Конкурс Сниффинг для начинающих [Sniffing for beginners] Обход VLAN

Статья для участия в конкурсе на codeby

[Sniffing. What is it?]
И так, всем привет дорогие друзья! Решил я тоже внести свой вклад в этот конкурс. Так сказать, чтоб не расслаблялись)
Так что же такое сниффинг? Это перехват пакетов передающихся по сети. Сегодня мы уделим все внимание ему. Но перед этим научимся:

  1. Использовать Wireshark.
  2. Собственно анализировать с его помощью пакеты.
  3. Сбор информации о пользователях.
  4. Познакомимся с MITM атакой
  5. Попробуем обойти коммутатор.
Ну что же , приступим))

[1 & 2 - Wireshark и анализ трафика]
Посмотреть вложение 15209
Wireshark - это тулза для анализа трафика компьютерных сетей.

В kali он уже есть по умолчанию. А если вы любитель окон(не дай бог), то держите
Linux:
Код:
sudo atp-get install wireshark

Теперь давайте запустим нашу акулу и попытаемся ее седлать)
В терминале пропишите wireshark. И наблюдаем следующее


Screenshot_from_2018-01-25_20-50-09.png


Видим список инерфейсов с которых мы можем нюхать трафик. Для того чтоб начать перехват, выберем нужный интерфейс и нажмем на Start.

dvs.png


После пред нами предстает такая картина.

Screenshot_from_2018-01-25_20-54-03.png


Панель сверху - предназначена для управления.
Панель посередине - список пакетов, перехваченных нами)
Панель снизу - предназначена для просмотра (исследования) пакетов.


Давайте, пока идет перехват, откроем браузер. Перейдем например на какой-либо сайт с авторизачией. И введем абсолютно рандомный логин и пароль. Далее снова открываем акулу и останавливаем перехват. Кстати мы можем сохранить в файл с расширением .pcap все что мы на нюхали)) Так вот, мы видим целу кучу пакетов

Screenshot_from_2018-01-25_17-24-46.png


Конечно же мы знаем про то что данные передаются по http(s), но на поиски нужных пакетов может уйти уйму времени. Для этого у акулы есть фильтры. Мы можем отфильтровать пакеты. Фильтр находится тут

Screenshot_from_2018-01-25_20-54-03.png


Вот некоторые из фильтров:

Код:
1. ip.proto - протокол
2. ip.src - отправитель
3. ip.dst - получатель
4. ip.addr - любой адрес

Вы можете присваивать, сравнивать и строить целые логические выражения с фильтрами. Некоторые операторы используемые в фильтрах:

Код:
== - присваивание
|| - логическое или
& - логическое и
> - больше
< - меньше

И так я могу использовать например такой фильтр, чтобы получить передаваемые http протоколом данные - http.request.method == "МЕТОД"
Вводим этот фильтр например с использованием метода GET. И посмотрим на результат работы фильтра


Screenshot_from_2018-01-25_17-40-57.png


Жмем правой кнопкой мыши --> Follow --> TCP Stream

Screenshot_from_2018-01-25_17-41-03 (1).png


Если хорошо присмотреться, то данные зашифрованы. А именно в Base64. Ну собсна декодируем)

Screenshot_from_2018-01-25_17-41-59 (1).png


Вот так мы немного разобрались с неким анализом трафика. А давайте теперь Еще не много углубимся в практику с фильтрами. Например возьмем . За одно и убедимся в небезопасности telnet)
Открываем скачанный pcap файл в акуле и видим следующее:


Screenshot_from_2018-01-25_20-54-03.png


Куча пакетов. Давайте попробуем для начала отсортировать telnet'овские пакеты от прочего "хлама".
telnet


Теперь немного пошарим по первым нескольким пакетам. И воуля) Находим все необходимые нам данные

Screenshot_from_2018-01-25_20-55-15.png


В этом вся малая часть анализа трафика)

[3 - Сбор информации о пользователях]
Этот пункт является весьма очень важным. Нам нужно собрать информации о пользователях. А именно распознать активные хосты и определить кто есть кто. Для этого есть 1001 способ, мы же воспользуемся чем по интересней(сложней(нет)).
Для начала определим активные хосты. Для этого воспользуемся утилитой fping. Это практически тотже ping, но чуточку лучше.
Код:
fping -Asg 192.168.1.0/24 -r 3 >> hosts_active.txt
Команда выше отправляет ясное дело пакеты на все возможные(доступные в сегменте) хосты и ждет ответа. Данное действие выполняется 3 раза и записывается в файл.


