのスプーフィング（スプーフィング）を使用します（オプション なりすましIP \\ MAC）。 Wi-Fiインターフェースを使用する場合は、このオプションのチェックを外す必要があります。これは、wifiドライバーの99％が、なりすましMacでのパケットの送信を許可していないためです。実際のアドレスを開示しても、少なくとも、wifiインターフェイスを介してMiTM攻撃を実行することはできます。何もないよりはましだ。設定でスプーフィングを無効にする代わりに、WIFIモードを使用します。エキスパートモードで表示されるMacを変更できます。
iOSキラー iCloud、Instagram、VKに追加されました。この機能（iOS Killer）は、指定されたアプリケーションのセッションをドロップし、再承認の傍受を許可します。
Kerberosのダウングレード
HSTSスプーフィング..。 SSLストリップを実行するときにHSTSをバイパスします。バイパス手法は比較的単純ですが、実装において特定の問題があるため、特別な結果を期待するべきではありません。 Chromeブラウザを使用したYandexMailの例を考えてみましょう。 ya.ruにアクセスすると、右上隅にhttpsリンク「Entermail」があり、SSLStripで簡単に処理できます。次に、承認フォームが開き、POSTメソッドを使用してデータがpassport.yandex.ruに転送されます。「ストライピング」によっても、https認証はSSLを介して行われます。ホストpassport.yandex.ruは、プリロードされたクロムリストにリストされています。データを傍受するには、ホスト名passport.yandex.ruを別のものに置き換える必要があります。これにより、ブラウザーは、このリソースが安全な接続を介して厳密にアクセスされる必要があることを検出しません。たとえば、passport.yandex.ruをpaszport.yandex.ruに置き換えることができます。この場合、データは変更されたドメイン名にクリアテキストで送信されます。しかしそれ以来そのようなドメインはありません-paszport.yandex.ru、さらにDNSスプーフィングを行う必要があります。 paszport.yandex.ruを変換する場合、クライアントはpassport.yandex.ruから元のIPアドレスを受信する必要があります。

この手順は自動化されており、攻撃中に追加のユーザー介入を必要としません。必要なのは、での交換品の予備リストを作成することだけです。 その他\\ hsts.txt..。デフォルトでは、yandex、gmail、facebook、yahooのいくつかのエントリがあります。ユーザーがブラウザにfacebook.comと入力した場合、このバイパス手法ではセッションまたは承認を傍受できないことを理解することが重要です。ブラウザはすぐにサイトの安全なバージョンを開きます。この場合、攻撃は、たとえばgoogle.comでfacebookに入るときなど、facebook.comへのリンクが別のリソースから取得された場合にのみ可能です。攻撃の実装における主な問題には、サブドメインを持つサイトの操作の予測不可能なロジックと、HSTSをバイパスする試みを無効にする可能性のあるWebコードの特殊性が含まれます。そのため、Intercepter-NGに存在するドメインでさえ、デフォルトで独自の特性を持ち、常に正しく機能するとは限らないため、リストにサイトを追加しないでください。私は各リソースのクラッチを囲い込みたくありません。おそらく将来的にはいくつかの普遍的な改善が行われるでしょうが、今のところ、彼らが言うように、現状のままです。 DNSスプーフィングの現在の実装では、もう1つのニュアンスがあります。「DNSサーバーがローカルネットワーク上にないことが必要です。これにより、ゲートウェイへのdns要求を確認し、必要に応じて応答できます。

IPフォワード..。純粋なIP転送モードを有効にします。 MiTM攻撃はこのモードでは使用できませんが、ステルスIPを使用できない状況でarpエッチングを開始できます。これは通常、ゲートウェイにネットワーク上に正当なコンピューターのホワイトリストがある場合に必要であるため、NATは正しく機能しません。
クッキーキラー -Cookieをクリアして、ユーザーに再承認を強制します-攻撃者がCookieを傍受できるように、ユーザー名とパスワードを入力します。 Cookie Killer機能は、SSL接続でも機能します。黒があります（ その他\\ ssl_bl.txt）およびホワイトリスト（ その他\\ ssl_wl.txt）。これらを使用して、SSLMiTMを適用する必要があるまたは適用しないIPアドレスまたはドメインを除外または厳密に指定できます。追加のsslポートを指定する場合、読み取り/書き込みタイプを指定する必要はありません。ポート番号を指定するだけで十分です。すべてのトラフィックはに書き込まれます ssl_log.txt.
リモートキャプチャ（RPCAP）。 Libpcapを使用すると、RPCAPと呼ばれる独自のプロトコルを介して、あるホストから別のホストにネットワークデータを送信できます。それら。ゲートウェイでrpcapデーモンを起動して、それを通過するすべてのトラフィックを確認できます。デーモンを起動した後、Intercepterを使用してリモートトラフィックのキャプチャを開始できます。表示されたフィールドにデーモンのホスト名またはIPを入力し、リストからアダプターを選択します。次に、「ホストIPではない」フィルターを設定し、「IP」をイーサネットカードに割り当てられた有効なIPアドレスに置き換える必要があります（これは、ユーザーとデーモン間のrpcapトラフィックを無視するために必要です）。
PCAP Over IP

