Снифинг через airbase-ng + wireshark

[zehrx]

Привет всем. Для себя выделил слеюущие шаги

1. airbase-ng -a МАК --essid "ИМЯ СЕТИ" -c канал интерфейс
2. aireplay-ng --deauth 0 -a МАК интерфейс
3. apt-get install bridge-utils -y (если не установлен)
4. brctl addbr evil
5 brctl addif evil eth0
6 brctl addif evil at0
7 ifconfig at0 0.0.0.0 up
8 ifconfig evil up
9 dhclient evil

В результате получаю поддельную точку, клиенты пробуют на нее подключиться, но что-то не выходит, при подключении пишет ошибка подключения, проблемы и т.д. никакой конкретики. Что я делаю не так?

Есть еще пара вопросов:

1. Когда создана точка доступа и клиенты уже деаутентифицирвоаны нужные, стоит ли оставлять деаутентификацию или можно отключать
2. МОжет есть какие-то интересные сопосбы не просто мониторить траф а какой-то способ вытащить пароли на https сайтах, соц сетях и т.д.
3. Можно ли сочетать wireshark и fluxion, если да, то как сделать подобное с fluxion?

 

[ghostphisher]

Проще юзать airgeddon - в нем все уже есть, либо wifi-pumpkin

 

[a113]

Вытащить пароли можно попробовать через sslstrip и запилить поддельный сертификат, чтобы пользователь не видел http вместо https.

 

[ghostphisher]

Еще xerosploit в помощь - отлично тянет все, что идет через браузер ( врочем есть такая функция и wifi-pumpkin ).
Подняв фейковую точку и сдосив оригинал, запускаем xerosploit и сниффем траффик с sslstrip - всякие вк и т.д. словит, там через подмену идет. Если в браузер свой глянуть, там будет вместо

Ссылка скрыта от гостей

-> wwwww.ВК.КОМ типо этого.

 

[zehrx]

Еще xerosploit в помощь - отлично тянет все, что идет через браузер ( врочем есть такая функция и wifi-pumpkin ).
Подняв фейковую точку и сдосив оригинал, запускаем xerosploit и сниффем траффик с sslstrip - всякие вк и т.д. словит, там через подмену идет. Если в браузер свой глянуть, там будет вместо

Ссылка скрыта от гостей

-> wwwww.ВК.КОМ типо этого.

благодарю, sslstrip юзал при арпспуфе, но там что-то туго всех проходило и в основном через ie. Попробую эту связку
[doublepost=1494140080,1494061481][/doublepost]

Проще юзать airgeddon - в нем все уже есть, либо wifi-pumpkin

решил начать с wifi-pumpkin. На вид очень приятный инструмент, но:

1. Запускаю, все отлично, точка стартуется
2. Подсоединяюсь и начинается мониторинг страфика
3. Буквально несколько секунд и больше ничего не слышно. Клиент лазит в сети, но никакой информации об этом я не получаю. Запускаюй плагин в купе с sslstrip . Мой адаптер TP-LINK TL-WN722N. В чем проблема не понимаю
[doublepost=1494140546][/doublepost]и еще такой момент vk не открывается на машине жертвы...
[doublepost=1494144303][/doublepost]airgeddon - вк открывается, но пароль не ловится. Возможно я как-то неумело обращаюсь с комплексами. Они очень удобные и мощные на первый взгляд, но задачу - перехват пароля вк - не решают. Про sslstrip, я правильно понимаю, что в принципе это не особо надежный метод, и если у жертвы не ИЕ, то шансов мало?
[doublepost=1494146285][/doublepost]

Еще xerosploit в помощь - отлично тянет все, что идет через браузер ( врочем есть такая функция и wifi-pumpkin ).
Подняв фейковую точку и сдосив оригинал, запускаем xerosploit и сниффем траффик с sslstrip - всякие вк и т.д. словит, там через подмену идет. Если в браузер свой глянуть, там будет вместо

Ссылка скрыта от гостей

-> wwwww.ВК.КОМ типо этого.

по xerosploit не подтолкнете? Я правильно понимаю, мы его юзаем как снфиер с sslstrip верно?

Я словил ошибку:
[E] Invalid target specified 'gateway', valid formats are IP addresses, MAC addresses, IP ranges ( 192.168.1.1-30 ) or netmasks ( 192.168.1.1/24 ) .

1 Как можно сделать эту настройку в xerosploit?
2 Как настроить его на снифинг фейковой точки?
3 За счет чего вот это происходит

Ссылка скрыта от гостей

-> wwwww.ВК.КОМ?

 

[ghostphisher]

По xerosploit - идеальная рабочая среда, это на 1 железке, вот так ошибка, которая вышла - это следствие работы связки с WiFi-Pumpkin ( верно я понимаю? ). Советую с ним ознакомиться на своей домашней железке, тоесть подключить смарт или планшет, поюзать вк и ок , рутакси, алиэкспресс, а с компа поснифить трафик - будет видна технология и принцип работы.
По WiFI-Pumpkin ( в котором много разных настроек ) - стоит уделить внимание установки разных значений и пробовать.
[doublepost=1494149511,1494147090][/doublepost]Вот так выглядит перехват входа в ВК
Яблоко 7 версии
ТД на которую подключено яблоко и ноут с xerosploit
Яблоко заходит через разные браузеры в вк

больше скринов и инфы чуть позже
[doublepost=1494167996][/doublepost]Теперь внимание:

Ниже 2 скрина с мобильника, вход через веб-морду. Обратите внимание на 1 скрин - там без Xerosploit - видно заомок, видно адрес, а на 2 скрине адрес с wmobile - подозрения не вызывает вооьбще, нет замочка - это работа через Xerosploit

[doublepost=1494169593][/doublepost]А вот вам и перехват через Pumpkin +)
Настройки и результат можно видеть на скринах

[doublepost=1494183452][/doublepost]Airgeddon - вышла 7 версия, более стабильная.

Ниже скрин, атака злой двойник + sslstrip

Атака на перехват с ВК

 

[zehrx]

поработал с wi-fi pumpkin через другой wi-fi адаптер, самый наиобыкновейниший, и все супер, от вк перехватывает пароли очень здорово. Хотя
это и решает мою задачу, уже стало интересно освоить и xerosploit
[doublepost=1494764712,1494764166][/doublepost]Только вот 1 момент, в браузере происходит подмена, а как быть с вк приложением?

 

[ghostphisher]

Только вот 1 момент, в браузере происходит подмена, а как быть с вк приложением?

С приложением сложнее, так как в нем содержаться все нужные параметры и ключи. Теоритически можно обмануть: подделав адреса, сертификаты.