Güvenlik bilgi portalı. Kali Linux Araçları Intercepter-NG Nedir

10 yıllık geliştirmeden sonra (bu, projenin ne kadar vurduğu), Intercepter-NG versiyonunun endeksi nihayet 1.0'a ulaştı. Geleneksel olarak, Windows için güncellemeler yılda bir kez yayınlanır ve yıl dönümü sürümü gerçekten başarılı oldu. Yıllar boyunca testlerde yardımcı olan, detaylı geri bildirimde bulunan ve ideolojik olarak ilham veren tüm insanlara teşekkür ederim. İncelemeye küçük şeylerle başlayalım ve sonunda Intercepter-NG 1.0'ın en lezzetli özelliğine bakalım.

1. RAW Modunda, seçili paketleri bir .pcap dosyasına aktarabilirsiniz. Otomatik kaydetme etkinleştirildiğinde, yetkilendirme verilerini içeren paketler ayrı bir.pcap'e yazılacaktır.

2. SSL MiTM'ye atıfta bulunan Ekstra SSL Bağlantı Noktaları alanında, artık virgülle ayrılmış birden çok bağlantı noktası sürebilirsiniz.

3. Uzman ayarlarında, İngilizce dışında bir dilde bir etki alanı denetleyicisine LDAP Geçişine saldırırken, bir kullanıcı eklemek için gerekli grubu, örneğin Etki Alanı Yöneticileri yerine Rusça eşdeğer Etki Alanı Yöneticileri'ni belirtebilirsiniz.

4. NTLMv2SSP karma işleyicisinde doğru parola tahminine izin vermeyen bir hata düzeltildi.

5. Bruteforce Modunda birçok iyileştirme. Eklendi: HTTP için SSL desteği, LDAP kaba kuvvet için UTF8 desteği, VNC protokolleri, Vmware Auth Daemon ve RDP. RDP kaba kuvvet, Windows 7/8/2008/2012 üzerinde çalışır. NLA ve herhangi bir dilde oturum açma bilgileri ve parolalar desteklenir. RDP Güvenlik Katmanı desteklenmez.

6. HTTP Enjeksiyonlarına "Ters Kabuk Enjekte Et" seçeneği eklendi. Bu, durdurucunun yerleşik kabuğuna geri bağlanan bir yük içeren Zorunlu İndirmedir.

7. Genel olarak birçok iyileştirme ve değişiklik. Adres sahteciliği artık varsayılan olarak devre dışı bırakılmıştır.

Kader

FATE modu iki yeni işlevi birleştirir: FAke siTE ve FAke updaTE.

FAke siTE'nin temel amacı, SSL ve diğer güvenlik mekanizmalarını atlayarak herhangi bir web kaynağından yetkilendirme verisi elde etmektir. Bu, yetkilendirme sayfasını klonlayarak ve yerleşik sözde web sunucusuna yerleştirilecek bir şablon oluşturarak elde edilir. Bunun nasıl çalıştığı, gönderinin sonundaki videoda gösterilmektedir. Ön tanımlı olarak müdahale eden, accounts.google.com için bir şablon içerir, çünkü orijinal sayfa, alanı tek tek giriş ile ve ardından şifre ile doldurmanızı gerektirir.

Bu şablon, her iki alanı aynı anda etkinleştirecek şekilde biraz değiştirildi. Saldırıdan önce şablonun barındırılacağı alanı belirtmelisiniz. Saldırının başlamasından sonra, hedefin trafiğine seçilen etki alanına bir yönlendirme enjekte edilir ve ardından engelleyici gerekli adreslere otomatik olarak DNS sahtekarlığı gerçekleştirir. Sonuç olarak, seçilen yetkilendirme sayfası tarayıcıda açılacaktır. Bir siteyi klonlama süreci, örnek olarak mail.yandex.ru kullanılarak videoda da gösterilmiştir.

Linux severler, otomatik güncelleme mekanizmasından yararlanmanıza ve rastgele bir yük uygulamanıza izin veren Evilgrade adlı bir araca aşinadır. Aslında, bu vektör fazlasıyla abartılıyor, birincisi, Evilgrade'deki desteklenen uygulamaların etkileyici listesi çoğunlukla güncel değil ve ikinci olarak, en popüler uygulamaların çoğu güncellemeleri güvenli bir şekilde kontrol ediyor.

Yine de, herkes büyük satıcıların güncelleme mekanizmalarındaki yüksek profilli ihmalleri duymuştur ve bu kesinlikle gelecekte olacaktır, bu nedenle Intercepter-NG'de bir Evilgrade analogu göründü, ancak desteklenen yazılımların listesi çok mütevazı. Dilerseniz kendi şablonlarınızı ekleyebilirsiniz; yapıları miscFATEgüncellemelerde görüntülenebilir. Açıkça güncellenen yazılımı gönderin, veritabanını yenileyeceğiz.

X-Tarama

Yıllar önce, Çin Xfocus ekibinin X-Scan adlı bir ağ güvenlik tarayıcısını gerçekten beğendim. Hafif, kullanışlı tasarım, iyi işlevsellik. 2000'lerin ortasında, çok şey yaratmanıza izin verdi, ancak daha sonra gelişimi durdu ve mevcut gerçeklerde pek işe yaramadı. Bu nedenle, modern karşılığını yaratmak istedim, ama bir şekilde işe yaramadı ... yakın zamana kadar. Eski aşk için, Intercepter-NG'nin önceki sürümden ilkel bağlantı noktası tarayıcısının yerini alan kendi ağ tarayıcısına sahip olması bu isim altında. Peki neyin nasıl olduğunu biliyor.

1. Açık bağlantı noktalarını tarayın ve aşağıdaki protokolleri sezgisel olarak tespit edin: SSH, Telnet, HTTPProxy, Socks45, VNC, RDP.

2. Açık bir bağlantı noktasında SSL'nin varlığını belirleyin, başlıkları ve çeşitli web başlıklarını okuyun.

3. Bir proxy veya soks bulunursa, dışarıya açıklıklarını kontrol edin.

4. VNC sunucularına şifresiz erişimi kontrol edin, HeartBleed için SSL'yi kontrol edin. DNS'den version.bind dosyasını okuyun.

5. Veritabanında, ShellShock'a karşı potansiyel olarak savunmasız olan komut dosyalarının web sunucusundaki varlığını kontrol edin. Veritabanında 200 OK için dizinlerin ve dosyaların listesini ve ayrıca robots.txt'deki dizinlerin listesini kontrol edin.

6. SMB aracılığıyla işletim sistemi sürümünü belirleyin. Anonim erişiminiz varsa, yerel saat, çalışma süresi, paylaşılan kaynakların listesi ve yerel kullanıcılar alın. Bulunan kullanıcılar için otomatik bir kaba kuvvet saldırısı başlatılır.

7. Yanıt süresini ölçerek yerleşik SSH kullanıcıları listesine göre belirleyin. Bulunan kullanıcılar için otomatik bir kaba kuvvet saldırısı başlatılır. Numaralandırma çalışmazsa (tüm sürümlerde çalışmaz), numaralandırma yalnızca kök için başlatılır.

8. HTTP Temel ve Telnet için otomatik kaba kuvvet. Telnet protokolünün özellikleri göz önüne alındığında, yanlış pozitifler mümkündür.

Hem yerel ağda hem de İnternette herhangi bir hedef taranabilir. Tarama için bir bağlantı noktası listesi belirtebilirsiniz: 192.168.1.1:80,443 veya 192.168.1.1:100-200 aralığı. Tarama için bir adres aralığı belirtebilirsiniz: 192.168.1.1-192.168.3.255.

Daha doğru bir sonuç için, bir seferde yalnızca 3 ana bilgisayar taranabilir. Kelimenin tam anlamıyla son anda, SSL sertifikalarından gelen veriler için kontroller eklendi, örneğin, Ubiquiti kelimesi ile karşılaşılırsa ve 22 numaralı bağlantı noktası açıksa, ubnt kullanıcısının SSH kaba kuvveti otomatik olarak başlatılır. Yönetici kullanıcı ile bir çift Zyxel demir parçası için aynen. Tarayıcının ilk sürümü için işlevsellik yeterlidir ve hatalar iyi giderilmiştir. Fikirlerinizi ve dileklerinizi gönderin.

ps: kılavuzun Rusça'daki ilk versiyonu yakında görünecektir.

Site: sniff.su
Ayna: github.com/intercepter-ng/mirror
Posta: [e-posta korumalı]
Twitter: twitter.com/IntercepterNG
Forum: intercepterng.boards.net
Blog: intercepter-ng.blogspot.ru

Makaleyi okuyan herkese merhaba.

Intercepter-ng programını kullanarak ağdaki şifrelerin ve tanımlama bilgilerinin nasıl engelleneceğini açıkladı.

Bazıları işlevsellik hakkında daha fazla bilgi istedi, diğerleri daha fazla özellik göstermesini istedi, biri en son sürümü düşünmesini istedi (şu anda sürüm 0.9.10.

Tembel popomu kaldırmam ve bulduğum tüm materyalleri yavaş yavaş incelemem gerekiyordu.