この機能はリモートトラフィックキャプチャに関連しており、古くて問題のあるrpcapdサービスの優れた代替手段です。その名前はそれ自体を物語っています。ほとんどすべてのUnixには、常にtcpdumpとnetcatがたくさんあり、これらを使用して、リモートの受信コンピューターへのトラフィックをログに記録できます。この場合、Intercepterは、libpcap形式のデータストリームを待機している間にポートを開き、リアルタイムで分析できます。

トラフィックソースに基本的な違いはないため、tcpdumpに加えて、catユーティリティを使用してexisting.pcapログを同じ方法で読み取ることができます。

以下にいくつかの使用例を示します。デフォルトでは、Intercepterはポート2002でリッスンします。

Tcpdump -i face -w- | nc IP 2002

キャプチャが実行されているのと同じインターフェイスを介してトラフィックを送信する場合は、サーバーとインターセプター間のサービストラフィックを除外するフィルタリングルールを追加する必要があります。

Tcpdump -i face-w-ポート2002ではありません| nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i face -P -w- | nc IP 2002

これはtcpdumpの類似物であり、。フラグに含まれています。 -P パッケージは、新しいpcapngではなく、標準のlibpcap形式で保存する必要があることを示します。

netcatの助けを借りずにパケットを転送する別の方法：

Tcpdump\u003e / dev / tcp / ip / port

WPADは「WebProxyAutodiscoveringProtocol」の略で、最新のブラウザーの「設定の自動検出」機能に対応しています。この機能により、ブラウザはユーザーの介入なしに現在のプロキシ構成を取得できます。これは今日でも脅威であり、攻撃者はWebトラフィックを傍受するように悪意のあるサーバーを簡単に構成できます。 Internet Explorer（およびChromeも）がデフォルトでこの機能をサポートしているという事実によって、状況は悪化します。

通常、WPADはネットワーク上で構成されていないため、ブラウザーの通常の動作は、「WPAD」という名前のNetBiosクエリを送信することです（DHCPおよびDNSメソッドをバイパスします）。応答がない場合、ブラウザは直接接続を使用するだけです。ただし、応答を受信すると、ブラウザはhttp：/ip_of_wpad_host/wpad.datから設定ファイルをダウンロードしようとします。

Intercepter-NGは各要求に応答し、クライアントに独自の構成を使用するように要求して、プロキシサーバーを介してトラフィックをスニッフィングできるようにします。ネットワーク上の他のプロキシ用に独自の構成をカスタマイズすることも、組み込みのプロキシを選択することもできます。組み込みのプロキシにより、HTTPインジェクション機能を使用できます。

インターセプター-NGエキスパートモードオプション

SSLストリップタイムアウト（秒） -秒単位のタイムアウトSSLストリップ
ARPポイズンごと（秒） -...秒ごとにARPエッチングを実行します
ARPスキャンタイムアウト（秒） -ARPスキャンタイムアウト
DNSキャッシュTTL（秒） -DNSキャッシュの有効期間
なりすましMAC -攻撃者のアドレスが置き換えられるMACアドレス
MySQLロードデータインジェクション
LDAPリレーDN：DC \u003d xxx、DC \u003d xxx
NBNSリクエストでの注入を停止します
認証後にSSH接続をドロップします -承認後にSSH接続をリセットします
SMBハイジャック-\u003e SMBリレー
自動ARPポイズン -自動モードでは、ターゲットのリストにホストを1つだけ追加するだけで十分であり、Intercepterは特定の間隔でネットワーク自体をスキャンし、新しいターゲットを自動的に追加します。
ARPテーブルをリセット-ARPテーブルをリセットします
SMBハイジャックのカスタムペイロード（最大64kb）
GPハイジャックのカスタムペイロード
シェルを実行する-シェルを実行します
HTTPNTLMグラバーを実行する