Screenshot_from_2018-01-26_18-45-49.png


Результат:

Screenshot_from_2018-01-26_18-46-12.png


Также перед проведением сканирования следует обратить внимание на маску вашей сети. Также узнать адрес маршрутизатора, чтобы не перепутать по запарке с остальными хостами.
Теперь выводим содержимое в нужном нам формате
Код:
cat hosts_active.txt | grep alive

Screenshot_from_2018-01-26_18-46-36.png


Далее вы можете просканировать хосты nmap'ом дабы определить кто есть кто. Это был интересный способ, но вместо того чтоб тратить на все это время, существует волшебная утилита
Код:
netdiscover

812Wnk.png



На этом наш мини мини сбор информации закончен.

[4 - Знакомимся с MITM]
mitmblogeng-1.png
Для того чтоб разобраться что же такое MITM(Man In The Middle) атака, давайте представим такую картину. У вас есть друг - болтун. Он часто рассказывает все что бы с ним не произошло своему другому другу. Допустим, вы претворились для своего друга тем, кому он рассказывал о себе все что только можно(просто представьте), а для его друга представьтесь своим другом) и рассказывайте ему то, что узнали от того болтуна. Тем самым, вы как бы встали между ними. А теперь не с людьми, а с устройствами. Компьютер человека точно такой же чертов болтун. Но его друг - это роутер. Вы в этом случае совсем не известный человек(верней ваша машина). Для опять таки компьютера болтуна вы притворяетесь роутером, а для роутера тем болтуном. Таким образом вы встали посередине и через вас проходит информация, которая может оказаться очень важной. В этом суть данной атаки. Вы нухаете проходящий через вас трафик стоя меж 2-х устройств.

А теперь к практике! Для проведения данного рода атаки существует масса различных фреймворков которые значительно все упростят. Но давайте хоть немного поработаем руками. Воспользуемся хотя бы mitmproxy.

Для начала нам следует подрубить IP форвординг и изменить правила iptables:
Код:
1. echo "1" > /proc/sys/net/ipv4/ip_forward #Включаем форвординг пакетов
2. iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8282 #Перенаправляем трафик с 80 порта на 8282
3. iptables -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-port 8282 #Перенаправляем трафик с 443 порта на 8282

Screenshot_from_2018-01-26_18-44-48.png


Перед началом сниффинга обязательно нужно включать форвординг пакетов, чтоб трафик уходил с вашей машины. Иначе соединение будет потеряно.
Теперь давайте притворимся для устройства A устройством B а для B как устройcтво A. Также перед этим запустите акулу))
Теперь пропишем такую команду у себя в терминале
Код:
arpfpoof -i <interface> -t <жертва> <шлюз>

Т.е. если вы хотите встать между роутером и целью, допусти IP цели 192.168.1.3 то команда пудет выглядеть примерно так
Код:
arpspoof -i wlan0 -t 192.168.1.3 192.168.1.1

Screenshot_from_2018-01-26_18-48-19.png


Что же, атака идет полным ходом, акулой вы сниффаете трафик, потом при окончании атаки сможете воспользоватся фильтрами и проанализировать полученный трафик.

[5 - Обход коммутатора]

На самом деле все невероятно просто. Для начала вспомним про то, чем свитч отличен от некоторого другого. А именно, тем , что у него имеется таблица mac адресов. Да у моста тоже она имеется, но коммутаторы интересней) Так вот, он со своей таблицей, как бы защищает сеть(в основном повышает производительность), но для хакера это минус. Чтобы выяснить почему, взглянем на схему ниже.

BLtfOWvSHSI.jpg



VLAN - обеспечивает безопасность передачи пакетов для определенной группы компьютеров в сети. Таким образом пакеты передаются внутри опрелеленной группы(между собой). Для начала такое определение пойдет)

Как вы думаете в каких vlan'ах нарушитель сможет воспроизвести сниффинг?
А правильный ответ и так сам на себя напрашивается. Во всех виланах. Но ведь там коммутатор скажете вы. А я вам отвечу, что злоумышленник может провести атаку по типу mac flooding, переполнив таблице у коммутатора. Так коммутатор станет работать как концентратор, что нам наруку. Надеюсь все читающие знают что же такое коммутатор и концентратор. А если нет, то
бегом читать.
А мы пока займемся превращением свитча в хаб. Все на много проще чем вы думаете. Мы воспользуемся встроенной в kali утилитой - macof. Для этого прописываем
Код:
macof -i eth0
Screenshot_from_2018-01-26_18-50-38.png

Используется интерфейс eth0 по понятным причинам) Далее нам нужно только ждать. Время вашего ожидания зависит от количества максимальных физических адресов которые может хранить коммутатор в своей таблице. После того как у вас все получится можете снова обратить внимание на прошлый пункт. А на этом все)
 
Последнее редактирование:
Отличная статья! подскажи что за клиент для терминала, давно его ищу всё найти не могу.
 
  • Нравится
Реакции: Rollly
тем кто еще ищет эту тему

apt-get install zsh
sh -c "$(curl -fsSL )
usermod -s /usr/bin/zsh имя_юзера
перелогиниться
leafpad ~/.zshrc
и отредактировать строку ZSH_THEME="тут назв темы", для того чтобы поставить тему как у автора: ZSH_THEME="rkj-repos"
Чтобы убрать подсказки просто перезапустите терминал
"
 
Последнее редактирование модератором:
  • Нравится
Реакции: RaF, xss и Vertigo
обидно, что из всей инфы, мембеам интересно как терминал раскрасить.
не тот ныне хакер пошёл, не тот! вместо терминала им гномы с компизами нужны, nmap уже не устраивает, zenmap подавай. kali зараза как то криво на 200 гиговый раздел встаёт... )))) не тот ныне хакер пошёл, не тот....)))))
 
Хотел бы я увидеть, как ты будешь хакать нормально настроеный цисковский коммутатор.
 
не тот ныне хакер пошёл, не тот! вместо терминала им гномы с компизами нужны, nmap уже не устраивает, zenmap подавай. kali зараза как то криво на 200 гиговый раздел встаёт... )))) не тот ныне хакер пошёл, не тот....)))))
и всем подавай красную кнопку "ПОхакать ВСЁ"!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!))))))))))))))))))))

---- Добавлено позже ----

статья отличная немногословно и по существу!!!!!!!
 
Последнее редактирование:
  • Нравится
Реакции: Глюк
Не совсем понял о каких окнах идет речь" А если вы любитель окон(не дай бог)" и как перестать быть их любителем
 
Пробовал wireshark. Почему-то информация о логине и пароле при Https(twiter) не было, а при Http(левый сайтик) получилось
 
Пробовал wireshark. Почему-то информация о логине и пароле при Https(twiter) не было, а при Http(левый сайтик) получилось
действительно, странно )))
Погугли разницу между http и https, сам поймёшь
 
Почему то я не вижу репутацию?! ARP - spoofing тема конечно заезжена до дыр. Ничего нового ты не сказал. Но зато показал молодым как он делается ручками. Полезно вот только жаль не продемонстрировал как получаешь траффик
tcpdump host <ip жертвы> - так увидим входящий и исходящий траффик от этой жертвы.
 
Я так понимаю, что все терминальные команды только для Linux(
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!