Intercepter-NG. Функции и описание

Привет всем кто читает статью.

Пишется она по просьбе людей которые изучили статью перехват паролей по Wi Fi и перехват куки по Wi Fi .

Там было описано как перехватить пароли и куки внутри сети используя программу Intercepter-ng.

перехват-данных

Некоторые попросили рассказать больше о функционале, другие просили показать больше возможностей, кто то просил рассмотреть последнюю версию (на данный момент актуальна версия 0.9.10.

Пришлось поднять свой ленивый зад, и начать изучать весь найденный материал по крупицам.

Начав писать черновик я понял что одной статьёй не обойтись. Поэтому сегодня будет лишь теория, описание некоторых функций и режимов Intercepter-ng. В течении двух-трех дней напишу уже о работе с программой на практике, а затем будет и несколько видео ( для тех кому так проще усвоить ).

 

Говорю сразу — у меня нет глубоких технических познаний, поэтому пишу простыми словами, и чтобы было понятно простым людям . Если заметили неточность в моих описаниях, или есть чего дополнить пишите в комментариях. 

Каждую функцию я не смогу описать, только то что сам смог найти.

Приступим к осмотру пациента.

Intercepter-ng. Инструмент хакера пентестера.

Функционал ( лишь малая часть всех возможностей) .

  •  
    • Перехват сообщений мессенджеров (ICQ и тд)
    • Перехват куки и паролей
    • Можно подсунуть жертве для скачивания файл путём инъекции (например шутку, вирус) и надеется что он его скачает и запустит
    • Просмотр активности пользователя ( какие сайты посещает)
    •  Подмена Https протокола на Http.

 

Рассмотрим режимы и кнопки.

intercepter

1 — Выбор интерфейса через который вы подключены роутеру ( значок слева переключает режимы Wi-Fi или проводной режим, выбирайте свой ).

2 — Messengers mode. Функция перехвата ICQ\AIM\JABBER сообщений. Считаю в наши дни неактуальным, поэтому рассматриваться не будет.

3. — Resurection Mode — режим восстановления. Когда жертва просматривает сайты, там присутствуют файлы, картинки, некоторые Html страницы и тд. Они сохраняются и у вас (могут сохраняться не все, либо частично). Возможно кому то будет полезен режим для анализа.

4. - Password Mode — Здесь отображаются куки, при везении пароли введенные жертвой и посещаемые сайты. При Https протоколе часто всё сводится к нулю и при везении попадутся лишь куки. Но благодаря некоторым настройкам порою можно обойти (об этом позже).

5. Scan mode. Тут мы будем искать наших жертв. Для этого жмете правой кнопкой мыши в окне, и выбираете Smart scan.

Отобразятся все устройства в сети и их примерная ОС.

Stealth IP — это ваш скрытый IP, под которым вы скрываетесь в работе.
Scan mode

Рассмотрим подробнее режим.

Если нажать «Promisc detection» то отобразятся устройства которые скорее всего перехватывают трафик(часто ошибается)... Внимательнее, потому что может показать что ваш роутер тоже перехватчик .

При нажатии на определенном Ip можно добавить жертву в Nat (Add to nat) чтобы в дальнейшем заниматься перехватом.

Так же если  выбрать «Scan ports» можно просканировать открытые порты. До Nmap функции далеко, но если под рукой только эта программа то сойдет.

Более здесь ничего интересного.

6. Nat mode. Nat mode — Основной режим в котором и будем работать. Здесь производятся основная подготовка и ARP атаки.

В этой статье я не стану заострять внимание, мы рассмотрим уже в следующей.

7. DHCP mode. DHCP mode — Позволяет поднять свой DHCP сервер внутри сети. Я с этим режимом не работал и ничего о нем подсказать не могу.

8. RAW mode — Сырой режим. Отдаленно похож на программу Wireshark. Показывает основную активность в сети. Иногда можно поймать что либо интересное, если конечно знать что искать.

9. Settings. Настройки программы Intercepter-ng. Важная часть, поэтому рассмотрим подробнее.

settings

Lock on tray — При сворачивании программы в трей будет ставиться пароль. По умолчанию пароль — 4553.

Save session — сохраняет автоматически отчеты в PCAP файлы для дальнейшего изучения и анализа.

Promiscuous — «Беспорядочный режим». При активации программа считывает все пакеты .Если он не установлен, то только читает пакеты, которые посылаются на указанный интерфейс. Не каждый Wi-FI модуль может с ним работать. Понятия не имею для чего он нужен, разницы с ним и без него не заметил.

Autosave. Автоматически сохраняет отчеты в текстовом формате, в корневой папке с программой.

Grid View. Просмотр в виде таблиц. Если выключить, отчеты внутри программы будут идти списком. Смотрите как удобнее, с ним или без него.