Taslak yazmaya başlayınca bir makalenin yeterli olmadığını anladım. Bu nedenle, bugün sadece bir teori, bazı fonksiyonların ve Intercepter-ng modlarının bir açıklaması olacaktır. İki veya üç gün içinde programla pratikte çalışma hakkında yazacağım ve ardından birkaç video olacak (bu şekilde öğrenmesi daha kolay olanlar için).

Hemen söylüyorum - Derin teknik bilgim yok, bu yüzden basit kelimelerle yazıyorum ve böylece sıradan insanlar için açık olsun. Açıklamalarımda bir yanlışlık fark ederseniz veya ekleyecek bir şeyiniz varsa, yorumlarınızı yazın.

Her işlevi tarif edemem, sadece kendimi bulabildiğim şeyi.

Hastayı incelemeye başlayalım.

Önleme. Pentester hacker aracı.

İşlevsellik (tüm olasılıkların sadece küçük bir kısmı).

Modlara ve düğmelere bir göz atalım.

1 - Yönlendiriciye bağlı olduğunuz arayüzü seçin (soldaki simge Wi-Fi veya kablolu mod arasında geçiş yapar, sizinkini seçin).

2 — Haberciler modu. ICQ \\ AIM \\ JABBER mesajlarını yakalama işlevi. Bugünlerde alakasız olduğunu düşünüyorum, bu yüzden dikkate alınmayacak.

3. — Yeniden Kurtarma Modu - kurtarma Modu. Kurban web sitelerine göz attığında dosyalar, resimler, bazı Html sayfaları vb. Sizinle birlikte kaydedilirler (hepsi kaydedilemeyebilir veya kısmen). Belki de analiz modu birileri için yararlı olacaktır.

4. - Şifre Modu - Burada, mağdur tarafından girilen şifreler ve ziyaret edilen siteler şans eseri olarak görüntülenir. Https protokolü ile her şey genellikle sıfıra indirilir ve sadece çerezler şansla karşılaşır. Ancak bazı ayarlar sayesinde bazen atlanabilir (daha sonra daha fazlası).

5.. Burada kurbanlarımızı arayacağız. Bunu yapmak için pencereye sağ tıklayın ve Akıllı taramayı seçin.

Ağdaki tüm cihazlar ve bunların yaklaşık işletim sistemleri görüntülenecektir.

Stealth IP, işinizde altında sakladığınız gizli IP'nizdir.

Modu yakından inceleyelim.

"Promisc algılama" yı tıklarsanız, trafiği kesme olasılığı en yüksek olan cihazlar (genellikle yanlıştır) görüntülenir ... Dikkatli bir şekilde, yönlendiricinizin aynı zamanda bir engelleyici olduğunu gösterebilir.

Belirli bir IP'ye tıklayarak, yakalamaya daha fazla dahil olmak için Nat'a (Nat'a ekle) bir kurban ekleyebilirsiniz.

Ayrıca, "Bağlantı noktalarını tara" yı seçerseniz, açık bağlantı noktalarını tarayabilirsiniz. İşlevler Nmap'ten uzaktır, ancak yalnızca bu program elinizin altındaysa, iş görür.

Burada daha ilginç bir şey yok.

6. Nat modu... Nat modu - Çalışacağımız ana mod. Burası temel hazırlıkların ve ARP saldırılarının yapıldığı yerdir.

Bu yazıda buna odaklanmayacağım, bundan sonra ele alacağız.

7. DHCP modu... DHCP modu - Ağ içinde DHCP sunucunuzu yükseltmenizi sağlar. Bu modda çalışmadım ve bu konuda hiçbir şey öneremiyorum.

8. RAW modu - Ham mod. Wireshark programına uzaktan benzer. Ağdaki ana etkinliği gösterir. Bazen ne arayacağınızı biliyorsanız, ilginç bir şey yakalayabilirsiniz.

dokuz. Önleme ayarları. Önemli bir kısım, o halde daha yakından bakalım.

Tepsiye kilitle - Program küçültüldüğünde, tepsiye bir şifre koyulacaktır. Varsayılan şifre 4553'tür.

Oturumu kaydet - daha fazla çalışma ve analiz için raporları otomatik olarak PCAP dosyalarına kaydeder.

Rastgele - "Dağınık Mod". Etkinleştirildiğinde, program tüm paketleri okur.Kurulmamışsa, yalnızca belirtilen arayüze gönderilen paketleri okur. Her Wi-FI modülü onunla çalışamaz. Ne için olduğu hakkında hiçbir fikrim yok, onunla ve onsuz farkı fark etmedim.

Otomatik kaydetme... Raporları programla birlikte kök klasöre otomatik olarak metin biçiminde kaydeder.

Izgara Görünümü... Tablolar şeklinde görüntüleyin. Devre dışı bırakılırsa, program içindeki raporlar bir listeye girecektir. Onunla veya onsuz nasıl daha kullanışlı olduğunu görün.

Ios Killer ve Cookie katili... Neredeyse aynı. Çerez katili, kurban siteye zaten bir şifre kaydetmişse siteyi terk edecek ve tekrar girmesi gerekecek ve bu nedenle bir şifre alacağınız şekilde tasarlanmıştır. Ios killer, kurban sosyal müşteri programlarından (VK, facebook, Icloud, vb.) Çıkması için Iphone ve Ipad için tasarlanmıştır.

Kerberos eski sürüme geçirildi.Kerberos, kimlik doğrulama türlerinden biri olan bir ağ protokolüdür. Bu özellik sayesinde smb hijaking kullanarak, bu korumayı atlayabilirsiniz. Ben kendim böyle bir protokolle karşılaşmadım, bu yüzden onu dikkate almayacağız.

Hst'ler... En son sürümden Hst'leri atlamak için ilginç bir numara, ancak tamamen kararlı değil. Sonuç olarak, birçok site otomatik olarak Http'den Https güvenli protokolüne geçerek verileri ele geçirmemizi engelliyor. SSl şeridi her zaman başa çıkmaz, bu nedenle bu işlev bazen yardımcı olabilir. Prensibi tanımlamayacağım (Habré'de bulabilirsiniz).

Programla birlikte klasörde yapmanız gereken tek şey gerekli etki alanını misc \\ hsts.txt dosyasına eklemektir. Bazı popüler olanlar zaten orada. Sonuç olarak, ana alana bir harf atanması gerektiğidir. Örneğin vk.com:vvk.com veya ok.ru:oks.ru vb.

Program, sitedeki korumalı yetkilendirme sayfasını sahte bir sayfayla değiştirecek, ancak yetkilendirme Ip'i ana sayfadaki gibi kalacak.

Benim örneğimde, bazen her seferinde işe yarıyor, ama hiç yoktan iyidir. Genel olarak deney yapın.

Wpad yapılandırması. WPAD-WebProxy Otomatik Bulma'ya girin veya standart Wpad proxy'sini etkinleştirin. Etkinleştirmek için Nat modunda Wpad mitm kutusunu işaretleyin.

Uzman modunda (gezegen simgesi), Otomatik ARP zehiri onay kutusu ilgimizi çekebilir. Yani, insanlar ağa bağlandıklarında, otomatik olarak nat moduna ekleneceklerdir.

Ayarlar bölümünde dikkate alınması gereken başka bir şey yok, çok daha fazlası.

10. - HeartBleed istismarı - HeartBleed güvenlik açığını arayın.

11. - Bruteforce modu - bazı hedef protokoller için kaba. Kullanıcı adını bilmeniz gerekiyor. Brute için şifreler programda ve kendi sözlüğünüzü kullanabilirsiniz.

12. ARP izle - bu modda, saldırı durumunda bir ARP saldırısının yapılıp yapılmadığını (telefon dinleme trafiği vb.) gözlemleyebilirsiniz, Nat modunda zamanında bir uyarı görüntülenecektir.
13. ARP Kafesi - Arp hücresi. Ana bilgisayarı izole eder. Kurbanı başka bir IP'ye yönlendirir. giden spam vb. olduğundan şüpheleniyorsanız kullanışlıdır.

Aslında bu bulup çıkarabildiğim tüm bilgiler.

Sitede Avi1.ru sipariş için çok ucuz VK depoları zaten mevcut. Hizmetin gerçekten önemli toptan indirimleri varken karlı bir satın alma yapmak için acele edin. Ağdaki herhangi bir sayfadan başka kaynaklar da edinebilirsiniz: beğeniler, kayıtların ve videoların görüntülenmesi, aboneler, arkadaşlar vb.

Nat modu hakkında biraz.

Tüm ana işler doğrudan bu mod üzerinden gerçekleşeceğinden, neyle karşılaşacağımızı anlatmaya çalışacağım.

Yönlendiricinin IP'si - doğrudan bağlı oldukları yönlendiricinin IP'si. Akıllı taramayı Tarama modunda çalıştırdığınızda otomatik olarak algılanır.

Gizli IP - Gizli IP'niz.

Nat cliens - saldırıya uğrayan "Kurbanlar" burada gösterilir.

Mitm seçenekleri.

Mitm'leri yapılandırın - Temel Mitm saldırıları burada etkinleştirilir / devre dışı bırakılır.

İkisine bakacağım: SSL Mitm ve SSL Strip.