スキャンタイプ

スキャンは最初の段階です。つまり、多くのMiTM攻撃はスキャンから始まります。スキャンメニューを表示するには、 MiTMモード テーブルを右クリックします。

スマートスキャン：ARPスキャンとゲートウェイ検出を組み合わせたものです。 IPアドレスとMACアドレス、ネットワークカードの製造元、およびオペレーティングシステムに関する通常の情報に対して、コンピューター名が表示されます。同じ期間に、Netbios名またはiOSを実行しているデバイスの名前を追加で確認できるようになりました。後者を解決するために、MDNSプロトコルが使用され、これに基づいてAppleのBonjourプロトコルが機能します。受信したすべての名前がキャッシュファイルに保存され、その後のスキャン中に何らかの理由でホスト名に関する情報が動的に取得されなかった場合は、さらに、このスキャンはステルスIPを表示し、ゲートウェイIP（検出された場合）とステルスIPを[MiTM]タブの適切なフィールドに自動的に設定します。OS検出もTTL値に基づいて実行されます。
ARPスキャン （ARPスキャン）：選択したイーサネットアダプターに割り当てられたCクラスサブネットをチェックするだけです。たとえば、IPが192.168.0.10の場合、192.168.0.1〜255の範囲の255個のIPアドレスがチェックされます。バージョン0.9.5以降、プログラムはネットマスクをチェックして、すべてのサブネットを適切にスキャンします。
DHCP検出 （DHCPディスカバリー）：DHCPディスカバリーブロードキャストを送信し、DHCPサーバーからの応答を待ちます。応答するサーバーがある場合は、それらをリストに追加します。
Promisc検出 （ネットワークカードの無差別検出）：特別なARP要求をネットワークに送信します。応答するホストは明らかにスニファーです。一部のイーサネットカード（3COM）も応答する場合があります。つまり、誤検知が発生する可能性があります。
ゲートウェイ検出 （ゲートウェイ検出）：ネットワーク上のすべてのホストを介してSYNパケットを送信します。ゲートウェイがある場合は、応答が返送されます。

インターセプター-NGMan-in-the-Middle（MiTM）攻撃テクニック

ボタンを押すことで MiTMを構成する （目で帽子）ダイアログボックスが開きます MiTM攻撃:

サポートされているテクニックのリストが含まれています。

SSL MiTM

これは、証明書をスプーフィングする古い古典的な手法です。 SSLで保護されているプロトコルのデータを傍受できます。標準でサポート：HTTPS、POP3S、SMTPS、IMAPS。オプションで追加のポートを指定できます。

HTTPSを傍受すると、証明書が「オンザフライ」で生成され、要求されたリソースから元の情報がコピーされます。それ以外の場合はすべて、静的証明書が使用されます。

当然、この機能を使用する場合、ブラウザや他のクライアントソフトウェアからの警告は避けられません。

新しいバージョンでは、SSLMiTMのコードが完全に書き直されています。今では高速で安定しています。証明書を生成するためのアルゴリズムも変更され、追加のdnsレコードが追加され、すべての証明書が単一のキーで署名されます（ その他\\サーバー）。これは、この自己署名証明書をターゲットコンピューター上の信頼できる証明書のリストに追加することにより、任意のリソース（SSLピン留めがない場合）へのSSLトラフィックをリッスンできることを意味します。関数 クッキーキラー SSL接続でも機能するようになりました。黒が登場（ その他\\ ssl_bl.txt）およびホワイトリスト（ その他\\ ssl_wl.txt）。これらを使用して、SSLMiTMを適用する必要があるまたは適用しないIPアドレスまたはドメインを除外または厳密に指定できます。追加のsslポートを指定する場合、読み取り/書き込みタイプを指定する必要はなくなり、ポート番号を指定するだけで十分です。すべてのトラフィックはssl_log.txtに書き込まれます。

SSLストリップ

SSL Stripは、HTTPS接続を傍受するためのサイレント手法です。長い間、作業バージョンはunixの下にのみ存在していましたが、現在はNT環境でも同様のアクションを実行できます。つまり、攻撃者は「真ん中」であり、HTTPトラフィックが分析され、すべてのhttps：//リンクが識別されてhttp：//に置き換えられます。したがって、クライアントは引き続き安全でないモードでサーバーと通信します。置き換えられたリンクに対するすべての要求が監視され、それに応じて元のhttpsソースからデータが配信されます。

なぜなら証明書が置き換えられることはなく、警告もありません。安全な接続をシミュレートするために、ファビコンアイコンが置き換えられています。

DNC<> ICMP

これは完全に新しい手法であり、前述したか、実装されていません。これは同じ古いICMPリダイレクトMiTMに基づいていますが、データをスニッフィングする新しい方法を開きます。この攻撃の最初のステップは、従来のICMPリダイレクトと似ていますが、重要な違いが1つあります。

いわゆる「新記録」は被害者のDNSサーバーです。被害者が回答を得る前に、すべてのDNS要求を制御し、魔法をかけます。

somehost.comを解決（解決）すると、DNSはIPsomehost.comからの1つ以上の応答を含む応答を送信します。また、「追加」の回答が含まれている場合もありますので、対応させていただきます。攻撃の最初の部分を完了した後、被害者は攻撃者のホス\u200b\u200bト（NAT）を介してすべてのDNS要求の送信を開始します。 NATはDNSから応答を受信すると、すべてのIPを読み取り、解決されたIPを使用してICMPリダイレクトメッセージを被害者に送信します。

したがって、NATが被害者にDNS応答を送り返すまでに、被害者のルーティングテーブルには、ホストを指すすべての変換済みアドレスのエントリがすでに含まれています。

これは、被害者のDNSだけでなく、変換されたすべてのものをスニッフィングしていることを意味します。すべてのトラフィックは、偽のIP / MACを介してスプーフィングされます。

攻撃のこの部分はNAT側で行われるため、正しく構成する必要があります。

[DNS over ICMP]チェックボックスをオンにして、次のように入力します。

ルーターのIPは、被害者が使用するデフォルトのゲートウェイのIPです。
クライアントのIPは被害者のIPです。複数のターゲットを追加できますが、インターセプターから各ターゲットにICMPリダイレクトパケットを送信することから始めることを忘れないでください。

クライアントを追加した後、「新しいゲートウェイ」フィールドと「ステルスIP」に空き/未使用のIPを入力する必要があります。

アダプターを選択します。同じイーサネットエリアでトラフィックをルーティングするのと同じである必要があります。

NATを起動します。

すべてのDNS応答は特別なリストに保存され、NATは定期的に（設定で設定された時間に従って）ICMPリダイレクトを再送信します。

最後に、もう1つのアクションを実行する必要があります。（ARPポイズニングのように）被害者のルーティングテーブルを「駆除」することはできないため、「DNS↔ICMP」のチェックを外して、ICMPリダイレクトが再送信されないようにし、約10〜15分待つ必要があります。その後、新しいエントリは追加されませんが、古いエントリは、有効期限が切れるまでNATを介して正常に機能します。

WPAD MiTM

詳細については、オプションの説明を参照してください WPAD構成（プロキシ：ポート）.

SMBハイジャック

SSH MiTM

SSH認証データ（ユーザー名/パスワード）を傍受して、リモートセッション中に渡されるすべてのコマンドを確認できます。 2つの認証メカニズムがサポートされています：パスワードによるものとインタラクティブなものです。被害者のデータを盗聴するには、実際のsshdのように動作する必要があり、独自のrsa / dsaキーを提供します。元のホストキーが被害者によってキャッシュされている場合は警告メッセージが表示され、キャッシュされていない場合はクライアント側で攻撃の兆候はありません。

被害者がログインすると、通常どおりに作業し、コマンドや深夜の司令官などの疑似グラフィックプログラムを実行できます。インターセプターはWINDOW_CHANGE要求をインターセプトするため、被害者がウィンドウのサイズを変更することを決定した場合、すべてが新しいウィンドウサイズに従って正しく再描画されます。

プログラムはリモートセッションで動作しますが、SFTPでは動作しません。被害者がSFTPクライアントを起動すると、認証データは傍受されますが、接続は切断され、フラグが付けられます。その後、被害者が再接続を試みると、偽のsshdに加えて元のsshサーバーにアクセスできるようになります。

攻撃者はリモートサーバーにログインし、そのIPアドレスをログに残していることに注意してください。エキスパートモードでは、被害者の資格情報を取得した後、ssh接続をドロップするオプションを選択できます。接続がマークされ、次の試行でプログラムは元のサーバーへのアクセスを許可します。

