Обзор новых функций Intercepter-NG

    Год ожиданий не прошел напрасно и он компенсируется достаточно интересными функциями, появившимися в новой версии инструмента. Релиз состоялся раньше намеченного срока и часть ранее планируемых функций в него не вошли из-за того, что появились куда более важные нововведения.

    В новой версии присутствует ранее продемонстрированная атака на Active Directory (Ldap Relay), функция Java Injection, эксплоит для уязвимости HeartBleed, Plugin Detector, но заострить внимание я хотел бы на совсем других вещах.

    В Intercepter-NG появился режим сетевого брутфорса паролей для целого ряда протоколов: FTP\IMAP\POP3\SMTP\SMB\SSH\LDAP\HTTP. Причиной создания подобного функционала в очередной раз стало отсутствие современного и функционального брутфорсера под Windows. Из нативных инструментов на ум приходит только Brutus, который не обновлялся уже более десяти лет и не поддерживает, к примеру, SSH. Все cygwin билды THC-Hydra собраны без поддержки SSH, а Ncrack, несмотря на заявленную поддержку SSH, ни в одном тесте так и не заработал. Конечно, при желании можно собрать Hydra самостоятельно, но в любом случае, что Hydra, что Ncrack, в своей основе являются консольными, а GTK версия Hydra опять требует дополнительной сборки. Поэтому создание современного оконного брутфорсера не было лишено смысла.

    Как ни крути, на сегодняшний день THC-Hydra является самым прогрессивным инструментом для сетевого брутфорса с большим количеством поддерживаемых протоколов и способов авторизации. Никаких попыток посоревноваться с лидером изначально не предпринималось, но итоговые результаты получились весьма неожиданными, о них и поговорим…

    Логично, что по завершению работы было любопытно сравнить скорость перебора в Intercepter и Hydra. Сначала планировалось добавить к сравнению и Ncrack, но т.к. в ряде тестов он пропускал валидную авторизацию, не работал с SSH, и в целом, по результатам других тестов был во всем медленней Hydra, было принято решение о его исключении. В сравнительной таблице для каждого протокола указано два значения занятого времени. Первое, более продолжительное значение, получено путем однопоточного перебора. У Hydra понятие «поток» именуется «задачей» (= task). Вторая цифра отображает лучшее полученное время при увеличении потоков до оптимального числа. Слепое увеличение потоков в 2-3-5 раз не дает аналогичного прироста производительности, т.к. каждая конкретная реализация сетевого сервиса имеет свои особенности, тем или иным образом, влияющие на скорость многопоточной работы и пригодности к брутфорсу. Тестирование проводилось на списке паролей из 2000 слов.

    image

    Как видно из таблицы, в случае с LDAP\SMTP\HTTP Intercepter и Hydra при многопоточном брутфорсе имеют одинаковые результаты, а в оставшихся FTP\POP3 Intercepter оказался быстрее. Вывод данного теста не в том, что Intercepter быстрее Hydra, а в том, что он как минимум не медленнее и подходит для решения соответствующих задач.

    В протоколах FTP\IMAP\POP3\SMTP\LDAP поддерживаются стандартные plain-text алгоритмы авторизации. Благодаря тому, что Intercepter является нативным NT приложением, брутфорс SMB осуществляется при помощи системных API функций, без оглядки на различные способы авторизации (NTLMv1,v2, Kerberos). Для SSH реализована поддержка методов password и keyboard interactive, а для HTTP: Basic Auth и HTTP метод POST с указанием шаблона. Шаблон строится аналогичным Hydra способом. В нем необходимо указать имена переменных, передающихся на сервер, а так же ключевое слово, сигнализирующее о том, что авторизация не удалась, например 'Error' или 'Invalid'. В комплекте идет словарь на 10000 слов, а так же присутствует эвристический метод перебора. При его использовании задается ключевое слово, на базе которого генерируется небольшое количество производных вариантов. Во время съемки демонстрационного видео я произвольным образом вбил слово test в эвристический режим и на удивление программа сообщила, что пароль найден. Сначала подумал, что произошла ошибка, но оказалось, что пароль действительно рабочий и принадлежит какому-то тестовому аккаунту форума.

    Другая знаменательная особенность новой версии заключается в том, что оригинальный Intercepter теперь можно запустить под Wine. Основная проблема сделать это раньше была вызвана тем, что Winpcap и Wine вещи несовместимые. Некоторое время назад был обнаружен так называемый wrapper, который транслировал вызовы функций winpcap в юниксовый libpcap. Чтобы все таки запустить Intercepter под линуксом пришлось допилить и сам wrapper и Intercepter, т.к. некоторые функции winpcap отсутствуют в libpcap, а некоторые имеют отличительную специфику под разными платформами.

    image

    К сожалению используемый способ маршрутизации трафика под Windows не дееспособен в линуксе, поэтому сложные MiTM'ы (sslstrip, ssl mitm, smb hijack, ldap relay, http injection) не работают, но работает arp poison, dhcp mitm, wpad mitm, dns over icmp mitm, восстановление данных и новый режим сетевого брутфорса. Даже в таком виде он многократно превосходит консольную unix версию Intercepter'а и будет полезен на security-oriented дистрибутивах линукса.

    Благодаря благополучному запуску под линуксом возникло желание провести еще один тест Intercepter'а в родных для Hydra условиях, в этот раз включив в тест SSH.

    image

    В однопоточных тестах появились небольшие отставания Intercepter'а, но при многопоточности оба инструмента показывают одинаковые результаты. Отдельно рассмотрим тестирование SSH, в котором Hydra оказалась значительно медленнее.

    Первый тест проводился на SSH сервере, который поддерживал метод password, работающий значительно быстрее чем keyboard interactive. Судя по всему, Hydra проигнорировала такой подарок и пыталась подобрать пароль интерактивным методом, который занимает гораздо больше времени, отсюда ориентировочное время — 55 минут, которые я даже не стал выжидать до конца. Многопоточное тестирование заняло заметно меньше времени, но больше чем у Intercepter'а. Второе тестирование проводилось на SSH сервере с отключенным режимом password и здесь оба инструмента выступали в равных условиях. Данный тест еще раз подтвердил высокую эффективность Intercepter'а и близость результатов к такому узко-специализированному инструменту как THC-Hydra.

    Инструкция по запуску Intercepter под wine в ближайшее время появится в блоге. Более подробный changelog на сайте. Ниже демонстрационное видео.

    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 21

      +1
      По поводу брута, используем в ряде аудитов подключаемые скрипты к nmap.
      nmap.org/nsedoc/categories/brute.html

      Интересно сравнить с вашим решением.
        0
        Насколько я понимаю, ncrack как раз и был заброшен после того, как все ринулись писать брут-скрипты для nmap. У меня руки не дошли до тестирования, возможно в другой раз или кто-то еще решит провести сравнение.
          0
          И подскажите, какие протоколы наиболее востребованы в вашей практике?
            0
            Помимо тех, что указаны в статье это брут баз данных (oracle, mysql и др), брут телнета — тк как еще много сетевого старого сетевого оборудования (к сожалению).
            Брут различных http-форм аутентификаций (админки модемов, wifi точек доступа и тд), тут nmap не всегда верно срабатывает.

            А у вас можно добавлять сразу диапазон сетей на проверку?
              +2
              Диапазон сетей добавлять нельзя. Во-первых, это первая версия брутфорсера и представлен только самый необходимый функционал. Во-вторых, Intercepter это все же персональный инструмент, а не масс-крякер. Вполне возможно в следующей версии появится возможность выбрать список целей.

              При бруте телнета nmapом нужно ли задавать шаблон баннера и текста с ошибкой? Как это делается при брутфорсе http форм.
                0
                Нет, есть свои зашитые в скрипт. Т.е хочешь например новый шаблон аутентификации — правь.
                elseif line:find 'username%s*:' or line:find 'login%s*:' then
          +5
          Очень крутая утилита, с очень интересными решениями и ахрененно, на мой взгляд, недооцененная жителями Хабры. Всегда удивляюсь, когда ваши посты (к примеру, последний), оказываются не в топе, в то время, как там красуются откровенные глупости. Оставайтесь с нами, не обращайте внимания.

          P.S. Вам бы ее на кутях переписать, было бы совсем идеально.
            +5
            Спасибо, для меня это тоже является «удивлением», хотя у подобной реакции вполне ясная причина.

            В свете того, что удалось запустить под вайном, идея переписи на Qt тает как мираж, но поживем-увидим.
              +1
              Вы же понимаете, что wine для подобного софта это костыль. Какую деградацию (по тому же бруту) получили через wine, кстати, не меряли?
                0
                Я бы не сказал, что это костыль. Второй тест показывает, что снижение производительности при брутфорсе едва заметно, т.к. результат многопоточной работы равен работе гидры в нативной среде. Переписывание проекта на Qt дало бы небольшой прирост при работе в линуксе в целом, но и аналогичное проседание при работе в windows. Палка о двух концах :)
              –3
              Не особо понятно зачем нужны подобные утилиты под винду вообще, когда всегда можно загрузится в тот же Kali Linux и обрести подобный или даже больший функционал.
                +6
                Вы уж не обобщайте. Не все и не всегда готовы связываться с Kali, чтобы запустить перебор. Зачастую задача еще проще, нужно быстро проверить наличие очевидных и легко подбираемых паролей, затратив на это минут 10. Грузить ради этого линукс не логично, если он вообще оказался под рукой.
                  +1
                  Ну а что Вы будете делать, если в ходе проведения работ Вам никто сетевой шнурок с доступом в локальную сеть не даст и у Вас не будет возможности подключиться со своим ноутбуком. Есть, например, только удаленный доступ по RDP (или какой-то другой remote access протокол) с ограниченной юзерской доменной учеткой в LAN сегмент исследуемой конторы. Организовать впны/туннели возможности тоже нет — входящий/исходящий траффик жестко фильтруется. Вот в таких случаях Intercepter и будет самым простым и подходящим решением.
                  0
                  Всегда удивляюсь, когда ваши посты (к примеру, последний), оказываются не в топе, в то время, как там красуются откровенные глупости.
                  naum, Intercepter, это, по большому счету, в начале лета началось. Все в отпуски поуходили, что ли?
                    +4
                    Судя по статистике просмотров других постов, людей на хабре хватает. Все дело в тематике.
                      0
                      По моему мнению, в начале июня количество технических постов резко уменьшилось.
                  0
                  Android версия цептера умеет при перехвате кук, подставлять их в встроенный браузер, подскажите пожалуйста, я плохо искал, или десктопная версия приложения не обладает таким функционалом?
                • UFO just landed and posted this here

                Only users with full accounts can post comments. Log in, please.