Обновление 0x4553-Intercepter

    0x4553-Intercepter 0.8.1


    Несколько приятных обновлений:
    • 1. Анализ pcap дампов из консоли, ./intercepter -t dump.cap
      на выходе будет dump.cap.txt со всей сграбленой информацией.
    • Автостарт снифинга при запуске приложения. В конфигурационном файле
      необходимо указать порядковый номер интерфейса в графе autorun.
    • MiTM через ICMP редирект. Не очень распространенная техника, особенно под Windows.
      Позволяет проводить точечные атаки на целевые адреса. Возможно на ее базе будет создан
      более универсальный метод позволяющий перехватывать почти весь трафик.


    Видео MiTM:



    0x4553-Intercepter 0.8.2



    Не прошло и недели как «более универсальный метод» был реализован.
    Суть его в следующем. Через ICMP редирект мы перенаправляем DNS сервер жертвы
    на себя. Таким образом все запросы\ответы у нас как на ладони.
    Допустим жертва хочет посетить rambler.ru, реквест при помощи 0x4553-NAT перенаправляется
    к DNS серверу. Далее мы получаем ответ, в котором содержится один или несколько разрешенных
    IP адресов. Вся соль в том, что перед перенаправлением ответа обратно к жертве, мы засылаем
    серию новых ICMP редирект сообщений, перенаправляя все отрезольвенные адреса на себя.
    Вот и все.

    Для тех кто не знаком с техникой ICMP Redirect внесу ясность. Поснифать все что движется не получится,
    есть одно важное ограничение — можно редиректить хосты только из других подсетей.
    Пример:
    192.168.1.1   — GW
    192.168.1.10  - жертва
    192.168.1.100 — DNS
    при таком раскладе данная атака не сработает.

    DNS должен быть или 192.168.2.x или из любой другой подсети.

    Демонстрационное видео:



    Официальный сайт — sniff.su

    Вопросы можно задать на форуме: intercepter.maxforum.org
    или по почте: intercepter.mail@gmail.com
    Поделиться публикацией

    Похожие публикации

    Комментарии 22
      0
      а есть ли принципиальное отличие вашего проекта от cain&abel?
      Или это просто тулза под себя?
        –3
        автор сниффера — ares, адресуйте вопросы ему intercepter.mail@gmail.com
          +1
          у каина нет: перехват месенджеров, raw mode, extreme mode, remote capturing, NAT, DHCP\ICMP MiTM, список протоколов несколько скромнее.
          0
          А раскажите подробнее о политике Windows по отношению к ICMP Redirect? Определятся ли, и как, что он доверенный. Или все, что у нас есть это ключ EnableICMPRedirects?
            –3
            автор сниффера — ares, адресуйте вопросы ему intercepter.mail@gmail.com
              0
              Никаких проверок нет, все регулируется ключом в реестре.
                –1
                даже не проверяется пришел ли пакет от дефолт гейта?
                понятно, что это заспуфить можно, но уж хоть приличия ради проверили
                  0
                  это базовое условие для ICMP Redirect. src ip должен быть именно от него.
              +9
              Вот и поговорили…
                0
                Разве современные ОС как-то вообще реагируют на ICMP redirect сообщения? Это же такая дыра получается.
                  0
                  Вроде как везде по умолчанию включено, возможно за редкими исключениями.
                    0
                    А дефолтные настройки файрвола входящие редиректы разве не блокируют?
                      0
                      по крайней мере XP SP3 не блокирует.
                  +1
                  Для тех кто не знаком с техникой ICMP Redirect внесу ясность. Поснифать все что движется не получится,
                  есть одно важное ограничение — можно редиректить хосты только из других подсетей.
                  Пример:
                  192.168.1.1 — GW
                  192.168.1.10 - жертва
                  192.168.1.100 — DNS
                  при таком раскладе данная атака не сработает.

                  DNS должен быть или 192.168.2.x или из любой другой подсети.

                  Пардоньте!
                  Если все эти хосты будут иметь маску /23 и «больше» (т.е. /22 /21 и т.д.), то они будут в одной подсети. Как можно писать об атаках на сеть без каких либо базовых знаний ip-протокола?
                    +3
                    Мне не интересны различного рода словесные баталии. Я пишу кратко и содержательно, порой объясняя на пальцах.
                    Если бы да кабы… оставьте при себе, вместе с базовыми знаниями.
                      +1
                      Вы считаете что открыли что-то архиважное?
                      В данном случае единственная ценная информация это то, что win по умолчанию реагирует на icmp redirect. Можно было обойтись парой строчек, чтобы сообщить об этом.
                        0
                        Механизм ICMP Redirect позволяет перенаправлять запросы не только на хосты, но и на целые сети. Причем нет ограничения на их размер, в теории можно указать хоть 0.0.0.0/0, но тогда он будет пересекаться с дефолтным маршрутом и, чтобы уж наверняка(для предотвращения коллизий в таблице маршрутизации), то лучше указать в исходных дейтаграммах две сети с меньшей маской, но которые будут покрывать все интернеты.
                        Если бы вы больше времени уделяли «базовым» знаниям, то не тратили время на программы, ориентированные на школоту, которой надо почитать переписку Лены из 9Б. Все эти утилиты с б0льшим функционалом написаны давным давно и доступны всем желающим.
                          0
                          Вы очередной теоретик, оторванный от реальности. К вашему сведению сообщения с кодом 0 и 2
                          игнорируются операционками, поэтому никакие сети никуда перенаправить нельзя, кроме как в теории. Остается код 1 с редиректом для хостов.
                            0
                            на код 0 и 2 тоже не все современные операционки реагируют «по умолчанию», далеко не все.
                      0
                      публика ожидает появления libintercepter и intercepter-cli :)
                        0
                        Сколько помню, адрес сайта программы всегда был intercepter.nerf.ru. С чего вдруг так облагородились?
                        Да и новый домен намекает, что на нём должен быть ресурс про множество разных снифферов…
                          0
                          Да и касперский говорит что в приложении backdoor…
                          Как бы это откомментировал автор топика…

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое