• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Решено Сниффинг всё?

T

torquemada163

Приветствую всех участников форума!

Я только недавно начал осваивать пентестинг и проверку уязвимостей. Это я к тому, что не ругайтесь сильно, если будут идиотские высказывания.

Итак, начал я копать в эту сторону и, честно говоря, если рассматривать сниффинг как инструмент именно перехватов паролей, то как-то все грустно получается....
Я админю сетку своей конторы, так что поле для экспериментов есть. Если взять простую реализацию спуффинга:
Код: 
sudo bettercap -I eth0 -X --proxy -T 192.168.3.14-189
то, теоритически, клиентов разворачивает на HTTP-трафик и получите пароли. Но это только теория. Работает это только в одном случае - если клиент вводит адрес в адресной строке браузера руками. Но на практике происходит то, что в нашем мире уже, практически, не осталось людей, которые могут ввести адрес руками :) Все используют или закладки, или поисковую страницу, которая автоматом врубается на новых вкладках браузера. Да еще и до кучи клиенты залогинены и их перекидывает по куки сразу дальше.......
Можно попробовать поступить жестче:
Код: 
sudo bettercap -I eth0 -X --proxy --proxy-https -T 192.168.3.14-189
Но тогда мы получаем жуткие вопли всех браузеров, что их пытаются засунуть в непонятное SSL-соединение, они ему не верят и нафиг туда не хотят. Есть костыль, в виде описанной на сайте bettercap возможности присунуть свой сертификат. Но это уже пошло глобальное читерство - хорошо, что я админ своей сетки, я могу либо через доменные политики, либо руками засунуть клиенту этот сертификат в Винду. Да и то - тому же Firefox его надо прям в браузер засунуть....

Таким образом, для меня назрел вывод, что сниффинг трафика, в контексте умыкнуть логин/пароль, ныне себя исчерпал.
Так ли это? Или, может быть, я, в силу неопытности, банально не понимаю, как этим всем нормально пользоваться?

Подскажите, пожалуйста!
Заранее большое спасибо!
 
Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 351
BIT
0
torquemada163 сказал(а):
Приветствую всех участников форума!

Я только недавно начал осваивать пентестинг и проверку уязвимостей. Это я к тому, что не ругайтесь сильно, если будут идиотские высказывания.

Итак, начал я копать в эту сторону и, честно говоря, если рассматривать сниффинг как инструмент именно перехватов паролей, то как-то все грустно получается....
Я админю сетку своей конторы, так что поле для экспериментов есть. Если взять простую реализацию спуффинга:
Код: 
sudo bettercap -I eth0 -X --proxy -T 192.168.3.14-189
то, теоритически, клиентов разворачивает на HTTP-трафик и получите пароли. Но это только теория. Работает это только в одном случае - если клиент вводит адрес в адресной строке браузера руками. Но на практике происходит то, что в нашем мире уже, практически, не осталось людей, которые могут ввести адрес руками :) Все используют или закладки, или поисковую страницу, которая автоматом врубается на новых вкладках браузера. Да еще и до кучи клиенты залогинены и их перекидывает по куки сразу дальше.......
Можно попробовать поступить жестче:
Код: 
sudo bettercap -I eth0 -X --proxy --proxy-https -T 192.168.3.14-189
Но тогда мы получаем жуткие вопли всех браузеров, что их пытаются засунуть в непонятное SSL-соединение, они ему не верят и нафиг туда не хотят. Есть костыль, в виде описанной на сайте bettercap возможности присунуть свой сертификат. Но это уже пошло глобальное читерство - хорошо, что я админ своей сетки, я могу либо через доменные политики, либо руками засунуть клиенту этот сертификат в Винду. Да и то - тому же Firefox его надо прям в браузер засунуть....

Таким образом, для меня назрел вывод, что сниффинг трафика, в контексте умыкнуть логин/пароль, ныне себя исчерпал.
Так ли это? Или, может быть, я, в силу неопытности, банально не понимаю, как этим всем нормально пользоваться?

Подскажите, пожалуйста!
Заранее большое спасибо!
Нажмите, чтобы раскрыть...
Привет, я тоже в силу проф. деятельности, совсем недавно пробовал подобную реализацию сниффинга, на своей сети. Результаты примерно такие же, было бы интересно узнать мнение экспертов) Может найдутся таковые на форуме.
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Без Соц.Инженерии врят ли получится впарить ssl сертификат жертве. Хотя как вариант собрать бинарник или тот же hta с павершелом который будет выкачивать и устанавливать сертификат прозрачно для жертвы(если речь идет об Windows системах)
Если речь об андроид устройствах то погуглить в сторону установки ssl сертифатов через adb shell и т.д И реализовать атаки которые уже описаны на форуме (stagefright,webview exploit etc...)
Вот один из примеров с использованием interceptor-ng

 
  • Нравится
Реакции: BaJIepraH, kot-gor и Vander
kot-gor

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
Если использовать чистый снифинг,для получения пароля, то сейчас врят ли что получиться,может только на древних сайтах которые работают по http и вводят данные методом POST .Снифинг хорошо использовать можно в связке или для получения предварительной информации каким софтом пользуется жертва, что бы допустим потом налету пропатчить обновление.
 
  • Нравится
Реакции: torquemada163
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
что бы допустим потом налету пропатчить обновление.
Нажмите, чтобы раскрыть...
Если ты про BackDoor Factory то он умеет патчить только при http... Врят ли получится при https-е что то на лету споймать...
 
kot-gor

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
<<-D4rkN0d3_Falc0m->> сказал(а):
Если ты про BackDoor Factory то он умеет патчить только при http... Врят ли получится при https-е что то на лету споймать...
Нажмите, чтобы раскрыть...
Я про BackDoor Factory и аналогичные... согласен, патчит http.Но на первоначальном этапе для сбора информации снифинг полезен.многий софт еще обновляется и по http, да и не только можно обновления рассматривать..жертва допустим может с сети софт выкачивать какой либо, вариантов уйма.
 
  • Нравится
Реакции: <~DarkNode~>
T

torquemada163

Спасибо большое за информацию!
Значит, я был прав по поводу чистого снифинга.

Если вас не затруднит, в этом же разделе форума я выложил сообщение по поводу связки bettercap+setoolkit, прокомментируйте, пожалуйста.
 
kot-gor

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
Снифинг с добавлением своего сертификата, как и днс спуфинг с редиктом на страницу клон, скоро изживут себя...Не возможно будет просматривать данные добавив жертве свой сертификат., вопрос пару лет и он сейчас активно прорабатывается...
 
F

fear

А ssl strip пробовали ? Он подменяет https на http и можно снифать. Кстати, в части тулз он есть встроенный.

Первый пример с ютуба который нашел

вроде были там и примеры с вк, но нужно искать в дебрях. Сам не пробовал, только смотрел, как то руки не доходили и особой надобности небыло. Кто протестит расскажите)
 
T

torquemada163

fear сказал(а):
А ssl strip пробовали ?
Нажмите, чтобы раскрыть...
Пробовал - все это, без валидного сертификата, просто фигня! SSLSTRIP завернет HTTPS в HTTP только в том случае, если набрать адрес руками, а если прыгнуть через поисковик или, не дай бог, уже быть залогиненым - ничего он тогда не сделает.....
Единственный, пока, более-менее рабочий вариант - соц. инженерия типа SETOOLKIT, и в той проблемы наблюдаются. FB, OK, Mail.ru и пр. пока получается редиректнуть сквозным путем на оригинальный сайт, а вот VK уже обломись..... Тоже сертификат нужен.
 
  • Нравится
Реакции: fear
kot-gor

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
torquemada163 сказал(а):
Пробовал - все это, без валидного сертификата, просто фигня! SSLSTRIP завернет HTTPS в HTTP только в том случае, если набрать адрес руками, а если прыгнуть через поисковик или, не дай бог, уже быть залогиненым - ничего он тогда не сделает.....
Единственный, пока, более-менее рабочий вариант - соц. инженерия типа SETOOLKIT, и в той проблемы наблюдаются. FB, OK, Mail.ru и пр. пока получается редиректнуть сквозным путем на оригинальный сайт, а вот VK уже обломись..... Тоже сертификат нужен.
Нажмите, чтобы раскрыть...
А вы пробовали жертве подсунуть свой сгенерированный сертификат? скажем через инъекцию.
 
