Как стать автором
Обновить

Intercepter-NG на Youtube

Информационная безопасность *
Реанимировал ютуб канал, долой безмолвные ролики. На канале будут публиковаться как инструкции по Intercepter'у, так и различные тематические материалы.

image
Всего голосов 22: ↑18 и ↓4 +14
Просмотры 4.4K
Комментарии 3

Вышла новая сборка бесплатного сниффера 0x4553-Intercepter

Информационная безопасность *
Список изменений можно посмотреть на официальном сайте — intercepter.nerf.ru

[0x4553-Intercepter] позволяет:

# Перехватывать пароли следующих типов: ICQ\IRC\AIM\ftp\IMAP\POP3\SMTP\LDAP\BNC\SOCKS\HTTP\WWW\NNTP\CVS\TELNET\MRA\DC++\VNC\MySql\Oracle
# Перехватывать сообщения таких IM систем как: ICQ\AIM\JABBER\YAHOO\MSN\GADU-GADU\IRC\MRA
# Менять MAC адреса сетевых карт.
# Просматривать трафик в сыром виде, с возможностью фильтрации.
# Специальный eXtreme режим для перехвата данных на не определенных портах.
# Сохранять пакеты в файл pcap формата и проводить оффлайн анализ дампов.
# Удаленный анализ трафика через RPCAP демона.
# Встроенный ARP poison.
# Перехват и сохранение в eml формате POP3SMTP сообщений.

Работает на Windows 9xNT(2KXP2k3Vista).

Детали работы программы описаны в файле-помощи внутри архива программы. Демонстрация основных функций представлена в двух видео-туториалах:

intercepter.nerf.ru/intercepter_tutor1.zip
1. ARP Poison
2. Remote Capture
3. ARP Defender

intercepter.nerf.ru/intercepter_tutor2.zip
1. eXtreme mode
2. MAC Changing
3. PCAP Offline Analyzing

Скачать 0x4553-Intercepter — intercepter.nerf.ru/0x4553-Intercepter.v076.zip

UPD: Технические вопросы и баг-репорты просьба задавать на форуме программы intercepter.mybb3.org
или по почте intercepter.mail@gmail.com
Всего голосов 98: ↑75 и ↓23 +52
Просмотры 18K
Комментарии 54

Новая версия сниффера 0x4553-Intercepter 0.8 + 0x4553-NAT

Чулан
Долгожданное обновление сниффера Intercepter'а, помимо мелких исправлений был включен режим DHCP сервера.

Он имеет минимально необходимый функционал и выдает компьютерам в сети указанные настройки, быстрее чем это делает существующий DHCP сервер. Если вдруг легитимный сервер успеет выдать настройки раньше, то Intercepter
отошлет специальный ответ клиенту, после чего клиент возобновит процедуру запроса настроек.

Основным назначением данного режима является скрытая выдача ложной конфигурации сети для перехвата трафика.



Скрытность заключается в использовании несуществующих MAC и IP адреса, а так же в выдаче несуществующего шлюза, который в свою очередь будет роутить пакеты, что позволит перехватывать и обрабатывать данные.
Читать дальше →
Всего голосов 26: ↑19 и ↓7 +12
Просмотры 987
Комментарии 2

Обновление 0x4553-Intercepter

Информационная безопасность *

0x4553-Intercepter 0.8.1


Несколько приятных обновлений:
  • 1. Анализ pcap дампов из консоли, ./intercepter -t dump.cap
    на выходе будет dump.cap.txt со всей сграбленой информацией.
  • Автостарт снифинга при запуске приложения. В конфигурационном файле
    необходимо указать порядковый номер интерфейса в графе autorun.
  • MiTM через ICMP редирект. Не очень распространенная техника, особенно под Windows.
    Позволяет проводить точечные атаки на целевые адреса. Возможно на ее базе будет создан
    более универсальный метод позволяющий перехватывать почти весь трафик.


Видео MiTM:


Читать дальше →
Всего голосов 46: ↑34 и ↓12 +22
Просмотры 2.8K
Комментарии 22

Обновление 0x4553-Intercepter

Информационная безопасность *
К функционалу программы добавлены 2 техники: SSL MiTM и SSL Strip.

Первая является старой классической техникой подмены сертификатов.
Позволяет перехватывать данные любого протокола, защищенного при помощи SSL.
Стандартно поддерживаются: HTTPS\POP3S\SMTPS\IMAPS.
Опционально можно указать любой дополнительный порт.

При перехвате HTTPS, сертификаты генерируются «на лету», копируя оригинальную информацию
с запрашиваемого ресурса. Для всех других случаев используется статичный сертификат.

Естественно, при использовании данного функционала неизбежны предупреждения браузера и другого
клиентского ПО.



SSL Strip — «тихая» техника для перехвата HTTPS соединений. Долгое время рабочая версия
существовала только под unix, теперь подобные действия можно проводить и в среде NT.

Суть в следующем: атакующий находится «посередине», анализируется HTTP трафик, выявляются все https:// ссылки и производится их замена на http://

Таким образом клиент продолжает общаться с сервером в незащищенном режиме. Все запросы на замененные ссылки контролируются и в ответ доставляются данные с оригинальных https источников.