SSL mitm - Kurbanın sertifikalarının yerini alan bir teknik.

Verileri yakalarken gereklidir. Ne yazık ki, cep telefonlarındaki birçok tarayıcı ve istemci onları engellemeyi öğrendi, bizi uyarıyor ve hatta İnternete erişmemizi engelliyor.

Ssl Strip - Ayrıca sıklıkla ihtiyaç duyduğumuz bir işlev. SSL daha gizlidir. HTTPS bağlantılarını kesmek için "sessiz" teknik. Burada sertifika sahtekarlığı yoktur, bu nedenle hesaplaması daha zordur ve güvenlik uyarısı yoktur. Cookie katilini kullanırken gereklidir. kurbana dosya vermemiz gerektiğinde, vb. Bir sonraki makalede daha ayrıntılı olarak ele alacağız.

Trafik değiştirici - trafik ikamesi. Eğlence için gereksiz işlevsellik. Mağdura bir Http talebinde sahtecilik yapmak (örneğin, bir kişi bir siteye gitmek ister ve bunu başka bir siteye iletmek). Ancak burada her şey düzgün değil, sonraki makalede daha fazla ayrıntı.

Http enjeksiyonunu yapılandırın - burada kurbanı ihtiyacımız olan dosyayı indirecek şekilde yapılandırıyoruz. Zararsız bir resim, komut dosyası veya program olabilir. Sonraki makalede daha fazla ayrıntı.

Start arp poison ve Start nat düğmeleri saldırımıza başlar. Start arp poison'u açtığınızda, ikincisi hemen etkinleştirilir. Ancak etkinleştirmeden önce, etkinleştirmeniz gerekir - Yönlendirici arabirimi seçiminin yanında, en üstte koklamaya başlayın.

Aslında bu makalede hepsi bu, bu noktaya kadar okursanız alıntılarınıza şaşırdım. Düzeltecek veya ekleyecek bir şeyiniz varsa, yorumları yazın, ben de makaleye ekleyeceğim.

Bu günlerden birinde Intercepter-ng ile pratikte çalışmayı zaten düşüneceğim. Öyleyse tekrar görüşene kadar bizimle kal.

Ve unutma - Ağabey seni izliyor!

Intercepter-NG, genel ağa bağlı herhangi bir kullanıcının MAC adresini ve IP adresini belirlemenize izin verecektir. Ayrıca, programı kullanarak, çerezleri, giden ve gelen trafiği yasa dışı amaçlarla engelleyebilirsiniz.

Teknik Özellikler

Intercepter-NG, doğru ellerde yasadışı işlemler için bir araca dönüşen çok işlevli bir uygulamadır. İlk olarak, genel ağa bağlı tüm cihazları tanımlamak için kullanılabilir. Veriler arasında sadece IP adresi değil, aynı zamanda cihazın benzersiz MAC adresi de verilmektedir.

İkincisi, uygulama, seçilen kullanıcının iki yönlü trafiğini engellemenize, dosyalara göz atmanıza, bunları kullanarak ve hatta değiştirmenize olanak tanır. Program, işlevselliği kullanmak için ayrıntılı talimatlar içermediğinden, minimum bilgiye sahip olmanız gerekir. Bu durumda, sadece IP veya Mac adresini bulmakla kalmayacak, aynı zamanda bir başkasının yazışmalarını okumak ve hatta kullanıcı adına işlem yapmak için çerezleri kolayca engelleyebilirsiniz.

Özellikleri:

• Kök erişimi. Cihaz, uygulamanın tüm işlevlerini kullanmak için kök haklarına sahip olmalıdır.
• Sizinle aynı erişim noktasını kullanan herhangi bir kullanıcının IP ve MAC adresini bulma yeteneği.
• Yazışmaları, hesaplarla eylemleri okumak için çerezleri engelleme yeteneği.
• Giden ve gelen trafiğe müdahale etme, dosyaları değiştirme yeteneği.

Minimalist bir arayüz ve kararlı çalışma, uygulamanın dar çevrelerde popüler olmasını sağlayan diğer birkaç özelliğidir.

Intercepter-NG açıklaması

Intercepter-NG, çeşitli türlerdeki BT uzmanları için çok işlevli bir ağ oluşturma araçları setidir. Ana amaç, bir ağ akışından ilginç verileri kurtarmak ve çeşitli türlerde ortadaki adam (MiTM) saldırıları gerçekleştirmektir. Ek olarak, program ARP sahtekarlığını tespit etmenize (ortadaki adam saldırılarını tespit etmek için kullanılabilir), bazı güvenlik açıklarını tanımlamanıza ve bunlardan yararlanmanıza, ağ hizmetlerinin kaba kuvvet oturum açma kimlik bilgilerini belirlemenize olanak tanır. Program, hem canlı bir trafik akışı ile çalışabilir hem de dosyaları ve kimlik bilgilerini algılamak için yakalanan trafiğe sahip dosyaları analiz edebilir.

Program aşağıdaki özellikleri sunar:

• Aşağıdaki türlerdeki şifreleri / karmaları koklama: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, WWW, NNTP, CVS, TELNET, MRA, DC ++, VNC, MYSQL, ORACLE, NTLM, KRB5 , YARIÇAP
• Sohbet mesajı koklama: ICQ, AIM, JABBER, YAHOO, MSN, IRC, MRA
• Dosyaların yeniden yapılandırılması: HTTP, FTP, IMAP, POP3, SMTP, SMB
• Promiscuous, ARP, DHCP, Gateway, Port ve Smart tarama gibi çeşitli tarama türleri
• Paket yakalama ve post (çevrimdışı) analiz / RAW (ham) modu
• RPCAP arka plan programı ve IP Üzerinden PCAP aracılığıyla uzaktan trafik yakalama
• NAT, ÇORAP, DHCP
• ARP, ICMP üzerinden DNS, DHCP, SSL, SSLSTRIP, WPAD, SMB rölesi, SSH MiTM
• SMB Hijack, LDAP rölesi, MySQL LOAD DATA enjeksiyonu
• ARP Watch, ARP Cage, HTTP Injection, Heartbleed Exploit, Kerberos Downgrade, Cookie Killer
• DNS, NBNS, LLMNR sahtekarlığı
• Brute force çeşitli ağ hizmetleri

Ana sürüm Windows üzerinde çalışıyor, Linux için bir konsol sürümü ve Android için bir sürüm var.

Lisans: "olduğu gibi"

Intercepter-NG modları

Intercepter-NG, program sekmelerinin sayısına ve ana düğme sayısına karşılık gelen yedi ana moda sahiptir:

Modlar şunlardır:

• Haberciler
• Diriliş
• Şifreler
• Tarama
• RAW (ham)

İlk sırada yer al Messenger Modu (ICQ logosu). Bu tarihsel nedenlerden dolayı oldu - başlangıçta Intercepter-NG, ICQ ve diğer anlık mesajlaşma programlarından gelen mesajları yakalamak için bir program olarak oluşturuldu.

Diriliş modu (düğmenin üzerindeki logo Phoenix'tir), bir ağ akışından dosya kurtarma anlamına gelir. Bunlar, web sitelerinde görüntülenen resimlerin yanı sıra aktarılan arşivlerin, belgelerin ve diğerlerinin dosyaları olabilir.

Geçerken Şifre Modu (üçüncü düğme anahtarlıktır) ağ akışından alınan kimlik bilgilerini göreceksiniz. Site adresleri, girilen oturum açma bilgileri ve şifreler görüntülenir.

Program başladığında açılır Tarama modu (orta düğme - radar). Bu, saldırıları başlatmak için başlangıç \u200b\u200bmodudur: bu sekme taramak, hedefleri seçmek ve diğer ağ parametrelerini ayarlamak için kullanılır.

Sekme MiTM (ara bağlantı kablosu paketi), hedef ayarların girilmesi için alanlar içerir ve bunların çoğu Tarama sekmesinde tarama sırasında otomatik olarak doldurulur. Çeşitli MiTM saldırıları başlatmak için düğmeler de vardır.

Sekme DHCPbazı ağ ve DHCP sunucu ayarlarını içerir.

RAW modu (ham) ağ akışında iletilen verilerle ilgili ham bilgileri görüntüler. Bilgiler benzer bir biçimde sunulur.

Intercepter-NG Kullanımı ve Sorun Giderme İpuçları:

• Intercepter-NG, WinPcap'in çalışmasını gerektirir, ancak Intercepter taşınabilir bir WinPcap sürümü ile birlikte geldiği için ayrı olarak kurulması gerekmez.
• Adaptörünüzü adaptör listesinde görmüyorsanız, bu WinPcap'in kartınızı desteklemediği anlamına gelir.
• WiFi kartı ile hiçbir şey çalışmıyorsa, ARP gravürü bile çalışmıyorsa, WiFi moduna geçmek için adaptör listesinin sol tarafında bulunan NIC simgesini kullanın. Ayrıca Stealth IP'nin İnternet erişimine sahip olduğundan emin olun.
• Bazı nadir durumlarda, Temel Filtreleme Motoru (BFE) hizmeti yerel Durdurucu bağlantı noktalarını engelleyebilir. Aşağıdaki gibi kendini gösterir: ARP çalışır, ancak diğer MiTM işlevleri çalışmaz (Windows 7 ve üzeri). Avast gibi antivirüsler, Denetim Masası'nda Ağ Koruması devre dışı bırakılsa bile bunları engelleyebilir. Bu davranışın bir başka nedeni, WiFi bağlantısının ve İnternet Bağlantı Paylaşımı hizmetinin aynı anda çalışması olabilir.
• Intercepter, 802.11 kapsüllemesini destekler, böylece programlardan pcap dökümlerini kullanabilirsiniz ve. PPPoE, GRE (PP2P) kapsüllemeleri ve isteğe bağlı 802.11 başlıkları da desteklenir. Bu, Intercepter'ın şifrelenmiş verileri ayrıştırabileceği anlamına gelmez, bu, Intercepter'ın ethernet \\ ip başlıklarını bu tür paketlerden ayırıp ayrıştırabileceği anlamına gelir.
• Protokol sınırlamalarından dolayı, UIN \\ MAIL \\… kaynağı ve hedefi sohbet mesajları sekmesinde gösterilmeyebilir.
• Parola tablosundan veri kopyalamak için satıra tıklayın ve ctrl + c tuşlarına basın.
• Program penceresini gizlemek için Ctrl + Alt + S klavye kısayolunu kullanın. Pencereyi yeniden görüntülemek için tekrar tıklayın.
• Intercepter, win9x (98 ve 95!) Üzerinde bile çalışabilir, ancak WinPcap 3.1 veya WinPcap 4.0beta2 yüklemeniz gerekir. Daha yeni WinPcap yapıları win9x'i desteklemez.
• Çevrimdışı analiz için konsol modu:

./intercepter -t dump.cap

• Otomatik koklamayı etkinleştirmek için şunu açmanız gerekir: settings.cfg ve düzenle " otomatik çalıştırma". Varsayılan değer 0 , koklayacağınız arayüzün numarasını değiştirin.
• Intercepter, ham IP kapsüllenmiş pcap dökümlerini Ethernet kapsüllemesine dönüştürür (ethernet başlık bilgisi ekleyerek).
• Intercepter yeni bir format okuyabilir - pcapng. Tüm Wireshark pcapng yakalama dosyaları yalnızca "Enhanced Packet Block" türünü kullandığından, Intercepter yalnızca bu tür paket bloklarını destekler. Ek olarak, paketler hakkındaki yorumları görüntüler.
• RAW modunda, trafiği filtrelemek için pcap filtrelerini kullanarak kendi kurallarınızı belirleyebilirsiniz. Ayrıntılar için pcap filtreleme sözdizimine bakın. Misal:

bağlantı noktası 80

çekirdekten yalnızca tcp bağlantı noktası 80'den paket almak anlamına gelir.

80 numaralı bağlantı noktası değil

paketleri 80 numaralı bağlantı noktasından hariç tutmak anlamına gelir

Kuralları birleştirebilirsiniz:

Bağlantı noktası 80 ve bağlantı noktası 25 değil

• Intercepter her paketi belleğe yüklediğinden ve sabit diski takas bölümü (dosya) olarak kullanmadığından, ham kipte büyük dökümlerle çalışmamalısınız.

Intercepter-NG Seçenek İpuçları

Sniffer seçenekleri:

• Çevrimdışı pcap dökümü analizi gerçekleştirecekseniz, işlemi hızlandırmak için " Ana Bilgisayarları Çöz”.
• Seçeneği işaretlerseniz " Tepsiye kilitle", ardından tepsiden bir pencereyi geri yüklerken sizden bir şifre girmeniz istenecektir. Varsayılan şifre" 4553 ". Dosyada değiştirebilirsiniz settings.cfg... Parola base64 olarak kodlanmıştır.
• Seçenek " Oturumu kaydet", Intercepter'ın alınan tüm paketleri bir pcap dosyasına kaydedeceği anlamına gelir. Bu dosya çevrimdışı veri analizi için kullanılabilir. Bu bir tür sonuç dışa aktarma işlevidir.
• Eğer kurarsan Rastgeledaha sonra Intercepter, ağ bağdaştırıcısını rastgele modda açar. Bu, belirli ağ arayüzüne yönelik olmayanlar da dahil olmak üzere tüm paketleri okuyacağı anlamına gelir. Onay kutusu işaretli değilse, yalnızca belirtilen arayüze gönderilen paketleri okuyacaktır. Bazı Wi-Fi kartları bu modu desteklemez.
• “Benzersiz Veriler”- yalnızca benzersiz oturum açma bilgilerini ve parolaları gösterin. Şunlar. yakalanan oturum açma bilgilerini ve parolaları yalnızca bir kez göster - kullanıcı aynı oturum açma bilgilerini ve parolayı tekrar girdiyse görüntülenmez.
• Otomatik kaydetme - tüm metin bilgileri her 10 saniyede bir kaydedilecektir.
• Varsayılan olarak, " Izgara Görünümü”. Bu, şifrelerin bir veri ızgarası gibi görüneceği anlamına gelir. Tam ayrıntılı bilgileri görüntülemek için " Izgara Görünümü”.
• aşırı.Tipik bir iş akışında, algılayıcı, belirli protokollerle ilişkili önceden tanımlanmış bağlantı noktalarını analiz eder. Http dersek, 80 numaralı bağlantı noktasını (veya 8080 veya http protokolüyle ilişkili bağlantı noktaları listesinde önceden tanımlanmış olanı) kastediyoruz. Şunlar. yalnızca bu bağlantı noktaları analiz edilecektir. Bazı uygulamalar farklı bir bağlantı noktası kullanırsa, örneğin 1234, o zaman dinleyici, içinden geçen paketleri analiz etmez. Modda aşırıIntercepter, bağlantı noktalarını kontrol etmeden tüm TCP paketlerini analiz eder. Şunlar. bazı uygulamalar tanımlanmamış bir bağlantı noktası kullansa bile, dinleyici bu paketleri yine de kontrol edecektir. Bu, performansı yavaşlatsa da (normalden daha fazla kontrol edilecek bağlantı noktası vardır) ve kötü verileri açığa çıkarabilir veya doğru protokolü kaçırabilir (örneğin, FTP ve POP3 aynı kimlik doğrulama türünü kullanır), tanımlanmamış bağlantı noktalarında ilginç verileri bulmayı ve durdurmayı mümkün kılar. Bu modu kendi sorumluluğunuzda kullanın, eXtreme modu açıkken bir şeyler ters giderse şaşırmayın.
• "Yalnızca Yakala", Intercepter'ın paketleri gerçek zamanlı analiz yapmadan yalnızca döküm dosyasına dökeceği anlamına gelir. Bu, çok sayıda ağ verisi yakalarken performansı artırmak için yararlıdır.
• Seçenek Dirilişağ akışında iletilen verilerden dosyaları yeniden oluşturan Diriliş modunun dahil edilmesi anlamına gelir.
• IM Bağlantı Noktaları
• HTTP... HTTP ile ilişkili bağlantı noktaları, ayrıntılar için seçenek açıklamasına bakın aşırı.
• ÇORAP
• IRC \\ BNC

Intercepter-NG Ortadaki Adam (MiTM) Saldırı Seçenekleri

• Tüm MiTM saldırılarında, Intercepter ip \\ mac adreslerinin sahteciliğini (aldatma) kullanır (seçenek Sahte IP \\ MAC). Wi-Fi arayüzü kullanıyorsanız, wifi sürücülerinin% 99'u sahte bir mac ile paket gönderilmesine izin vermediğinden, bu seçeneğin işaretini kaldırmanız gerekir. Gerçek adresinizi ifşa etseniz de, wifi arayüzü üzerinden en azından herhangi bir MiTM saldırısı gerçekleştirebilirsiniz. Hiç yoktan iyidir. Ayarlarda sahtekarlığı devre dışı bırakmak yerine WIFI modunu kullanın. Uzman Modu'nda gösterilen mac'u değiştirebilirsiniz.
• iOS Killer iCloud'un yanı sıra Instagram ve VK için eklendi. Bu işlev (iOS Killer), belirtilen uygulamaların oturumlarını bırakır ve yeniden yetkilendirmeye müdahale edilmesini sağlar.
• Kerberos Sürüm Düşürme
• HSTS Sahtekarlığı... Bir SSL Şeridi yürütülürken HSTS'nin atlanması. Baypas tekniği nispeten basittir, ancak uygulamada belirli zorluklar vardır, bu nedenle herhangi bir özel sonuç beklememelisiniz. Chrome tarayıcısını kullanarak Yandex Mail'de bir örnek düşünelim. Ya.ru'ya giderseniz, sağ üst köşede, SSL Strip'in kolayca işleyebileceği bir https bağlantısı "Postayı girin" olacaktır. Ardından, verilerin POST yöntemi kullanılarak passport.yandex.ru'ya aktarıldığı bir yetkilendirme formu açılacaktır. Https yetkilendirmesi "şeritleme" ile bile SSL aracılığıyla yapılacaktır, çünkü host passport.yandex.ru, önceden yüklenmiş krom listesinde listelenir. Verilere müdahale etmek için passport.yandex.ru ana bilgisayar adını başka bir şeyle değiştirmemiz gerekir, böylece tarayıcı bu kaynağın kesinlikle güvenli bir bağlantı üzerinden ziyaret edilmesi gerektiğini algılamaz. Örneğin, passport.yandex.ru yerine paszport.yandex.ru kullanabilirsiniz, bu durumda veriler açık metin olarak değiştirilen alan adına gönderilir. Ama o zamandan beri böyle bir alan adı yoktur - paszport.yandex.ru, o zaman ek olarak DNS Spoofing yapmak gerekir, yani. Paszport.yandex.ru dönüştürülürken, müşteri buna yanıt olarak passport.yandex.ru'dan orijinal ip adresini almalıdır.