Ios Killer и Cookie killer. Практически идентичны . Cookie killer предназначен для того чтобы если у жертвы уже сохранен пароль на сайте, вышло с сайта и придется ему заново заходить и следовательно вы получите пароль. Ios killer предназначен Iphone и Ipad, чтобы у жертвы вышло из программ социальных клиентов (VK, facebook, Icloud и тд).

Kerberos downgrade. Kerberos - сетевой протокол, один из видов аутенфикации. Благодаря фиче, используя smb hijaking, можно обойти данную защиту. Сам с таким протоколом не встречался, поэтому рассматривать не будем.

Hsts. Интересная фишка обхода Hsts из последней версии, но не совсем стабильная. Суть в том что многие сайты автоматически переключаются с Http на Https защищенный протокол что мешает нам перехватывать данные. SSl strip не всегда справляется, поэтому данная функция порою может помочь.Описывать принцип не буду (можно найти на хабре).

Единственное нужно в папке с программой, в файл misc\hsts.txt внести нужный домен. Некоторые популярные уже там присутствуют. Суть такая, что к основному домену нужно приписать букву. Например vk.com:vvk.com  или ok.ru:oks.ru и тд.

Программа будет заменять защищенную страницу авторизации на сайте, на подмененную, но Ip авторизации остается как на основном.

На своём примере, срабатывает порою через раз, но лучше чем ничего. Экспериментируйте в общем.

Wpad configuration. Ввод WPAD-WebProxy Auto-Discovery либо включение стандартного Wpad прокси.  Чтобы его активировать, в режиме Nat установите галочку на Wpad mitm.

В режиме Exppert mode (значок планеты) нам может быть интересна галочка Auto ARP poison. Тоесть при подключении людей к сети, они автоматически будут добавляться в nat mode.

В разделе Settings больше нечего рассматривать, поэтому далее.

10. - HeartBleed exploit — поиск уязвимости HeartBleed.

11. - Bruteforce mode — брут некоторых протоколов цели. Необходимо знать имя пользователя. Пароли для брута есть и в программе так и можно использовать свой словарь.

12. ARP watch — в этом режиме можно наблюдать не ведется ли ARP атака (прослушка трафика и тд.) в случае атак, в Nat mode своевременно будет показываться предупреждение.
13. ARP Cage — Arp клетка. Изолирует хост. Перенаправляет жертву на другой IP. полезно при подозрнии исходящего спама и тд.

Вот собственно вся информация которую смогу найти и разобрать.

Немного о Nat mode.

Так как вся основная работа будет проходить у нас непосредственно через данный режим, попробую описать то с чем мы столкнемся.

Router's IP — непосредственно IP роутера к которому подключены. Определяется автоматически когда вы проведете Smart scan в Scan mode.

Stealth Ip — Ваш скрытый Ip.

Nat cliens — здесь выводятся атакуемые «Жертвы».

 Mitm options.

Configure mitms — Здесь включаются\выключаются основные Mitm атаки.

mitm

Я буду рассматривать две: SSL Mitm и SSL Strip.

SSL mitm — Техника которая подменяет сертификаты жертве.

Необходима при перехвате данных. К сожалению многие браузеры и клиенты на мобильных телефонах научились их блокировать, предупреждая нас либо даже не давая нам зайти в интернет.

Ssl Strip — Так же функция которая нам часто понадобится.  Является более скрытой SSL. «тихая» техника для перехвата HTTPS соединений. Здесь нет подмены сертификата, поэтому труднее вычислить и нет предупреждений о проблем безопасности. Необходима при работе Cookie killer. когда нам нужно подсунуть жертве файл и тд. Подробнее рассмотрим в следующей статье.

 Traffic changer — подмена трафика. Бесполезный функционал шутки ради. Подмена Http запроса жертве ( например человек хочет попасть на один сайт а его переправляет на другой). Но тут не всё гладко, подробнее в следующей статье.

Configure http injection — тут мы настраиваем чтобы жертва скачала нужный нам файл. Это может быть безобидная картинка, скрипт или программа. Подробнее в следующей статье.

inject

Кнопки Start arp poison и Start nat начинают нашу атаку. При включении Start arp poison сразу активируется и второе. Но перед тем как включить необходимо включить — Start sniffing вверху, рядом с выбором интерфейса роутера.

Вот собственно и всё в этой статье, я удивлен вашей выдержки если дочитали до этого момента. Если есть что подправить, или дополнить пишите в комментариях, и я внесу это в статью.

На днях уже рассмотрю работу с Intercepter-ng на практике. Так что оставайтесь с нами и до новых встреч.

И не забывай — Большой брат следит за тобой !

Большой-брат-следит-за-тобой

Comments

  1. Кирилл, если тебе требуется идеальный текст, то читай Войну и Мир. А это явно не для твоих мозгов...

Добавить комментарий

Оставьте своё мнение либо пожелание.