Hackware.ru

Где скачать Intercepter-NG

Официальным сайтом программы Intercepter-NG является sniff.su. Там же её можно скачать. Но некоторые браузеры помечают сайт как содержащий нежелательное ПО. Конечно, это не препятствует посещению сайта, но если вам не хочется нажимать несколько лишних кнопок, то ещё одни официальным сайтом, где можно скачать Intercepter-NG, является зеркало на Гитхабе: https://github.com/intercepter-ng/mirror. Там имеются все версии программы:

  • файл с расширением .apk – это версия для Android (требует root прав)
  • с буквами CE – консольная версия
  • Intercepter-NG.v*.zip – основная версия для Windows

Скаченная программа не нуждается в установке – достаточно распаковать архив.

Intercepter-NG 0.9

Intercepter-NG: многофункциональный снифер паролей и переписки.
В новой версии сильно переработан интерфейс, максимально автоматизирован процесс проведения сетевых атак и внесено множество изменений в код.
Нововведения:
1. NAT интегрирован в Intercepter.
2. Функция ‘Smart Scan’, автоматически определяющая:
a. действующий шлюз в сети
b. Stealth IP для MiTM атак
c. операционную систему найденных хостов (по значению TTL)
После сканирования значения шлюза и stealth ip прописываются в соответствующих полях NAT’а.
3. Raw Mode переделан под стиль Wireshark.
Доступна функция «Follow TCP Stream» для анализа отдельно взятой TCP сессии, кроме этого можно отображать только пакеты с данными, скрывая «служебный» tcp трафик.
При отключении спуфинга, любую атаку можно провести в среде WiFi.
Краткий обзор можно посмотреть здесь

Если вдруг что-то не работает, есть мини FAQ на сайте, а так же README в архиве с программой, с описанием функций и возможных проблем. Если решение не найдено, пишем на intercepter.mail@gmail.com или на форум.http://sniff.su

PCAP Over IP

You dont need rpcapd any more to capture traffic from remote pc. Almost all of unix OSes
has tcpdump and netcat. The idea of this method is to launch capturing process on the host and
redirect the stream to remote host via netcat. So Intercepter is going to be a port listener taking incoming connection.
Few examples of how you can perform transfer of packets via tcp channel.
#cat log.cap | nc IP PORT
#tcpdump -i face -w — not port PORT| nc IP PORT
#dumpcap -i face -P -w — | nc IP PORT
IP and PORT are the values where Intercepter runned.
-P option of dumpcap is to send packets in original libpcap format, not pcapng.

Определение присутствия сниффера

Пока оставим в стороне такое понятие, как «сниффер». Что это такое, уже немного понятно, теперь посмотрим, по каким признакам можно определить «прослушку» сниффером самостоятельно.

Если с компьютерной системой все в порядке и сетевое или интернет-подключение работает без сбоев, первым признаком вмешательства извне является снижение скорости передачи пакетов, по сравнению с той, что заявлена провайдером. В Windows-системах стандартными средствами определить скорость рядовой пользователь вряд ли сможет даже при вызове меню состояния сети кликом на значке подключения. Здесь указывается только количество отправленных и принятых пакетов.

Точно так же быстродействия в «Диспетчере задач» отображают нужную информацию в полной мере, к тому же снижение скорости может быть связано и с ограничениями самого ресурса, на который осуществляется доступ. Лучше всего использовать специальные утилиты-анализаторы, которые, кстати сказать, и работают по принципу сниффера

Единственное, на что нужно обратить внимание, это только на то, что программы этого типа после установки могут вызывать ошибки, появляющиеся вследствие конфликтов с файрволлами (встроенным брэндмауэром Windows или сторонними программами и оборудованием «железного» типа). Поэтому на момент проведения анализа защитные экраны желательно полностью отключить

Remote Traffic Capturing

Libpcap gives you an ability to transfer network data from one host to another through it’s own protocol
named RPCAP. I.e. you can set up rpcap daemon on your gateway and see all traffic that goes through it.

Installing rpcapd on Windows:

Download WinPcap package and install it.
(Default path to rpcapd is C:\Program Files\Winpcap\rpcapd.exe)
Then execute “rpcapd.exe -n” from command line.