Bu prosedür otomatiktir ve bir saldırı sırasında ek kullanıcı müdahalesi gerektirmez. Gerekli olan tek şey, değiştirmelerin ön listesini yapmaktır. misc \\ hsts.txt... Varsayılan olarak, yandex, gmail, facebook, yahoo için birkaç giriş vardır. Bu atlama tekniğinin, kullanıcı tarayıcıya facebook.com'a girmesi durumunda oturum veya yetkilendirmeyi engellemenize izin vermeyeceğini anlamak önemlidir, çünkü tarayıcı, sitenin güvenli sürümünü hemen açacaktır. Bu durumda saldırı ancak facebook.com bağlantısı başka bir kaynaktan alınmışsa, örneğin google.com'da facebook'a girerken mümkündür. Saldırının uygulanmasındaki ana sorunlar, sitelerin alt etki alanlarıyla çalışmasının öngörülemeyen mantığını ve HSTS'yi atlatma girişimlerini ortadan kaldırabilen web kodunun özelliklerini içerir. Bu nedenle, Intercepter-NG'de bulunan alan adları bile varsayılan olarak kendi özelliklerine sahiptir ve her zaman doğru şekilde çalışmazlar. Her kaynak için koltuk değneklerini çitlemek istemiyorum, belki gelecekte bazı evrensel iyileştirmeler yapılacak, ama şimdilik, dedikleri gibi, olduğu gibi. Mevcut DNS Spoofing uygulamasında bir nüans daha "ve DNS sunucusunun yerel ağda olmaması gerekir, böylece ağ geçidine gelen dns isteklerini görmek ve gerektiğinde bunlara yanıt vermek mümkündür.

• IP Yönlendirme... Saf IP yönlendirme modunu etkinleştirir. MiTM saldırıları bu modda mevcut değildir, ancak Stealth IP'yi kullanamadığınız durumlarda arp aşındırmaya başlamanıza izin verir. Bu genellikle ağ geçidinin ağ üzerinde yasal bilgisayarların bir beyaz listesine sahip olduğu durumlarda gereklidir, bu nedenle NAT düzgün çalışamaz.
• Kurabiye katili - tanımlama bilgilerini temizler, böylece kullanıcıyı yeniden yetkilendirmeye zorlar - bir saldırganın onları yakalayabilmesi için bir kullanıcı adı ve parola girin. Cookie Killer işlevi, SSL bağlantıları için de çalışır. Siyah var misc \\ ssl_bl.txt) ve beyaz listeye alma ( misc \\ ssl_wl.txt). SSL MiTM'nin uygulanması veya uygulanmaması gereken IP adreslerini veya etki alanlarını hariç tutmak veya katı bir şekilde belirtmek için kullanılabilirler. Fazladan ssl portu belirtilirken, okuma \\ yazma tipini belirtmeye gerek yoktur, port numarasını belirtmek yeterlidir. Tüm trafik yazılır ssl_log.txt.
• Uzaktan Yakalama (RPCAP). Libpcap, ağ verilerini bir ana bilgisayardan diğerine RPCAP adı verilen kendi protokolü aracılığıyla göndermeyi mümkün kılar. Şunlar. rpcap daemon'unu ağ geçidinize getirebilir ve içinden geçen tüm trafiği görebilirsiniz. Arka plan programı başlatıldıktan sonra Intercepter'ı kullanarak uzak trafiği yakalamaya başlayabilirsiniz. Sağlanan alana arka plan programının ana bilgisayar adını veya IP'sini girin ve ardından listeden adaptörü seçin. Daha sonra "IP" yi ethernet kartınıza atanmış geçerli bir IP adresiyle değiştirerek "ana bilgisayar IP'si değil" filtresini ayarlamanız gerekir (bu, sizinle arka plan programı arasındaki rpcap trafiğini yok saymak için gereklidir).
• IP Üzerinden PCAP

Bu özellik, uzaktan trafik yakalama ile ilgilidir ve eski ve sorunlu rpcapd hizmetinin yerine mükemmel bir şekilde geçer. İsim kendisi için konuşuyor. Neredeyse tüm Unix'lerde her zaman bir grup tcpdump ve netcat vardır, bunlarla uzaktaki bir alıcı bilgisayara trafik kaydedebilirsiniz. Bu durumda Intercepter, libpcap formatında bir veri akışını beklerken portu açabilir ve gerçek zamanlı olarak analiz edebilir.

Trafik kaynağında temel bir fark yoktur, bu nedenle, tcpdump'a ek olarak, aynı şekilde mevcut bir.pcap günlüğünü okumak için cat yardımcı programını kullanabilirsiniz.

Aşağıda, Intercepter varsayılan olarak bağlantı noktası 2002'yi dinleyen bazı kullanım örnekleri verilmiştir:

Tcpdump -i yüzü -w - | nc IP 2002

yakalamanın gerçekleştirildiği aynı arabirim üzerinden trafiği iletmeyi planlıyorsanız, sunucu ile Intercepter arasındaki hizmet trafiğini dışlayan bir filtreleme kuralı eklemeniz gerekir:

Tcpdump -i yüz -w - bağlantı noktası değil 2002 | nc IP 2002 cat log.pcap | nc IP 2002 dumpcap -i yüz -P -w - | nc IP 2002

bu bir tcpdump "analogudur ve. Bayrağına dahil edilmiştir. -P paketlerin yeni pcapng'de değil standart libpcap biçiminde kaydedilmesi gerektiğini belirtir.

Netcat yardımı olmadan paketleri iletmenin alternatif yolu:

Tcpdump\u003e / dev / tcp / ip / bağlantı noktası

WPAD, modern tarayıcılardaki "Ayarları otomatik olarak algıla" özelliğine karşılık gelen "WebProxy Otomatik Bulma Protokolü" anlamına gelir. Bu özellik, tarayıcının mevcut proxy yapılandırmasını kullanıcı müdahalesi olmadan almasını sağlar. Bu bugün bile bir tehdittir ve bir saldırgan, kötü amaçlı bir sunucuyu web trafiğine müdahale etmesi için kolayca yapılandırabilir. Durum, Internet Explorer'ın (ve Chrome'un da) bu özelliği varsayılan olarak desteklemesi nedeniyle daha da kötüleşiyor.

Tipik olarak WPAD ağ üzerinde yapılandırılmaz, bu nedenle tarayıcıların olağan davranışı "WPAD" adı için NetBios sorguları göndermektir (DHCP ve DNS yöntemlerini atlayarak). Yanıt alınmazsa, tarayıcı doğrudan bir bağlantı kullanır. Ancak bir yanıt alınırsa, tarayıcı yapılandırma dosyasını http: /ip_of_wpad_host/wpad.dat adresinden indirmeye çalışır.

Intercepter-NG, her isteğe yanıt verir ve istemcilerden, proxy sunucusu üzerinden trafiği algılayabilmesi için kendi yapılandırmasını kullanmalarını ister. Ağdaki diğer herhangi bir proxy için kendi yapılandırmanızı özelleştirebilir veya yalnızca yerleşik proxy'yi seçebilirsiniz. Yerleşik proxy, HTTP enjeksiyon özelliğinin kullanımına izin verir.

Intercepter-NG Uzman Modu Seçenekleri

• SSL Şerit Zaman Aşımı (saniye) - Saniyeler içinde zaman aşımı SSL Strip
• ARP Zehiri (saniye) - Her ... saniyede bir ARP aşındırma yapın
• ARP Tarama Zaman Aşımı (saniye) - ARP tarama zaman aşımı
• DNS Önbelleği TTL (saniye) - DNS önbellek ömrü
• Adres sahteciliği MAC - Saldırganın adresinin değiştirileceği MAC adresi
• MySQL LOAD DATA Injection
• LDAP Röle DN: DC \u003d xxx, DC \u003d xxx
• NBNS Talebinde cezayı durdurun
• Yetkilendirmeden sonra SSH bağlantısını kes - Yetkilendirmeden sonra SSH bağlantısını sıfırlayın
• SMB Gasp -\u003e SMB Geçişi
• Otomatik ARP Zehiri - Otomatik modda, hedefler listesine sadece 1 ana bilgisayar eklemek yeterlidir ve Intercepter ağın kendisini belirli bir aralıkta tarayacak ve otomatik olarak yeni hedefler ekleyecektir.
• ARP Tablosunu Sıfırla- ARP tablosunu sıfırla
• SMB Hijack için özel yük (maks. 64 kb)
• GP Hijack için özel yük
• Kabuğu Çalıştır- Kabuğu çalıştır
• HTTP NTLM Grabber'ı çalıştırın

Tarama türleri

Tarama ilk aşamadır, yani birçok MiTM saldırısı bununla başlar. Tarama menüsünü göstermek için şuraya gidin: MiTM Modu ve masaya sağ tıklayın.

• Akıllı Tarama: ARP taraması ve ağ geçidi keşfini birleştirir. IP ve MAC adresleri, ağ kartının üreticisi ve işletim sistemi hakkındaki olağan bilgilerde bilgisayar adı görüntülenir. Aynı süre için, artık ek olarak Netbios adını veya iOS çalıştıran cihazın adını öğrenebilirsiniz. İkincisini çözmek için, Apple'ın Bonjour protokolünün çalıştığı temelde MDNS protokolü kullanılır.Alınan tüm adlar artık bir önbellek dosyasına kaydedilir ve sonraki taramalar sırasında herhangi bir nedenle ana bilgisayar adı hakkında dinamik olarak bilgi alınmazsa, buradan alınacaktır. Ek olarak, bu tarama Stealth IP'yi gösterir ve ağ geçidi IP'sini (algılanırsa) ve Stealth IP'yi MiTM sekmesindeki uygun alanlara otomatik olarak ayarlar.İşletim sistemi algılaması da TTL değerlerine göre gerçekleştirilir.
• ARP Taraması (ARP taraması): Seçili ethernet adaptörüne atanan C sınıfı alt ağı kontrol eder. Örneğin IP adresiniz 192.168.0.10 ise, 192.168.0.1-255 aralığındaki 255 IP adresi kontrol edilecektir. 0.9.5 sürümünden bu yana, program tüm alt ağları düzgün şekilde taramak için ağ maskesini kontrol eder.
• DHCP Keşfi (DHCP Keşfi): DHCP-Discovery yayınlarını gönderir ve DHCP sunucularından yanıtları bekler. Herhangi bir sunucu yanıt verirse, bunları listeye ekleyin.
• Promisc Tespiti (ağ kartlarının rastgele keşfi): Ağa özel ARP istekleri gönderir. Yanıt veren bilgisayarlar belli ki koklayıcılar. Bazı ethernet kartları (3COM) da yanıt verebilir, yani yanlış pozitifler mümkündür.
• Ağ Geçidi Keşfi (ağ geçidi keşfi): ağdaki tüm ana bilgisayarlar üzerinden bir SYN paketi gönderir, ağ geçidi varsa yanıt geri gönderilir.

Intercepter-NG Ortadaki Adam (MiTM) Saldırı Teknikleri

Düğmesine basarak MiTM'leri yapılandırın (gözlü şapka) iletişim kutusu açılır MiTM Saldırıları:

Desteklenen tekniklerin bir listesini içerir.

SSL MiTM

Bu, sertifika sahtekarlığının eski ve klasik bir tekniğidir. SSL ile korunan herhangi bir protokolün verilerini kesmenize izin verir. Standart olarak desteklenir: HTTPS, POP3S, SMTPS, IMAPS. Herhangi bir ek bağlantı noktası isteğe bağlı olarak belirtilebilir.

HTTPS'ye müdahale ederken, talep edilen kaynaktan orijinal bilgiler kopyalanarak sertifikalar "anında" oluşturulur. Diğer tüm durumlar için statik bir sertifika kullanılır.

Doğal olarak, bu işlevi kullanırken, tarayıcıdan ve diğer istemci yazılımlarından gelen uyarılar kaçınılmazdır.

Yeni sürüm, SSL MiTM kodunu tamamen yeniden yazdı. Artık hızlı ve kararlı. Sertifika oluşturma algoritması da değişti, bunlara ek dns kayıtları eklendi ve tüm sertifikalar tek bir anahtarla imzalandı ( misc \\ server). Bu, bu kendinden imzalı sertifikayı hedef bilgisayardaki güvenilenler listesine ekleyerek, herhangi bir kaynağa (SSL Sabitlemenin olmadığı yerlerde) SSL trafiğini dinlemenin mümkün olacağı anlamına gelir. Fonksiyon Kurabiye katili artık SSL bağlantıları için de çalışıyor. Siyah ortaya çıktı ( misc \\ ssl_bl.txt) ve beyaz listeye alma ( misc \\ ssl_wl.txt). SSL MiTM'nin uygulanması veya uygulanmaması gereken IP adreslerini veya etki alanlarını hariç tutmak veya katı bir şekilde belirtmek için kullanılabilirler. Fazladan ssl bağlantı noktasını belirtirken, artık okuma \\ yazma türünü belirtmeye gerek yoktur, bağlantı noktası numarasını belirtmek yeterlidir. Tüm trafik ssl_log.txt dosyasına yazılır.

SSL Şerit

SSL Strip, HTTPS bağlantılarına müdahale etmek için sessiz bir tekniktir. Uzun zamandır çalışan sürüm sadece unix altında mevcuttu, şimdi benzer eylemler NT ortamında gerçekleştirilebiliyor. Sonuç olarak şu: saldırgan "ortada", HTTP trafiği analiz ediliyor, tüm https: // bağlantıları tanımlanıyor ve http: // ile değiştiriliyor. Böylece istemci, güvenli olmayan bir modda sunucuyla iletişim kurmaya devam ediyor. Değiştirilen bağlantılara yönelik tüm talepler izlenir ve yanıt olarak orijinal https kaynaklarından veriler gönderilir.

Çünkü hiçbir sertifika değiştirilmez, ardından uyarı olmaz. Güvenli bir bağlantıyı simüle etmek için favicon simgesi değiştirilir.

DNC<> ICMP

Bu, daha önce bahsedilen veya uygulanmayan tamamen yeni bir tekniktir. Aynı eski ICMP Redirect MiTM üzerine kurulur ancak verileri koklamak için yeni bir yol açar. Bu saldırının ilk adımı, önemli bir farkla klasik ICMP yeniden yönlendirmesine benzer.

Sözde "yeni kayıt", kurbanın DNS sunucusudur. Kurban yanıtları almadan önce tüm DNS isteklerinin kontrolünü ele alacağız ve biraz sihir yapacağız.

Somehost.com'u çözdüğümüzde (çözdüğümüzde), DNS bize IP somehost.com'dan bir veya daha fazla yanıt içeren bir yanıt gönderir. Dahası, "ek" cevaplar içerebilir ve biz de bunlarla ilgileneceğiz. Saldırının ilk bölümünü tamamladıktan sonra, kurban tüm DNS isteklerini saldırganın ana bilgisayarı (NAT) üzerinden göndermeye başlar. NAT, DNS'den bir yanıt aldığında, tüm IP'leri okur ve ardından çözülmüş IP ile kurbana ICMP yönlendirme mesajları gönderir.

Bu nedenle, NAT kurbana bir DNS yanıtı gönderdiği zaman, yönlendirme tablosunda ana makinemize işaret eden tüm çevrilmiş adresler için girişler vardır!

Bu, yalnızca kurbanın DNS'ini değil, dönüştürülen her şeyi kokladığımız anlamına gelir. Tüm trafik sahte IP / MAC yoluyla sahte olacaktır.

Saldırının bu kısmı NAT tarafında yapılır, bu nedenle doğru şekilde yapılandırmanız gerekir.

"ICMP üzerinden DNS" onay kutusunu işaretleyin ve ardından doldurun:

• Yönlendiricinin IP'si, kurban tarafından kullanılan varsayılan ağ geçidinin IP'sidir.
• İstemcinin IP'si kurbanın IP'sidir. Birden fazla hedef ekleyebilirsiniz, ancak Intercepter'dan her hedefe bir ICMP yönlendirme paketi göndererek başlamayı unutmayın.

İstemcileri ekledikten sonra, "Yeni Ağ Geçidi" alanına ve "Görünmez IP" alanına boş / kullanılmamış bir IP girmelisiniz.

Bir adaptör seçin, aynı ethernet alanında trafiği yönlendireceğimiz gibi aynı olmalıdır.

NAT'ı başlatın.

Tüm DNS yanıtları özel bir listede saklanır ve NAT düzenli olarak (ayarlarda belirlenen zamana göre) ICMP yönlendirmelerini yeniden gönderir,

Sonunda, bir eylem daha yapmalısın. Kurbanın yönlendirme tablosunu "temizleyemezsiniz" (ARP zehirlemesinde olduğu gibi), bu nedenle ICMP yeniden yönlendirmelerinin yeniden gönderilmesini önlemek için "DNS ↔ ICMP" işaretini kaldırmalı ve yaklaşık 10-15 dakika beklemelisiniz. Bundan sonra, yeni girişler eklenmeyecek, ancak eskiler, süreleri dolana kadar NAT aracılığıyla sorunsuz çalışacaktır.

WPAD MiTM

Ayrıntılar için seçenek açıklamasına bakın WPAD Yapılandırması (PROXY: PORT).

SMB Gasp

SSH MiTM

SSH kimlik doğrulama verilerini (kullanıcı adı / parola) yakalayabilir ve uzak oturum sırasında geçen tüm komutları görebilirsiniz. 2 kimlik doğrulama mekanizması desteklenir: şifre ve etkileşimli. Kurbanın verilerini koklamak için gerçek bir sshd gibi davranmalı ve kendi rsa / dsa anahtarlarımızı sağlamalıyız. Orijinal ana bilgisayar anahtarı kurban tarafından önbelleğe alınırsa, önbelleğe alınmamışsa bir uyarı mesajı görünecek ve istemci tarafında herhangi bir saldırı belirtisi olmayacaktır.

Kurban oturum açtığında, her zamanki gibi çalışabilir, komutları ve gece yarısı komutanı gibi sözde grafik programları çalıştırabilir. Intercepter, WINDOW_CHANGE isteklerini durdurur, bu nedenle, kurban pencereyi yeniden boyutlandırmaya karar verirse, her şey yeni pencere boyutuna göre doğru şekilde yeniden çizilecektir.

Program uzak bir oturumla çalışır, ancak SFTP ile çalışmaz. Kurban bir SFTP istemcisi başlatırsa, kimlik doğrulama verileri yakalanacak, ancak daha sonra bağlantı kesilecek ve işaretlenecektir. Ardından, kurban yeniden bağlanmaya çalıştığında, sahte sshd'mize ek olarak orijinal ssh sunucusuna da erişebilecek.

Saldırganın uzak sunucuya giriş yaptığı ve IP adresini günlüklerde bıraktığı belirtilmelidir. Uzman modunda, kurbanın kimlik bilgilerini aldıktan sonra ssh bağlantısını kesme seçeneğini belirleyebilirsiniz. Bağlantı işaretlenecek ve bir sonraki denemede program orijinal sunucuya erişime izin verecektir.

GP kaçırma

Intercepter-NG'de Man-in-the-Middle (MiTM) saldırıları için ek yetenekler

Bu özellikleri kullanmak için düğmeler de bölümde yer almaktadır. MiTM Seçenekleri (küpler, JDownloader sembolü, şırınga, kalkan ve serbest duran radyasyon tehlikesi sembolü):

Trafik Değiştirici (ağ trafiği akışındaki metin verilerini değiştirin)

Paket uzunluğunu değiştirmeden yalnızca eşit büyüklükteki veriler değiştirilebilir. Tarayıcının "12345" dizesini içeren site.com/file.txt dosyasını açtığını varsayalım. Bir GET isteğine yanıt olarak, sunucu, iletilen verilerin uzunluğunu gösteren bir HTTP başlığı döndürecektir - İçerik uzunluğu: 5. "12345" yerine "12356" koyarsak ne olur? Tarayıcı, eklenen "6" yı atarak yalnızca 5 bayt indirir ve "12345" i "1234" ile değiştirerek veri boyutunu küçültürsek, tarayıcı yalnızca 4 bayt alır ve bağlantı kesilene kadar sunucudan 1 bayt daha bekler. zaman aşımı. Bu nedenle bu boyut sınırlaması yapılır. Hem metin verilerini hem de ikili verileri değiştirebilirsiniz, ikili desenler için C'deki gibi sözdizimi "\\ x01 \\ x02 \\ x03" şeklindedir.

HTTP trafiğinde değişiklik gerekiyorsa, ayarlarda "HTTP gzip kodlamasını devre dışı bırak" seçeneği etkinleştirilmelidir.

Adres sahteciliği

Adres sahteciliği, ana bilgisayarları belirli bir IP'ye yönlendirmenize olanak tanır. DNS, NBNS, LLMNR protokolleri desteklenmektedir.

DNS ile tüm alt etki alanlarını da yeniden yönlendirmek için bir maske belirleyebilirsiniz. Genellikle domain.com:IP çiftleri ayarlanır, ancak alt alan adları sahte olmayacaktır. Hepsini yeniden yönlendirmek için alan adından önce * (yıldız) ekleyin: * host.com

Zorunlu İndirme ve JS Enjeksiyonu

Her iki yenilik de HTTP Enjeksiyon modu ile ilgilidir. Rusça'da Zorunlu İndirme, "zorunlu indirme" olarak tercüme edilebilir, çünkü bu tam olarak web'de gezinme sırasında hedef tarafta olan şeydir. Siteye girerken, saldırganın belirttiği dosyanın tarayıcı ayarlarına bağlı olarak indirilmesi önerilir, kendini indirebilir ve kullanıcı onu başlatıp başlatmamayı zaten seçecektir.

Anladığınız gibi, zorunlu indirmeye isteğe bağlı içeriğe sahip bir .exe dosyası da ekleyebilirsiniz ve bu dosyanın kaynağı, kullanıcının şu anda ziyaret ettiği site olacaktır. Hedefin adobe.com'u açacağını bilerek, flashplayer.exe dosyasını yayınlayabilirsiniz ve adobe.com veya alt alanlarından biri bu dosyanın kaynağı olarak listelenecektir.

Bir defalık dağıtımdan sonra zorlama kapatılır; yeniden enjekte etmek için ilgili onay kutusuna tekrar basmanız gerekir.

JS Inject, kontroller arasında açıkça mevcut değildir, çünkü aslında, bu en yaygın http enjeksiyonudur, ancak bir farkla. Bir dosyayı diğeriyle değiştirdiğinizde, örneğin belirli bir dosya için pictures.jpg, bir içeriğin diğeriyle değiştirilmesidir. .Js betiğinin yüksek olasılıkla değiştirilmesi, kaynağın işleyişini bozabilir, bu nedenle yeni sürümde js inject, bir komut dosyasını diğeriyle değiştirmez, ancak mevcut olana ekler ve orijinal kodu etkilemeden ek kod enjekte etme yeteneği ekler.

FATE modu iki yeni işlevi birleştirir: FAke siTE ve FAke updaTE.

FAke siTE'nin temel amacı, SSL ve diğer güvenlik mekanizmalarını atlayarak herhangi bir web kaynağından yetkilendirme verisi elde etmektir. Bu, yetkilendirme sayfasını klonlayarak ve yerleşik sözde web sunucusuna yerleştirilecek bir şablon oluşturarak elde edilir. Ön tanımlı olarak müdahale eden, accounts.google.com için bir şablon içerir, çünkü orijinal sayfa, alanı tek tek giriş ve ardından şifre ile doldurmanızı gerektirir. Bu şablon, her iki alanı aynı anda etkin hale getirmek için biraz değiştirildi. Saldırıdan önce şablonun barındırılacağı alanı belirtmelisiniz. Saldırının başlamasından sonra, hedefin trafiğine seçilen etki alanına bir yönlendirme enjekte edilir ve ardından yakalayıcı, gerekli adreslere otomatik olarak DNS sahtekarlığı gerçekleştirir. Sonuç olarak, seçilen yetkilendirme sayfası tarayıcıda açılacaktır.

FAke updaTE'nin (sahte güncellemeler) işlevselliği, "kurban" a yüklenen yazılım hakkında mesajların ortaya çıkması ve bir yük içeriyor gibi görünen bir güncelleme dosyasının indirilmesi anlamına gelir. Desteklenen yazılımların listesi çok sınırlıdır. Dilerseniz kendi şablonlarınızı ekleyebilirsiniz, yapıları misc \\ FATE \\ update'lerinde bulunabilir.

ARP Zehiri (ARP aşındırma)

Klasik ortadaki adam saldırısının bir parçasıdır. Bu saldırı, ana bilgisayarların taranmasıyla başlar. Ana bilgisayarlar bulunduğunda ve bazıları hedef olarak seçildiğinde, ARP zehirlenmesi başlar, bunun sonucunda saldırıya uğramış ana bilgisayarlar trafiğini ağ geçidine değil saldırgana iletmeye başlar. Saldırgan bu trafiği inceler (koklar), diğer manipülasyonları gerçekleştirir ve hedef sunucuya gönderir. Hedef sunucu saldırgana yanıt verir (talebin kaynağı olarak), bu trafik de koklanır, değiştirilir ve kurbana gönderilir. Sonuç olarak, kurban için önemli bir değişiklik olmuyor - uzak bir sunucuyla veri alışverişi yapıyor gibi görünüyor.

Ek Intercepter-NG özellikleri

Ek işlevleri başlatmak için düğmeler, program penceresindeki sağ sütunun ayrı bir bölümünde bulunur:

Intercepter-NG, önceki sürümlerdeki ilkel bağlantı noktası tarayıcısının yerini alan kendi ağ tarayıcısına sahiptir. Başlıca işlevleri:

1. Açık bağlantı noktalarını tarayın ve aşağıdaki protokolleri sezgisel olarak tespit edin: SSH, Telnet, HTTP \\ Proxy, Socks4 \\ 5, VNC, RDP.
2. Açık bir bağlantı noktasında SSL'yi algılayın, başlıkları ve çeşitli web başlıklarını okuyun.
3. Bir proxy veya soks bulunursa, dışa açıklıklarını kontrol edin.
4. VNC sunucularına şifresiz erişimi kontrol edin, HeartBleed için SSL'yi kontrol edin. DNS'den version.bind dosyasını okuyun.
5. Veritabanını, web sunucusunda ShellShock'a karşı savunmasız olan komut dosyalarının varlığı için kontrol edin. Veritabanında 200 OK için dizinlerin ve dosyaların listesini ve robots.txt'deki dizinlerin listesini kontrol edin.
6. SMB aracılığıyla işletim sistemi sürümünü belirleyin. Anonim erişiminiz varsa, yerel saat, çalışma süresi, paylaşılan kaynakların listesi ve yerel kullanıcılar alın. Bulunan kullanıcılar için otomatik bir kaba kuvvet saldırısı başlatılır.
7. Yanıt süresini ölçerek yerleşik SSH kullanıcıları listesine göre belirleyin. Bulunan kullanıcılar için otomatik bir kaba kuvvet saldırısı başlatılır. Numaralandırma çalışmazsa (tüm sürümlerde çalışmaz), numaralandırma yalnızca kök için başlatılır.
8. HTTP Temel ve Telnet için otomatik kaba kuvvet. Telnet protokolünün özellikleri göz önüne alındığında, yanlış pozitifler mümkündür.