GPハイジャック

Intercepter-NGでのMan-in-the-Middle（MiTM）攻撃の追加機能

これらの機能を使用するためのボタンもセクションにあります MiTMオプション （キューブ、JDownloaderシンボル、シリンジ、シールド、および自立型放射線ハザードシンボル）：

トラフィックチェンジャー（ネットワークトラフィックストリームのテキストデータを変更します）

パケット長を変更せずに置き換えることができるのは、同じサイズのデータ\u200b\u200bのみです。ブラウザが、文字列「12345」を含むsite.com/file.txtを開いたとします。 GET要求に応答して、サーバーは送信されたデータの長さを示すHTTPヘッダーを返します-Content-length：5。「12345」を「12356」に置き換えるとどうなりますか？ブラウザは5バイトのみをダウンロードし、追加された「6」を破棄します。「12345」を「1234」に置き換えてデータサイズを減らすと、ブラウザは4バイトのみを受信し、接続が切断されるまでサーバーからさらに1バイト待機します。タイムアウト。そのため、このサイズ制限が設けられています。テキストデータとバイナリの両方を変更できます。Cのようなバイナリパターンの構文は「\\ x01 \\ x02 \\ x03」です。

HTTPトラフィックでの置換が必要な場合は、設定で[HTTPgzipエンコーディングを無効にする]オプションを有効にする必要があります。

なりすまし

スプーフィングを使用すると、ホストを特定のIPにリダイレクトできます。 DNS、NBNS、LLMNRプロトコルがサポートされています。

DNSを使用すると、すべてのサブドメインをリダイレクトするマスクを指定することもできます。通常、domain.com：IPペアが設定されますが、サブドメインはスプーフィングされません。それらすべてをリダイレクトするには、ドメイン名の前に*（アスタリスク）を追加します：* host.com

強制ダウンロードとJSインジェクト

どちらのイノベーションもHTTPインジェクションモードに関連しています。ロシア語では、強制ダウンロードは「強制ダウンロード」と翻訳できます。これは、Webサーフィン中にターゲット側で発生することとまったく同じだからです。サイトに入るとき、攻撃者が指定したファイルをダウンロードすることを提案します。ブラウザの設定に応じて、それを自分でダウンロードすることができ、ユーザーはすでにそれを起動するかどうかを選択します。

ご存知のとおり、強制ダウンロードには任意の内容の.exeファイルを追加できます。このファイルのソースは、ユーザーが現在アクセスしているサイトになります。ターゲットがadobe.comを開くことを知っているので、flashplayer.exeを発行すると、adobe.comまたはそのサブドメインの1つがこのファイルのソースとしてリストされます。

1回のディスペンス後、強制はオフになります。再注入するには、対応するチェックボックスをもう一度押す必要があります。

JS Injectは、コントロール間に明示的に存在しません。実際、これは最も一般的なhttpインジェクトですが、1つの違いがあります。たとえば、特定のファイルのpictures.jpgなど、あるファイルを別のファイルに置き換えると、あるコンテンツが別のコンテンツに置き換えられます。 .jsスクリプトを高い確率で置き換えると、リソースの操作が中断される可能性があるため、新しいバージョンのjs injectでは、あるスクリプトを別のスクリプトに置き換えるのではなく、既存のスクリプトに追加して、元のスクリプトに影響を与えずに追加のコードを挿入する機能を追加します。

FATEモードは、FAkesiTEとFAkeupdaTEの2つの新しい機能を組み合わせたものです。

FAke siTEの主な目標は、SSLやその他のセキュリティメカニズムをバイパスして、任意のWebリソースから認証データを取得することです。これは、認証ページのクローンを作成し、組み込みの疑似Webサーバーに配置されるテンプレートを作成することで実現されます。デフォルトでは、インターセプターにはaccounts.google.comのテンプレートが1つ含まれています。元のページでは、フィールドにログインを入力してから、パスワードを入力する必要があります。このテンプレートは、両方のフィールドを同時にアクティブにするように少し変更されています。攻撃の前に、テンプレートがホストされるドメインを指定する必要があります。攻撃の開始後、選択したドメインへのリダイレクトがターゲットのトラフィックに注入され、その後、インターセプターは必要なアドレスへのDNSスプーフィングを自動的に実行します。その結果、選択した認証ページがブラウザで開きます。