-n key allows anonymous access to daemon, withouth password

Installing rpcapd on Unix:
Download developer’s pack of winpcap from www.winpcap.org
and unzip it. Change current directory to libpcap and perfom the following commands

$autoconf
$./configure
$make
$cd rpcapd
$make

To start daemon run ./rpcapd -n
This should work on Linux and Freebsd as well.

When daemon is running you can start remote capturing from 0x4553-Intercepter.
Enter hostname or IP address of daemon in the special field and then choose adapter from the list.
Then you should set “not host IP” filter, change IP to IP address assigned to your ethernet card (we need this
to ignore rpcap traffic between you and daemon).

Everything is ready and now you can click the Start button.

PS: In FreeBSD 6.x (and maybe 5 or 7) you may face some problems while compiling rpcapd from sources.
You should make changes in some files and rename ‘string.h’ to ‘strings.h’.

pcap-new.c
pcap-remote.c
sock-utils.c
pcap-pf.c
daemon.c
rpcapd.c

I noticed that building rpcapd from sources doesnt work good in Linux. A better way is to use precompiled
static binary that works well. You can get it here http://sniff.su/rpcapd.gz

Known issues:
rpcapd might crash if something like the following is present on the system

#ifconfig

‘lo Link encap:Local Loopback’

do #ifconfig lo down
and try again, this might help.

Почему возможна атака ARP-spoofing

Каждое устройство, подключённое к сети, имеет MAC-адрес. Этот адрес присвоен любому сетевому оборудованию (сетевые карты, Wi-Fi адаптеры). Роутеры, телефоны и любые другие устройства, подключающиеся к сети, также имеют MAC-адрес, поскольку имеют встроенные сетевые карты. MAC-адрес состоит из шести пар символов, разделённых двоеточием или тире. В используемых символах присутствуют все цифры и латинские буквы от a до f. Пример MAC-адреса: 52:54:00:a6:db:99. Для подключения двух устройств, например, вашего компьютера к шлюзу, нужно знать не только IP адрес, но и MAC-адрес. Для определения MAC-адреса шлюза используется ARP (англ. Address Resolution Protocol – протокол определения адреса) – протокол в компьютерных сетях, предназначенный для определения MAC-адреса по известному IP-адресу. IP-адрес роутера (шлюз по умолчанию), известен или получается по DHCP.

Рассмотрим суть функционирования ARP на простом примере. Компьютер А (IP-адрес 10.0.0.1) и компьютер Б (IP-адрес 10.22.22.2) соединены сетью Ethernet. Компьютер А желает переслать пакет данных на компьютер Б, IP-адрес компьютера Б ему известен. Однако сеть Ethernet, которой они соединены, не работает с IP-адресами. Поэтому компьютеру А для осуществления передачи через Ethernet требуется узнать адрес компьютера Б в сети Ethernet (MAC-адрес в терминах Ethernet). Для этой задачи и используется протокол ARP. По этому протоколу компьютер А отправляет широковещательный запрос, адресованный всем компьютерам в одном с ним широковещательном домене. Суть запроса: «компьютер с IP-адресом 10.22.22.2, сообщите свой MAC-адрес компьютеру с МАС-адресом (напр. a0:ea:d1:11:f1:01)». Сеть Ethernet доставляет этот запрос всем устройствам в том же сегменте Ethernet, в том числе и компьютеру Б. Компьютер Б отвечает компьютеру А на запрос и сообщает свой MAC-адрес (напр. 00:ea:d1:11:f1:11) Теперь, получив MAC-адрес компьютера Б, компьютер А может передавать ему любые данные через сеть Ethernet.

Чтобы не было необходимости перед каждой отправкой данных задействовать протокол ARP, полученные MAC-адреса и соответствующие им IP адреса записываются в таблице на некоторое время. Если нужно отправить данные на тот же IP, то нет необходимости каждый раз опрашивать устройства в поисках нужного MAC.