Hem yerel ağda hem de İnternette herhangi bir hedef taranabilir. Tarama için bir bağlantı noktası listesi belirtebilirsiniz: 192.168.1.1:80,443 veya 192.168.1.1:100-200 aralığı. Tarama için bir adres aralığı belirtebilirsiniz: 192.168.1.1-192.168.3.255.

Daha doğru bir sonuç için, bir seferde yalnızca 3 ana bilgisayar taranabilir. Kelimenin tam anlamıyla son anda, SSL sertifikalarından veri kontrolleri eklendi, örneğin, Ubiquiti kelimesi ile karşılaşılırsa ve bağlantı noktası 22 açıksa, ubnt kullanıcısının SSH kaba kuvveti otomatik olarak başlatılır. Yönetici kullanıcı ile bir çift Zyxel demir parçası için aynen. Tarayıcının ilk sürümü için işlevsellik yeterlidir ve hatalar iyi ayıklanmıştır.

Gönülsüz istismar

Hedefin HeartBleed'e karşı savunmasız olup olmadığını test eder. Hedef savunmasızsa, bu güvenlik açığından yararlanır - uzak ana bilgisayarın RAM içeriğinin bir kısmını alır.

Bruteforce modu

Aşağıdaki ağ protokolleri için kaba kuvvet saldırısı (kaba kuvvet, kaba kuvvet) desteklenmektedir:

• POP3 TLS
• SMTP TLS
• HTTP Temel
• HTTP Gönderisi
• TELNET
• VMWARE

Kimlik bilgilerinin kontrol edileceği iş parçacığı sayısını ayarlayabilirsiniz.

Bir zaman aşımı oluştuğunda, aktif iş parçacığı aynı yerden yeniden başlatılır ve yineleme işlemi devam eder.

Var Tek mod, bu, her yeni oturum açma çiftinin: parolanın yeni bir bağlantı kurulmasıyla kontrol edilmesi gerektiğini, bazı protokoller için bu, işin hızını artırmaya izin verdiğini gösterir. İş günlüğü kaydedildi brute.txt.

ARP işlevleri

ARP Dağlama ve ARP Taramasının yanı sıra, ARP ile ilgili başka işlevler de vardır. Bunlardan ikisi, program penceresinde sağ sütunun ayrı düğmelerine yerleştirilir:

• ARP İzle: Dahili kişisel ARP gözetim hizmeti. Güvenilir (temiz) MAC adreslerinin listesini doldurmak için bir ARP taraması yaparak başlamalısınız. Herhangi biri arp önbelleğinizi zehirlemeye çalışırsa, bir uyarı mesajı görünecektir.
• ARP Kafesi: Arp tablosu girişlerini taklit ederek hedef IP adresini diğer yerel ana bilgisayarlardan ayırır.

Intercepter-NG başlatma örnekleri

Intercepter-NG'de MiTM nasıl çalıştırılır

Bir ağ adaptörü seçerek başlayın ( Ağ adaptörü):

Boş bir masaya sağ tıklayın ve seçin Akıllı Tarama:

Hedeflerin bir listesi görüntülenecektir:

İstediğiniz hedefleri ekleyin ( Hedef olarak ekle):

Koklamaya başlamak için ilgili simgeye tıklayın:

Sekmeye git MiTM modu (bu, yama kabloları olan bir küredir) ve simgeye tıklayın ARP Zehri (radyasyon tehlikesi sembolü):

Sekmede Şifre Modu (sembol bir anahtarlıktır), yakalanan kimlik bilgileri görünecektir:

Wi-Fi ile çalışın ve Ethernet ile çalışın

Wi-Fi veya kablolu bağlantılarla çalışırken hiçbir fark yoktur, ancak simgeye tıklayarak istediğiniz moda geçmeniz gerekir:

Pcap yakalama dosyalarının çevrimdışı analizi

Analiz süresini yavaşlatan veya hızlandıran birçok seçenek vardır.

1. Öncelikle, büyük bir .pcap dosyası okumanız gerekiyorsa, " çözmek".
2. .Pcap'iniz büyük dosyalar içeriyorsa ve Resurrection etkinleştirilmişse, hız düşebilir. Çözüm, kurtarma için maksimum dosya boyutuna bir sınır koymaktır.
3. Herhangi bir şeye ters mühendislik uygulamanıza gerek yoksa, bu seçeneği ayarlardan devre dışı bırakın. Hız artacak.
4. Yalnızca belirli bir protokolü (örneğin, ICQ \\ AIM veya yalnızca HTTP) analiz etmeniz gerekiyorsa uygun filtreyi yükleyin " pcap filtresi"dan HAM MODU: tcp bağlantı noktası xxxnerede xxxProtokolünüzün port numarasıdır.
5. Analiz için birden fazla yakalama yükleyebilirsiniz. İÇİNDE Diyaloğu Aç birden fazla dosya seçin, hepsi sırayla analiz edilecektir.

Intercepter-NG Kurulumu

Linux Kali'ye yükleme

Intercepter-NG'yi Kali Linux'ta kurmak ve çalıştırmak için aşağıdaki komutları çalıştırın:

Wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw\u003dtrue -O wine_pcap_dlls.tar.gz sudo apt install libpcap-dev sudo dpkg --add-architecture i386 sudo apt güncelleme sudo apt install wine32 sudo apt install tcpdump: i386 wine --config tar xvzf wine_pcap_dlls.tar.gz sudo cp wpcap / wpcap.dll.so / usr / lib / i386-linux-gnu / wine sudo cp paket / paket. dll.so / usr / lib / i386-linux-gnu / wine rm -rf wine_pcap_dlls.tar.gz wpcap / packet / sudo apt install winetricks winetricks cc580 sudo ethtool --offload eth0 rx off tx off # Load Intercepter-NG v1.0 0 ve dll dosyalarını wpcap.dll ve Packet.dll silin: wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw\u003dtrue -O Intercepter-NG .zip Intercepter-NG.zip rm wpcap.dll rm Packet.dll sudo wine Intercepter-NG.exe dosyasını açın

Windows üzerine kurulum

Intercepter-NG'yi Windows'a kurmak için, ilgili arşive gidin ve indirin (harfler olmadan CE). Program kurulum gerektirmez, sadece arşivi açın ve dosyayı çalıştırın .exe.

Android üzerine kurulum

Intercepter-NG'yi Android'e kurmak için gidip dosyayı indirin apk... Uygulamayı başarılı bir şekilde çalıştırmak için kök hakları gerekir.

Ekran Görüntüleri Intercepter-NG

Çok işlevli program, genel bir ağdaki tüm cihazları tanımlamanıza, cihazların IP ve MAC adreslerini belirlemenize, trafiği kesmenize ve indirilen dosyaları değiştirmenize olanak tanır. Deneyimli bir kullanıcıya bir başkasının e-posta yazışmalarını okumak ve bu yardımcı programı kullanarak bir sosyal ağ hesabına giriş yapmak hiçbir maliyeti olmayacaktır.

Karakteristik

Yukarıda belirtildiği gibi, Intercepter-NG, diğer cihazlarla yetkisiz etkileşim için bir programdır. Birkaç tıklamayla, cihazın IP adresini ve Mac adresini belirleyebilir, trafiği ve çerezleri engelleyebilir, başkasının çevrimiçi yazışmalarını okuyabilir veya kirli işlerinizi yapmak için bir başkasının sosyal ağ hesabına giriş yapabilirsiniz.

Deneyimli kullanıcılar uygulamanın çalıştığından emin olurlar ve bir Wi-Fi erişim noktasına bağlandığında diğer insanların trafiğini engelleyebilirsiniz.

Özellikleri:

Öncelikle minimum bilgiye sahip olmanız gerekir. Uygulamada talimatlar, kılavuzlar, eğitim modları yoktur. İlgili bilgiler tematik forumlarda bulunacaktır.

İkinci olarak, yardımcı programın çalışması için süper kullanıcı haklarının elde edilmesi gerekir. Böyle bir kararın taşıdığı riskleri akılda tutarak, artıları ve eksileri tartmak önemlidir. Kök haklarını almaya karar verdikten sonra, uygulamaların süper kullanıcı haklarına erişimini gerçek zamanlı olarak kontrol edebileceğiniz erişim hakları yöneticisi yardımcı programını indirip kurduğunuzdan emin olun.