FAke updaTE（偽の更新）の機能は、「犠牲者」にインストールされたソフトウェアに関するメッセージの表示と、ペイロードが含まれているように見える更新ファイルのダウンロードを意味します。サポートされているソフトウェアのリストは非常に限られています。必要に応じて、独自のテンプレートを追加できます。それらの構造は、misc \\ FATE \\ updatesにあります。

ARPポイズン（ARPエッチング）

これは、古典的なman-in-the-middle攻撃の一部です。この攻撃は、ホストのスキャンから始まります。ホストが見つかり、その一部がターゲットとして選択されると、ARPポイズニングが開始され、その結果、攻撃されたホストはトラフィックをゲートウェイではなく攻撃者に転送し始めます。攻撃者はこのトラフィックを調べ（スニッフィング）、他の操作を実行してターゲットサーバーに送信します。ターゲットサーバーは（要求のソースとして）攻撃者に応答します。このトラフィックもスニッフィングされ、変更されて、被害者に送信されます。その結果、被害者に大きな変化は発生しません。リモートサーバーとデータを交換しているようです。

追加のインターセプター-NG機能

追加機能を起動するためのボタンは、プログラムウィンドウの右側の列の別のセクションにあります。

Intercepter-NGには独自のネットワークスキャナーがあり、以前のバージョンのプリミティブポートスキャナーに取って代わりました。その主な機能：

開いているポートをスキャンし、SSH、Telnet、HTTP \\ Proxy、Socks4 \\ 5、VNC、RDPのプロトコルをヒューリスティックに検出します。
開いているポートでSSLを検出し、バナーやさまざまなWebヘッダーを読み取ります。
代理人や靴下が見つかった場合は、外部への開放性を確認してください。
VNCサーバーへのパスワードなしのアクセスを確認し、HeartBleedのSSLを確認します。 DNSからversion.bindを読み取ります。
ShellShockに対して潜在的に脆弱な、Webサーバー上のスクリプトの存在についてデータベースを確認してください。データベース内の200OKのディレクトリとファイルのリスト、およびrobots.txtのディレクトリのリストを確認します。
SMBを介してOSバージョンを判別します。匿名でアクセスできる場合は、現地時間、稼働時間、共有リソースのリスト、およびローカルユーザーを取得します。見つかったユーザーに対して、自動ブルートフォース攻撃が開始されます。
応答時間を測定することにより、SSHユーザーの組み込みリストによって決定します。見つかったユーザーに対して、自動ブルートフォース攻撃が開始されます。列挙が機能しない場合（すべてのバージョンで機能するわけではありません）、列挙はルートに対してのみ開始されます。
HTTPBasicおよびTelnetの自動ブルートフォース。 telnetプロトコルの特性を考えると、誤検知が発生する可能性があります。

ハートブリードエクスプロイト

ターゲットがHeartBleedに対して脆弱かどうかをテストします。ターゲットが脆弱である場合、ターゲットはこの脆弱性を悪用します-リモートホストのRAMのコンテンツの一部を受け取ります。

ブルートフォースモード

ブルートフォース攻撃（ブルートフォース、ブルートフォース）は、次のネットワークプロトコルでサポートされています。

POP3 TLS
SMTP TLS
HTTPベーシック
HTTP投稿
TELNET
VMWARE

資格情報がチェックされるスレッドの数を設定できます。

タイムアウトが発生すると、アクティブなスレッドが同じ場所から再開され、反復プロセスが続行されます。

有る シングルモード、これは、login：passwordの新しいペアごとに、新しい接続の確立時にチェックする必要があることを示します。一部のプロトコルでは、これにより作業速度を上げることができます。作業ログはに保存されます brute.txt.

ARP機能

ARPエッチングとARPスキャンの他に、ARP関連の機能がいくつかあります。それらのうちの2つは、プログラムウィンドウの右側の列の別々のボタンに配置されます。

ARPウォッチ：組み込みのパーソナルARP監視サービス。まず、ARPスキャンを実行して、信頼できる（クリーンな）MACアドレスのリストを作成する必要があります。誰かがあなたのarpキャッシュを汚染しようとすると、警告メッセージが表示されます。
ARPケージ：arpテーブルエントリをスプーフィングすることにより、ターゲットIPアドレスを他のローカルホストから分離します。

インターセプター-NG起動例

Intercepter-NGでMiTMを実行する方法

ネットワークアダプタを選択することから始めます（ ネットワークアダプター):

空のテーブルを右クリックして、 スマートスキャン:

ターゲットのリストが表示されます。

必要なターゲットを追加します（ ターゲットとして追加):

スニッフィングを開始するには、対応するアイコンをクリックします。

タブに移動します MiTMモード （これはパッチコード付きの地球です）そしてアイコンをクリックします ARPポイズン （放射ハザード記号）：

タブ内 パスワードモード （シンボルはキーチェーンです）、キャプチャされた資格情報が表示されます：

Wi-Fiを使用し、イーサネットを使用する

Wi-Fiまたは有線接続を使用する場合、違いはありませんが、アイコンをクリックして目的のモードに切り替える必要があります。

pcapキャプチャファイルのオフライン分析

分析時間を遅くしたり速くしたりできるオプションはたくさんあります。

まず、大きな.pcapファイルを読み取る必要がある場合は、「 解決する".
.pcapに大きなファイルが含まれていて、復活が有効になっている場合、速度が低下する可能性があります。解決策は、リカバリの最大ファイルサイズに制限を設定することです。
何もリバースエンジニアリングする必要がない場合は、設定でこのオプションを無効にします。速度が上がります。
ICQ \\ AIMやHTTPのみなど、特定のプロトコルのみを分析する必要がある場合は、適切なフィルターをインストールしてください。 pcapフィルター"から RAWモード: tcpポートxxxどこ xxxプロトコルのポート番号です。
分析のために複数のキャプチャをアップロードできます。に ダイアログを開く 複数のファイルを選択すると、それらすべてが順番に分析されます。

Intercepter-NGのインストール

LinuxKaliへのインストール

Kali LinuxにIntercepter-NGをインストールして実行するには、次のコマンドを実行します。

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw\u003dtrue -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt update sudo apt install wine32 sudo apt install tcpdump：i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap / wpcap.dll.so / usr / lib / i386-linux-gnu / wine sudocpパケット/パケット。 dll.so / usr / lib / i386-linux-gnu / wine rm -rf wine_pcap_dlls.tar.gz wpcap / packet / sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off＃インターセプターをロード-NGv1。 0およびdllファイルwpcap.dllおよびPacket.dllを削除します。wgethttps：//github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip？raw \u003d true-O Intercepter-NG .zip unzip Intercepter-NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe

Windowsへのインストール

WindowsにIntercepter-NGをインストールするには、対応するアーカイブに移動してダウンロードします（文字なし） CE）。プログラムはインストールを必要とせず、アーカイブを解凍してファイルを実行するだけです。 。EXE.

Androidへのインストール

Intercepter-NGをAndroidにインストールするには、ファイルにアクセスしてダウンロードします apk..。アプリケーションを正常に実行するには、ルート権限が必要です。

スクリーンショットインターセプター-NG

多機能プログラムを使用すると、パブリックネットワーク上のすべてのデバイスを識別し、デバイスのIPアドレスとMACアドレスを判別し、トラフィックを傍受し、ダウンロードしたファイルを置き換えることができます。経験豊富なユーザーが他の人の電子メール通信を読んだり、このユーティリティを使用してソーシャルネットワークアカウントにログインしたりするのに費用はかかりません。

特性

上記のように、Intercepter-NGは、他のデバイスとの不正な相互作用のためのプログラムです。数回クリックするだけで、デバイスのIPアドレスとMacアドレスを確認したり、トラフィックとCookieを傍受したり、他の人のオンライン通信を読んだり、他の人のソーシャルネットワークアカウントにログインして汚い行為をしたりできます。

経験豊富なユーザーは、アプリケーションが機能していることを確認し、1つのWi-Fiアクセスポイントに接続すると、他の人のトラフィックを傍受できます。

特徴：

まず、最小限の知識が必要です。アプリケーションには、指示、ガイド、トレーニングモードはありません。関連情報はテーマ別フォーラムにあります。

第二に、ユーティリティが機能するためには、スーパーユーザー権限を取得する必要があります。そのような決定がもたらすリスクを念頭に置いて、賛否両論を比較検討することが重要です。また、root権限を取得することにした場合は、アクセス権限マネージャーユーティリティをダウンロードしてインストールしてください。このユーティリティを使用すると、アプリケーションのスーパーユーザー権限へのアクセスをリアルタイムで制御できます。

印刷