Т.к. никаких сертификатов не подменяется, то и предупреждений нет.
Для имитации безопасного соединения производится замена иконки favicon.

Одно закономерное условие успешного перехвата — URL должен быть введен без указания префикса https.



Официальный сайт — sniff.su
Всего голосов 85: ↑67 и ↓18 +49
Просмотры 9.6K
Комментарии 16

Intercepter-NG 0.9

Я пиарюсь
Intercepter-NG: многофункциональный снифер паролей и переписки.

В новой версии сильно переработан интерфейс, максимально автоматизирован процесс проведения сетевых атак и внесено множество изменений в код.

Нововведения:
1. NAT интегрирован в Intercepter.

2. Функция 'Smart Scan', автоматически определяющая:
a. действующий шлюз в сети
b. Stealth IP для MiTM атак
c. операционную систему найденных хостов (по значению TTL)
После сканирования значения шлюза и stealth ip прописываются в соответствующих полях NAT'а.

3. Raw Mode переделан под стиль Wireshark.
Доступна функция «Follow TCP Stream» для анализа отдельно взятой TCP сессии, кроме этого можно отображать только пакеты с данными, скрывая «служебный» tcp трафик.

При отключении спуфинга, любую атаку можно провести в среде WiFi.

Краткий обзор можно посмотреть здесь

Если вдруг что-то не работает, есть мини FAQ на сайте, а так же README в архиве с программой, с описанием функций и возможных проблем. Если решение не найдено, пишем на intercepter.mail@gmail.com или на форум.

http://sniff.su
Всего голосов 71: ↑51 и ↓20 +31
Просмотры 4.8K
Комментарии 18

Перехват WEB трафика через протокол WPAD при помощи Intercepter-NG

Информационная безопасность *
WPAD — WebProxy Auto-Discovery. Протокол автоматического получения настроек прокси в локальной сети, поддерживается практически всеми веб-браузерами и рядом других приложений.

В кратце суть его работы такова: если клиент использует DHCP для получения IP адреса, то и за урлом с настройкой прокси он обращается к своему DHCP серверу. Если DHCP не настроен на выдачу WPAD конфигурации или в сети не используется DHCP как таковой, то клиент пробует разрешить сетевое имя вида wpad.localdomain используя DNS. Если такое имя не найдено, то делается последняя попытка поиска имени 'WPAD' через NetBios. Если имя не найдено, клиент пробует соединиться напрямую, но если кто-то в сети сказал что он имеет имя 'WPAD', то клиент соединяется по 80 порту на IP ответившего хоста и затем пытается загрузить файл wpad.dat, в котором должны находиться настройки прокси.
Читать дальше →
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 28K
Комментарии 2

Актуальность атаки SMBRelay в современных Windows сетях

Информационная безопасность *
Впервые с smbrelay я столкнулся в середине 2000х годов и знакомство оказалось неудачным. На тот момент существовало всего несколько эксплоитов, которые даже в то время работали абы как. И это не смотря на то, что сама уязвимость протокола выявлена еще в конце 90х годов. Не получив нужного результата весь интерес совершенно пропал.

Но вот буквально пару недель назад появилось желание исследовать вопрос еще раз. Оказалось, что по большому счету ситуация не изменилась, но появились новые эксплоиты, работоспособность которых и захотелось проверить.

Для тех кто слабо знаком с уязвимостью SMB напомним ее суть. Заставив жертву зайти на smb ресурс злоумышленника, атакующий может совершить перенаправление аутентификационных данных на саму же жертву, тем самым получив доступ к диску и через службу межпроцессного взаимодействия выполнить любой код.

Стоит отметить, что столь серьезная уязвимость в первозданном виде просуществовала до конца 2008 года, ровно до тех пор, пока не появился вменяемо работающий эксплоит.
Читать дальше →
Всего голосов 42: ↑40 и ↓2 +38
Просмотры 10K
Комментарии 8

Карманный перехват и восстановление файлов из трафика

Информационная безопасность *
Про MiTM на айфонах и андроидах уже были соответствующие посты.
К упомянутым инструментам добавился еще один, так сказать специализированный.

Была создана консольная версия снифера Intercepter-NG и она же портирована под unix-like
операционные системы, включая IOS и Android.

image

Читать дальше →
Всего голосов 78: ↑76 и ↓2 +74
Просмотры 25K
Комментарии 36

Насколько хорошо защищены ваши SSH-сессии?

Блог компании Pentestit Информационная безопасность *


Выполнение повседневных задач системного администратора считается безопасным при работе через SSH сессию. В данной статье речь пойдет про современные инструменты для проведения MITM-атак на протокол SSH и как защититься от них.
Читать дальше →
Всего голосов 51: ↑47 и ↓4 +43
Просмотры 23K
Комментарии 34

Новое применение Captive Portal для проведения MiTM атак

Информационная безопасность *

Тема проведения Man in the Middle атаки в контексте Captive Portal стара как мир. Как правило ведется речь о поднятии фейковой беспроводной точки доступа с собственным Captive порталом. Сегодня я покажу совершенно другой вектор атаки, выходящий за грани WiFi и применимый в том числе и в проводных Ethernet сетях.
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 5.3K
Комментарии 6