Codeby web-security - новый курс от Codeby Security School

Представляем вашему вниманию новый курс от команды The Codeby - "Тестирование Веб-Приложений на проникновение с нуля". Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...


И вновь БОНЖУР

Приветствую старичков, которые были с нами на протяжении все 3 частей, а новичкам следует ознакомится с остальными частями дабы не потерять нить нашего «Сюжета»

  1. WIRESHARK  
  2. SSLSTRIP
  3. Часть 1 (Отключали людей от wifi сети)
  4. Часть 2 (Поднимали саму Лже сеть)

В этой заключительной части не будет практического применения да оно тут и не нужно.

Мы вспомним о SSLSTRIP, WIRESHARK, по-новому взглянем на DRIFTNET и узнаем об убойном модуле TSHARK  на котором основывается WIRESHARK и научимся им пользоваться.


Начнем с того что нам уже известно…

SSLSTRIP

unnamed

Use SSLSTRIP 2.0?
Данную тему я уже описывал на нашем сайте => прочитать <=


DRIFTNET

rybolovnyye-seti

Capture unencrypted images with DRIFTNET?

Данная тема уже была описана на нашем сайте, а вот и ссылка спасибо автору => прочитать <=
Но так как мне показалось что тема была освещена не полностью я дополню информацию, представленную автором

Использование:

 driftnet [параметр] [функция параметра если есть]

Пример:

 driftnet -i wlan1

Параметры:

 -h = -help и этим все сказано

 -h

В терминале выводить дополнительную побочную информацию о захваченных пакетах.

 -v

Оповещать (звуковым сигналом) при перехвате изображения

Интерфейс для прослушивания пакетов. По умолчанию driftnet будет пытаться собирать трафик со всех интерфейсов, но это работает не со всеми версиями pcap; на таких системах нужно указать интерфейс. На некоторых системах, если указан интерфейс, driftnet может использовать только неразборчивый режим.

 -i интерфейс

Вместо прослушивания интерфейса, читать захваченные пакеты из файла дампа pcap; файл может быть именной трубой для использования с Kismet или подобным.

 -f файл

Не переводить интерфейс в неразборчивый режим.

 -p

Работа в режиме adjunct (адъютант), где driftnet собирает изображения для использования в других программах. В этом режиме окно не отображается;
изображения захватываются и сохраняются во временной директории, а их имена записываются в стандартный вывод.

 -a

В режиме adjunct, тихо отбрасывать изображения, если их количество во временной директории больше указанного числа. Подразумевается, что другой процесс будет удалять изображения, которые он уже отработал.

 -m число

Префикс добавляемый к имени файла, используемый, когда вы сохраняете изображения,
(по умолчанию это `driftnet-‘)

 -x префикс

Использовать директорию для сохранения временных файлов. Driftnet будет очищать эту директорию от своих собственных временных файлов, но не будет удалять директории или какие-либо другие файлы.

 -d директория

Пытаться захватить данные потокового аудио из сети, и или воспроизвести, или, в режиме adjunct, сохранить в файлы. В настоящее время это работает только с MPEG данными.

 -s

Захватывать только данные потокового аудио, игнорируя изображения

 -S

Используйте названную команду для воспроизведения аудио данных MPEG. Эта команда будет выполнена как шелл, должна принимать MPEG фреймы на стандартном выводе. По умолчанию это `mpg123 -‘.

  -M команда

Clients speed

speed1_logo

Set speed limit for the clients?

Установка лимита на скорость для клиентов если у вас много целей, то вам следует использовать данный скрипт для уменьшения подозрения людей, подключившихся к вашей лже сети.


Wireshark

bc3a1sicos-18-wireshark-parte-i-blog-191

Start WIRESHARK ?

Все мы с ним знакомы, а если нет, то вот вам ссылка на него  =>> перейти <<=


TSHARK

23cc6174d2cc5cbb170f1eacb63a8b6c

packets to .pcap with TSHARK? (no gui needed)

Tshark использует для захвата библиотеку libpcap, реализующую API pcap (packet capture). Эту библиотеку использует и стандартная утилита tcpdump. Файлы, созданные в tcpdump, можно передавать tshark для последующего анализа.

Несомненным преимуществом tshark по сравнению с tcpdump является более ясный и человекопонятный формат вывода. Кроме того, tshark поддерживает огромное количество сетевых протоколов (более 300, что охватывает практически все когда-либо изобретенные виды сетей).

Фильтры  

Выбор интерфейса для захвата
Опция -i позволяет захватывать трафик только для конкретного интерфейса.

tshark -i wlan0

Просмотреть список доступных сетевых интерфейсов можно с помощью команды:


Paranoid - курс от Codeby Security School

Представляем вашему вниманию курс от команды codeby - "Комплекс мер по защите персональных данных, анонимности в интернете и не только" Подробнее ...


tshark -D

С помощью дополнительных аргументов можно получать более специализированную информацию. Например, с помощью аргумента host можно осуществить захват пакетов для конкретного IP-адреса (192.168.1.100):

 tshark -i wlan0 host 192.168.1.100

В вывод будут включены как входящие, так и исходящие пакеты. Чтобы просмотреть информацию только о входящих пакетах или только об исходящих пакетах, используются аргументы dst и src соответственно:

Команда выведет на консоль список пакетов, исходящих с адреса 192.168.1.100

tshark -i wlan0 src host 192.168.1.100

На консоль будет выведен список пакетов, поступающих на адрес 192.168.1.100.

tshark -i wlan0 dst host 192.168.1.100

Существуют ситуации когда нам нужно перехватывать трафик под сетей для этого нужно использовать команду используя аргумент net

tshark -i wlan0 src net 192.168.1.100

Можно также указать порт, на котором будут захватываться пакеты (в данном примере порт 80):

tshark  -i wlan0 h0 host 192.168.1.1 and port 80

Tshark позволяет захватывать пакеты в течение определенного промежутка времени (в данном примере ему отводится 10 секунд):

tshark -i wlan0 -a duration:10

Используя опцию -W можно указать путь к файлу, в который будут записаны полученные данные.

tshark -i wlan0 -w traffic.pcap

Опции захвата

Эти опции используются при захвате трафика «на лету».  На консоль будет выведена лишь та информация, которая соответствует установленным с помощью фильтров критериям.

В общем виде синтаксис команды tshark с фильтрами можно представить так:

 tshark -i &lt;интерфейс&gt; -f &lt;фильтр&gt;

В tshark для фильтров захвата используется такой же синтаксис, как и в tcpdump. В рамках этой статьи мы подробно рассматривать все существующие фильтры не будем и ограничимся отсылкой к официальному мануалу).

Опции чтения

И так мы научились добывать но ведь нам еще и надо читать.

Tshark может сохранять информацию о захваченных пакетах в файлах. Чтобы извлечь из этих файлов нужную информацию, используются опции чтения, называемые так же правилами (опция -R).

Эти опции дают гораздо более широкие возможности для отбора и конкретизации информации. Но их не следует использовать при работе на лету так как они могут не справится с возложенной на них задачей и просто отбросить все интересующие нас пакеты.

В общем виде синтаксис правил можно представить так:

 tshark -R «правило» -r «путь к файлу»

Дальше будем смотреть на примере (Как всегда теорию мешаем с практикой)

 tshark -R «ip.addr == 192.168.0.1» -r /tmp/spizeno.cap

указывает, что из файла /tmp/spizeno.cap нужно извлечь информацию об исходящих и входящих пакетах для IP-адреса 192.168.0.1.

 tshark -R«!(ip.addr == 192.168.0.1)» -r /tmp/spizeno.cap

Следующее правило будет указывать, что из этого файла нужно извлечь информацию о входящих и исходящих пакетов для всех IP- адресов, кроме 192.168.0.1 (да да вспоминаем школьные деньки а точнее алгебру-логику)

Аналогичным образом можно задавать правила и для различных иных протоколов и портов (к примеру eth.addr, udp.port, tcp.port):

tshark -R "eth.addr == 00:08:15:00:08:15" -r /tmp/capture.cap
tshark -R "udp.port == 80" -r /tmp/capture.cap
tshark -R "tcp.port == 80" -r /tmp/capture.cap

Cбор статистики

C помощью опции -z можно собирать и выводить на консоль различную статическую информацию о пакетах.
Как всегда пример

tshark -z "proto,colinfo,tcp.srcport,tcp.srcport" -r /tmp/capture.cap

указывает, что из файла /tmp/capture.cap нужно извлечь информацию о порте-источнике всех пакетов.

Пару трюков для автоматизации процесса

Автоматическое сохранение в несколько файлов

В приведенном ниже примере tshark будет сохранять захваченную информацию в несколько файлов. Новый файл будет создан автоматически при превышении размера в 10240 кБ или по истечении интервала 1 с:

tshark -b filesize:10240 -b duration:1 -w temp.pca
Автосохранение по истечении заданного времени

Вывод удобно сохранять в нескольких файлах, количество и размер которых указываются пользователем. Как только один файл будет заполнен, tshark продолжит запись в следующий. Например, команда:

tshark -b filesize:100 -a files:10 -w temp.pcap

будет сохранять вывод в 10 файлах размером по 100 кБ каждый.

В приведенном выше примере
-b означает, что будет задействован кольцевой буфер,
filesize устанавливает размер;
-a указывает автоматическую остановку по достижении заданного предела
files — указывает количество файлов

Установка размера буфера

Эта опция может быть полезной в случаях, когда приходится иметь дело с отбрасыванием пакетов. По умолчанию размер буфера составляет 1МБ; при помощи опции -B можно установить любой другой размер (в мегабайтах), по достижении которого все данные будут сбрасываться на диск:

 tshark -B 2

DNS

76498999

Spoof DNS?

Благодаря последнему скрипту мы сможем перенаправлять людей с определенных сайтов на нужные нам, но об этом речь уже будет идти в новом цикле, через один «Надеваем маску (Скрываемся в сети для проведения атаки)»


На этом данный цикл статей по созданию фейковой точки закончен и теперь вы готовы к эксперементам над гостями или прохожими решайте сами где устроить праздник и веселье(для вас).

Удачи.


Codeby Market от Сodeby

Мы запустили свой магазин CodebyMarket Equipment for InfoSec. Уже добавили RaspberryAlfa Long-RangeOrange PiArduino и многое другое. Купить Pentesting Devices