Как мы только что увидели, ARP включает в себя запрос и ответ. MAC-адрес из ответа записывается в таблицу MAC/IP. При получении ответа он никак не проверяется на подлинность. Более того, даже не проверяется, был ли сделан запрос. Т.е. на целевые устройства можно прислать сразу ARP-ответ (даже без запроса), с подменёнными данными, и эти данные попадут в таблицу MAC/IP и они будут использоваться для передачи данных. Это и есть суть атаки ARP-spoofing, которую иногда называют ARP травлением, травлением ARP кэша.

Что может Intercepter-NG

Главная задача Intercepter-NG – выполнение атаки человек-посередине. В практическом смысле, атака человек-посередине (её ещё называют атакой посредника) заключается в возможности просматривать передаваемые другими пользователями данные в локальной сети. Среди этих данных могут быть логины и пароли от сайтов. Также передаваемые данные можно не только анализировать и сохранять, но и изменять.

Чтобы описать техническую суть этой атаки, представьте себе локальную сеть. Такой локальной сетью могут быть несколько компьютеров в вашей квартире, которые подключены к роутеру

При этом неважно, подключены они по проводу или по Wi-Fi. Роутер получает запросы от компьютеров, перенаправляет их, например, в Интернет, а полученные ответы возвращает обратно компьютерам, отправившим запросы

В данной ситуации роутер является шлюзом.

Благодаря атаке, называемой ARP спуфингом, компьютер начинает считать шлюзом не роутер, а компьютер атакующего. Атакующий получает запросы от «жертвы» и передаёт их в пункт назначения (например, запрашивает содержимое веб-сайта в Интернете), получив ответ от пункта назначения, он направляет его «жертве». В этой ситуации атакующий становится посредником – отсюда другое название атаки человек-посередине – «атака посредника». Для реализации атаки ARP спуфинг необязательно понимать её детали. Но если вам интересно, почему это происходит, то в вы найдёте подробное описание этого процесса.

Атакующий получает доступ к передаваемым данным и может, например, извлекать из этих данных пароли и сообщения. Процесс анализа передаваемых данных называется сниффингом. В процессе сниффинга Intercepter-NG умеет:

  • Перехватывать логины и пароли для входа на веб-сайты
  • Восстанавливать переданные данные (файлы)
  • Перехватывать сообщения некоторых мессенджеров
  • Показывать посещённые пользователем адреса

Кроме передачи данных, возможно их изменение, внедрение в код открываемых страниц JavaScript и принудительная загрузка пользователю файла.

Всё это прекрасно работает только для незашифрованных данных. Если данные зашифрованы (HTTPS), то их невозможно проанализировать без дополнительных действий.

Прежде чем подключиться к веб-сайту, компьютер обращается к DNS (серверу имён), чтобы узнать его IP адрес. Intercepter-NG умеет подменять ответы DNS (делать DNS спуфинг), что позволяет перенаправлять «жертву» на фальшивые копии сайтов для последующих атак.

Это далеко не все возможности программы. С другими возможностями мы познакомимся далее в этой инструкции.

Что такое Intercepter-NG

Intercepter-NG – это программа для выполнения атак человек-посередине. Имеется большое количество программ для таких атак, главной особенностью, выделяющей Intercepter-NG среди остальных, является то, что программа изначально была написана для Windows и прекрасно работает именно в этой операционной системе. Также к особенностям программы можно отнести графический интерфейс, в котором собраны многочисленные функции и опции, связанные с атакой человек-посередине, а также с некоторыми другими задачами пентестинга.

Благодаря графическому интерфейсу, использовать Intercepter-NG легко. Но большое количество опций и фрагментированная документация могут запутать начинающего пользователя. Надеюсь, что эта инструкция заполнит пробел. Это руководство написано для самых начинающих пользователей, возможно, даже не имеющих опыта работы с аналогичными утилитами в Linux.

Установка Intercepter-NG в BlackArch и Arch Linux

Нужно начать с установки Wine. Подробности вы можете найти в статье «Как установить Wine в Arch Linux/BlackArch. Что такое и как подключить репозиторий Multilib». Здесь краткая инструкция, что нужно сделать для установки Wine в BlackArch и другие производные Arch Linux.