T

torquemada163

Да я хочу проще сделать - доменными политиками раздать ))))
Вопрос в том, что потерял статью о том, как сделать на Линукс-машине самоподписанный сертификат, конвертировать его в виндовый вариант (*.cer) и потом установить везде. Помню, что в статье по пунктам было - как установить в саму винду, как в Firefox и пр. Все закладки перерыл :-(
 
kot-gor

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
  1. Скачиваем инсталлятор openssl с сайта
    Ссылка скрыта от гостей
    (для Windows). Устанавливаем openssl, если при установке openssl на Windows он потребует Microsoft Redistributables Package, то предварительно, скачиваем и устанавливаем соответствующий пакет.
    Например, на данный момент доступна версия openssl v1.0.1c и соответствующий ему Visual C++ 2008 Redistributables (x86/x64) по следующим ссылкам: link removed и
    Ссылка скрыта от гостей


  2. После установки openssl запускаем командную строку cmd и выполняем следующие команды, предварительно перейдя в каталог bin установленного openssl (по умолчанию c:\OpenSSL-Win32\bin):
    • Указываем путь к конфигурации openssl:
      set OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg ;
    • Генерируем приватный ключ (в процессе генерации приватного ключа необходимо задать пароль):
      openssl genrsa -des3 -out c:\certificate\private.key 2048 ;
    • Генерируем запрос на сертификат:
      openssl req -new -key c:\certificate\private.key -out c:\certificate\csr.csr
      В процессе генерации запроса будут запрошены параметры для сертификата, которые необходимо вводить в латинской раскладке.
      Достаточными являются:
      - Country Name (2 letter code) [AU] - страна регистрации организации, для которой готовим сертификат (для Росcии - RU)
      - State or Province Name (full name) [Some-State] - область, регион регистрации организации (Москва - Moscow)
      - Locality Name (eg, city) [] - город регистрации организации (Москва - Moscow)
      - Organization Name (eg, company) [Internet Widgits Pty Ltd] - наименование организации
      - Common Name (e.g. server FQDN or YOUR name) [] - доменное имя, для которого генерируется сертификат (в данном случае может не совпадать с действительным доменным именем) (localhost, companyname.com)
    • Генерируем сам сертификат сроком на 365 дней (можно больше или меньше):
      openssl x509 -req -days 365 -in c:\certificate\csr.csr -signkey c:\certificate\private.key -out c:\certificate\certificate.pem
    В результате в каталоге c:\certificate будет создан приватный ключ (private.key) и сертификат (certificate.pem), который, в случае самостоятельно генерируемого сертификата, будет являться и сертификатом центра сертификации.

  3. Для того чтобы браузер не выдавал предупреждения по поводу недостоверности сертификата, можно установить сертификат (certificate.pem) в систему (предварительно поменяв его расширение на.crt) или в браузер, если он использует собственное хранилище сертификатов.
 
T

torquemada163

Ага, спасибо. Я уже сделал сертификат на самой атакующей машине с Кали. Втянул его в "Доверенные корневые центры сертификации" в подопытном экземпляре Винды. При dns-спуффинге и пропускании жерты через фишинговый сайт все работает отлично - в браузере жерты (если только это не Firefox) HTTPS работает без предупреждений. В случае Firefox все плохо - надо непосредственно в браузер запихивать исключение.

В случае сниффинга трафика и SSLSTRIP пока не готов сказать, чую, я намудрил с bettercap.... Завтра еще раз попробую, напишу результат вместе со скринами
 
kot-gor

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
Здравствуйте. Каким образом втягивали в доверенные корневые центры на жертве?
 
Последнее редактирование:
T

torquemada163

ну так как я админ своей сетки, то втянул сертификат путем раздачи доменными политиками ))))))
это пока "тепличные условия". могу хоть руками его туда поставить. я просто хочу проверить, как будут себя проявлять компы-жертвы в разных режимах, чтобы потом уже определятся с механизмом атаки. поэтому решил пока не ставить себе палки в колеса в виде "боевой имитации" впихивания сертификата )))))
 
kot-gor

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
У каждого браузера есть свои особенности,самая большая проблемы это потом впихнуть этот сертификат удаленно..Если не сложно поделитесь своими результатами с народом на форуме, я думаю всем будет интересно.
 
T

torquemada163

Да, завтра погоняю bettercap в режиме сниффинга с sslstrip на тестовой жертве, где установлен сертификат. После этого отпишу по результатам в любом случае.
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