Чтобы включить multilib, откройте текстовый файл /etc/pacman.conf:

sudo gedit /etc/pacman.conf

В нём найдите и раскомментируйте строки (убедитесь, что раскомментировали обе строки, иначе изменения не вступят в силу):

 
Include = /etc/pacman.d/mirrorlist

Обновите информацию о пакетах:

sudo pacman -Sy

Установите Wine:

sudo pacman -S wine wine_gecko wine-mono lib32-mpg123 lib32-gnutls

Теперь, когда у вас уже установлен Wine, выполняем следующие действия. 

Создадим каталог, куда мы будем устанавливать Intercepter-NG, перейдём в эту директорию:

mkdir Intercepter-NG
cd Intercepter-NG/

Далее:

wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz
sudo pacman -S lib32-libpcap tcpdump winetricks
tar xvzf wine_pcap_dlls.tar.gz
sudo cp wpcap/wpcap.dll.so /usr/lib32/wine/
sudo cp packet/packet.dll.so /usr/lib32/wine/
rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/
sudo winetricks cc580
sudo ethtool --offload enp0s3 rx off tx off

Загружаем Intercepter-NG v1.0 и удаляем dll файлы wpcap.dll и Packet.dll:

wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip
unzip Intercepter-NG.zip
rm wpcap.dll
rm Packet.dll

Фикс для Arch Linux (BlackArch):

sudo ln -s /usr/lib32/libpcap.so /usr/lib32/libpcap.so.0.8

Запуск Intercepter-NG в Arch Linux (BlackArch):

sudo wine Intercepter-NG.exe

Почему возможна атака ARP-spoofing

Каждое устройство, подключённое к сети, имеет MAC-адрес. Этот адрес присвоен любому сетевому оборудованию (сетевые карты, Wi-Fi адаптеры). Роутеры, телефоны и любые другие устройства, подключающиеся к сети, также имеют MAC-адрес, поскольку имеют встроенные сетевые карты. MAC-адрес состоит из шести пар символов, разделённых двоеточием или тире. В используемых символах присутствуют все цифры и латинские буквы от a до f. Пример MAC-адреса: 52:54:00:a6:db:99. Для подключения двух устройств, например, вашего компьютера к шлюзу, нужно знать не только IP адрес, но и MAC-адрес. Для определения MAC-адреса шлюза используется ARP (англ. Address Resolution Protocol – протокол определения адреса) – протокол в компьютерных сетях, предназначенный для определения MAC-адреса по известному IP-адресу.  IP-адрес роутера (шлюз по умолчанию), известен или получается по DHCP.

Рассмотрим суть функционирования ARP на простом примере. Компьютер А (IP-адрес 10.0.0.1) и компьютер Б (IP-адрес 10.22.22.2) соединены сетью Ethernet. Компьютер А желает переслать пакет данных на компьютер Б, IP-адрес компьютера Б ему известен. Однако сеть Ethernet, которой они соединены, не работает с IP-адресами. Поэтому компьютеру А для осуществления передачи через Ethernet требуется узнать адрес компьютера Б в сети Ethernet (MAC-адрес в терминах Ethernet). Для этой задачи и используется протокол ARP. По этому протоколу компьютер А отправляет широковещательный запрос, адресованный всем компьютерам в одном с ним широковещательном домене. Суть запроса: «компьютер с IP-адресом 10.22.22.2, сообщите свой MAC-адрес компьютеру с МАС-адресом (напр. a0:ea:d1:11:f1:01)». Сеть Ethernet доставляет этот запрос всем устройствам в том же сегменте Ethernet, в том числе и компьютеру Б. Компьютер Б отвечает компьютеру А на запрос и сообщает свой MAC-адрес (напр. 00:ea:d1:11:f1:11) Теперь, получив MAC-адрес компьютера Б, компьютер А может передавать ему любые данные через сеть Ethernet.

Чтобы не было необходимости перед каждой отправкой данных задействовать протокол ARP, полученные MAC-адреса и соответствующие им IP адреса записываются в таблице на некоторое время. Если нужно отправить данные на тот же IP, то нет необходимости каждый раз опрашивать устройства в поисках нужного MAC.

Как мы только что увидели, ARP включает в себя запрос и ответ. MAC-адрес из ответа записывается в таблицу MAC/IP. При получении ответа он никак не проверяется на подлинность. Более того, даже не проверяется, был ли сделан запрос. Т.е. на целевые устройства можно прислать сразу ARP-ответ (даже без запроса), с подменёнными данными, и эти данные попадут в таблицу MAC/IP и они будут использоваться для передачи данных. Это и есть суть атаки ARP-spoofing, которую иногда называют ARP травлением, травлением ARP кэша.

Атака человек-посередине в Intercepter-NG

Начнём с обычной атаки человек-посередине (атака посредника).

Сделаем небольшие настройки. В зависимости от того, подключены вы по Wi-Fi или по Ethernet (проводу), кликая на выделенную иконку перейдите в нужный режим (если соединены по проводу – выберите изображение сетевой карты, если по беспроводной сети, то выберите изображение с уровнем сигнала):

Также откройте выпадающий список сетевых адаптеров (Network Adapter). У меня всё работает, когда я выбираю вариант со своим IP адресом (т.е. ‘Microsoft’ on local host: 192.168.0.244):

Кликните правой кнопкой по пустой таблице и выберите Smart Scan:

Будет отображён список целей:

Добавьте нужные в качестве целей (Add as Target):

Для начала сниффинга нажмите соответствующую иконку:

Перейдите на вкладку MiTM mode (это глобус с патч-кордами) и нажмите иконку ARP Poison (символ радиационной опасности):

Во вкладке Password Mode (символ — связка ключей), будут появляться захваченные учётные данные:

На вкладке Resurrection (кнопка с птицей Феникс) вы можете видеть, какие файлы были переданы:

Была рассмотрена базовая атака, позволяющая:

  • перехватывать логины и пароли;
  • видеть, какие сайты посещает пользователь и какие файлы скачивает.

Базовая атака включает в себя сканирование локальной сети, выбор целей, запуск сниффинга и запуск ARP-травления. С этих действий начинается и ряд других, более сложных атак.

Http inject (подсунуть жертве файл).

Ммм, довольно сладкая опция.

Можно подсунуть жертве чтобы она скачала файл. Нам остаётся надеяться что жертва запустит файл. Для правдоподобности, можно проанализировав какие сайты посещает жертва, подсунуть что то вроде обновления.

К примеру если жертва на VK назовите файл vk.exe . возможно жертва запустит решив что это полезное что.

Приступим.

  • Configure HTTP injection.
  • В первой ячейке что нам необходимо подменить ( предпочтение .js) и во втором поле вылезет javascript.
  • в 3м введите 1
  • Создайте в блокноте файл, назовите его например alert.js (js расширение)  и введите в нём к примеру следующее — alert (‘Download the update %domain%.’) , можно вместо Download the update  ввести что то своё, на что выйдет фантазия.
  • Нажимаете add и открываете сделанный выше скрипт.
  • Ставьте галочку на «Inject forced download» и выбираете файл который хотите подсунуть жертве.
  • Жмете ок, переходите в Nat mode и активируете SSL Strip.
  • Добавьте в жертву в Nat и жмите Starting arp poison.
  • Остается ожидать пока жертва скачает файл.

What can Intercepter-NG

The main task of Intercepter-NG is to perform a man-in-the-middle attack. In a practical sense, the man-in-the-middle attack (it is also called the mediator’s attack) consists in the ability to view the data transmitted by other users on the local network. Among these data can be logins and passwords from web sites. The transmitted data can be analyzed and saved, and also modified on the fly.

To describe the technical essence of this attack, imagine a local network. Such a local network can be several computers in your apartment that are connected to a router. It does not matter whether they are connected by wire or by Wi-Fi. The router receives requests from computers, redirects them, for example, to the Internet, and the received answers are returned back to the computers that sent the requests. In this situation, the router is the gateway.

Due to the attack, called ARP spoofing, the computer starts to consider the gateway not the router, but the attacker’s computer. The attacker receives requests from the ‘victim’ and sends them to the destination (for example, requests the contents of the website on the Internet), receiving a response from the destination, he sends it to the ‘victim’. In this situation, the attacker becomes an intermediary. Intercepter-NG implements the ARP attack and performs it automatically.

The attacker gains access to the data being transmitted and can, for example, retrieve passwords and messages from this data. The process of analyzing transmitted data is called sniffing. In the process of sniffing, Intercepter-NG can:

  • Intercept logins and passwords to log on to websites
  • Recover transferred data (files)
  • Intercept messages from some instant messengers
  • See addresses visited by a user

In addition to data transfer, it is possible to change them, insert JavaScript into the code of the opened pages, and force the user to download a file.

All this works fine only for unencrypted data. If the data is encrypted (HTTPS), then they can not be analyzed without additional actions.

Before connecting to the website, computers query a DNS server (name server) to find out an IP address of the requested host. Intercepter-NG is able to change DNS replies (DNS spoofing), which allows you to redirect a ‘victim’ to fake clones of web sites for subsequent attacks.

This is not all the features of the program. We will get acquainted with other possibilities later in this manual.

Установка Intercepter-NG в Ubuntu и Linux Mint

Если у вас ещё не установлен Wine, то установите его:

sudo dpkg --add-architecture i386
sudo apt update
sudo apt install wine32
wine --config

Далее мы устанавливаем дополнительные пакеты и файлы:

wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz
sudo apt install libpcap-dev
sudo apt install tcpdump:i386
tar xvzf wine_pcap_dlls.tar.gz
sudo cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine
sudo cp packet/packet.dll.so /usr/lib/i386-linux-gnu/wine
rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/
sudo apt install winetricks
winetricks cc580

Обратите внимание на имя сетевого интерфейса, здесь это enp0s3, в отличии, например, от Kali Linux, где сетевой интерфейс называется eth0:

sudo ethtool --offload enp0s3 rx off tx off

Теперь нам нужно скачать и запустить Intercepter-NG. Но дело в том, что в Ubuntu и Linux Mint по умолчанию мы работаем под обычным пользователем. А Intercepter-NG требует повышенных привилегий. Но если мы воспользуемся sudo, то уже Wine нам напишет, что папка (префикс) не принадлежит нам, т.е. будет выведено что-то вроде:

wine: /home/mial/.wine is not owned by you

Поэтому нам нужно зайти под суперпользователем. Но в Ubuntu и Linux Mint суперпользователь по умолчанию не имеет пароля, т.е. невозможно выполнить вход под ним. Поэтому мы начинаем с того, что устанавливаем пароль для суперпользователя:

sudo passwd

Вам нужно будет:

  • ввести пароль для текущего пользователя (поскольку мы используем sudo)
  • придумать и ввести пароль для суперпользователя
  • повторите пароль для суперпользователя

Теперь мы входим под суперпользователем:

su -

Создадим каталог, куда мы будем устанавливать Intercepter-NG, перейдём в эту директорию:

mkdir Intercepter-NG
cd Intercepter-NG/

Скачиваем и подготавливаем Intercepter-NG:

wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip
unzip Intercepter-NG.zip
rm wpcap.dll
rm Packet.dll

Запускаем Intercepter-NG:

wine Intercepter-NG.exe

В Linux Mint установка и запуск Intercepter-NG выполняется как и в Ubuntu. Но если при установке Wine, которая выполняется командой:

sudo apt install wine32

Вы получаете ошибку, что пакет wine32 не найден, то вместо этой команды выполните следующую:

sudo apt install wine:i386

Остальной процесс установки проходит без изменений.

Intercepter-NG (ROOT)

tools

Download Intercepter-NG (ROOT) for PC/Laptop/Windows 7,8,10.

We provide Intercepter-NG (ROOT) 1.9 APK file for Android 2.1+ and up.
Intercepter-NG (ROOT) is a free Tools app.
It\’s easy to download and install to your mobile phone. Please be aware that We only share the original and free pure apk installer for Intercepter-NG (ROOT) 1.9 APK without any modifications.

The average rating is 4.11 out of 5 stars on playstore.
If you want to know more about Intercepter-NG (ROOT) then you may visit Intercepter support center for more information

All the apps & games here are for home or personal use only. If any apk download infringes your copyright,
please contact us. Intercepter-NG (ROOT) is the property and trademark from the developer Intercepter.

Intercepter-NG is a multifunctional network toolkit for various types of IT specialists. It has functionality ofseveral famous separate tools and more over offers a good and unique alternative of Wireshark for android.The main features are: * network discovery with OS detection * network traffic analysis * passwords recovery * files recovery

WARNING! You need ROOT access (SUPERSU ONLY) and BUSYBOX to use this application. Please you Google to learn how to get it on your device!Also, if you face any problems reinstall busybox and supersu!

Version: 1.9

File size: 5.04MB

Requires: Android 2.1+

Package Name: su.sniff.cepter

Developer: Intercepter

Updated: November 22, 2015

Price: Free

Rate 4.11 stars – based on 7756 reviews

How to Play Intercepter-NG (ROOT) on PC,Laptop,Windows

1.Download and Install XePlayer Android Emulator.Click «Download XePlayer» to download.

2.Run XePlayer Android Emulator and login Google Play Store.

3.Open Google Play Store and search Intercepter-NG (ROOT) and download,

or import the apk file from your PC Into XePlayer to install it.

4.Install Intercepter-NG (ROOT) for PC.Now you can play Intercepter-NG (ROOT) on PC.Have fun!

DownLoad APK
   
DownLoad XePlayer

Перехват WEB трафика через протокол WPAD при помощи Intercepter-NG

WPAD — WebProxy Auto-Discovery. Протокол автоматического получения настроек прокси в локальной сети, поддерживается практически всеми веб-браузерами и рядом других приложений.
В кратце суть его работы такова: если клиент использует DHCP для получения IP адреса, то и за урлом с настройкой прокси он обращается к своему DHCP серверу. Если DHCP не настроен на выдачу WPAD конфигурации или в сети не используется DHCP как таковой, то клиент пробует разрешить сетевое имя вида wpad.localdomain используя DNS. Если такое имя не найдено, то делается последняя попытка поиска имени ‘WPAD’ через NetBios. Если имя не найдено, клиент пробует соединиться напрямую, но если кто-то в сети сказал что он имеет имя ‘WPAD’, то клиент соединяется по 80 порту на IP ответившего хоста и затем пытается загрузить файл wpad.dat, в котором должны находиться настройки прокси.

Установка Intercepter-NG в Kali Linux

Если у вас ещё не установлен Wine, то установите его:

dpkg --add-architecture i386
apt update
apt install wine32
wine --config

Далее:

wget https://github.com/intercepter-ng/mirror/blob/master/wine_pcap_dlls.tar.gz?raw=true -O wine_pcap_dlls.tar.gz
apt install libpcap-dev
apt install tcpdump:i386
tar xvzf wine_pcap_dlls.tar.gz
cp wpcap/wpcap.dll.so /usr/lib/i386-linux-gnu/wine
cp packet/packet.dll.so /usr/lib/i386-linux-gnu/wine
rm -rf wine_pcap_dlls.tar.gz wpcap/ packet/
apt install winetricks
winetricks cc580
ethtool --offload eth0 rx off tx off

Создадим каталог, куда мы будем устанавливать Intercepter-NG, перейдём в эту директорию:

mkdir Intercepter-NG
cd Intercepter-NG/

Загружаем Intercepter-NG v1.0 и удаляем dll файлы wpcap.dll и Packet.dll:

wget https://github.com/intercepter-ng/mirror/blob/master/Intercepter-NG.v1.0.zip?raw=true -O Intercepter-NG.zip
unzip Intercepter-NG.zip
rm wpcap.dll
rm Packet.dll

Запуск:

wine Intercepter-NG.exe

Описание атаки ARP-spoofing

Два компьютера(узла) M и N в локальной сети Ethernet обмениваются сообщениями. Злоумышленник X, находящийся в этой же сети, хочет перехватывать сообщения между этими узлами. До применения атаки ARP-spoofing на сетевом интерфейсе узла M ARP-таблица содержит IP и MAC адрес узла N. Также на сетевом интерфейсе узла N ARP-таблица содержит IP и MAC узла M.

Во время атаки ARP-spoofing узел X (злоумышленник) отсылает два ARP ответа (без запроса) – узлу M и узлу N. ARP-ответ узлу M содержит IP-адрес N и MAC-адрес X. ARP-ответ узлу N содержит IP адрес M и MAC-адрес X.

Так как компьютеры M и N поддерживают самопроизвольный ARP, то, после получения ARP-ответа, они изменяют свои ARP таблицы, и теперь ARP-таблица M содержит MAC адрес X, привязанный к IP-адресу N, а ARP-таблица N содержит MAC адрес X, привязанный к IP-адресу M.

Тем самым атака ARP-spoofing выполнена, и теперь все пакеты(кадры) между M и N проходят через X. К примеру, если M хочет передать пакет компьютеру N, то M смотрит в свою ARP-таблицу, находит запись с IP-адресом узла N, выбирает оттуда MAC-адрес (а там уже MAC-адрес узла X) и передает пакет. Пакет поступает на интерфейс X, анализируется им, после чего перенаправляется узлу N.

NAT

Translates ICMP\UDP\TCP packets from Ethernet to Ethernet areas.
Long outgoing packets (up to MTU size) are fragmented and MSS tracking is performed.FTP
Active mode is also available.

Etnernet <> Ethernet
In the ‘External interface’ choose network card that is connected to the external network.
In the ‘Internal’ choose the device connected to the local area you are going to translate.
Enter IP address of the default gateway from your external interface into the ‘Router’s IP’ field.
Enter IP addresses of the local area’s clients into the ‘Client’s IP’ field.

Each 3 minutes ‘old’ entries are removed.
‘Promisc’ flag controls the mode of opening ethernet interfaces.
In case of Wi-Fi cards you may unmark the flag if promiscuous mode is not supported by the card.
FTP‘ flag controls translation of
FTP
Active mode.

There is an option to enable pure IP Forward mode. No MiTMs available in this mode, but it allows to
start arp poisoning in situation when you can not use Stealth IP.
It is usually necessary when the gateway have a white list of legit computers in the network
so NAT can not work correctly.

Актуальность атаки SMBRelay в современных Windows сетях

Впервые с smbrelay я столкнулся в середине 2000х годов и знакомство оказалось неудачным. На тот момент существовало всего несколько эксплоитов, которые даже в то время работали абы как. И это не смотря на то, что сама уязвимость протокола выявлена еще в конце 90х годов. Не получив нужного результата весь интерес совершенно пропал.
Но вот буквально пару недель назад появилось желание исследовать вопрос еще раз. Оказалось, что по большому счету ситуация не изменилась, но появились новые эксплоиты, работоспособность которых и захотелось проверить.
Для тех кто слабо знаком с уязвимостью SMB напомним ее суть. Заставив жертву зайти на smb ресурс злоумышленника, атакующий может совершить перенаправление аутентификационных данных на саму же жертву, тем самым получив доступ к диску и через службу межпроцессного взаимодействия выполнить любой код.
Стоит отметить, что столь серьезная уязвимость в первозданном виде просуществовала до конца 2008 года, ровно до тех пор, пока не появился вменяемо работающий эксплоит.

The man-in-the-middle attack with Intercepter-NG

Let us start with a normal man-in-the-middle attack.

Let us make small adjustments. Depending on whether you are connected via Wi-Fi or Ethernet (wire), set the desired mode by clicking on the highlighted icon (if connected by wire — select the network card image, if over the wireless network, then select the image with the signal level):

Also open the drop-down list of network adapters (Network Adapter). It works for me when I choose the option with my IP address (i.e. ‘Microsoft’ on local host: 192.168.0.244):

Right-click on the empty table and select Smart Scan:

A list of targets will be displayed:

Add what you want to attack (Add as Target):

To start sniffing, click the corresponding icon:

Click the MiTM mode tab (this is a globe with patch cords) and click the ARP Poison icon (the symbol of radiation hazard):

In the Password Mode tab (a symbol is a bunch of keys), captured credentials will appear:

On the Resurrection tab (the button with the Phoenix bird) you can see which files were transferred:

We considered a basic attack, which allows to:

  • intercept logins and passwords;
  • see which sites the user visits and what files they download.

A basic attack involves scanning the local network, selecting targets, launching sniffing, and starting ARP spoofing. With these actions, a number of other, more complex attacks begin.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий