Mnogi korisnici ne shvaćaju da se ovi podaci mogu lako presresti popunjavanjem login i lozinke prilikom registracije ili prijavljivanja na zatvoreni Internet resurs i pritiskom na ENTER. Vrlo često se prenose preko mreže u nezaštićenom obliku. Stoga, ako stranica na koju se pokušavate prijaviti koristi HTTP protokol, tada je vrlo lako uhvatiti ovaj promet, analizirati ga pomoću Wiresharka, a zatim koristiti posebne filtere i programe za pronalaženje i dešifriranje lozinke.

Najbolje mjesto za presretanje lozinki je jezgro mreže, gdje promet svih korisnika odlazi na zatvorene resurse (na primjer, poštu) ili ispred rutera za pristup Internetu, prilikom registracije na vanjskim resursima. Postavili smo ogledalo i spremni smo da se osjećamo kao haker.

Korak 1. Instalirajte i pokrenite Wireshark da biste uhvatili promet

Ponekad je za to dovoljno odabrati samo sučelje kroz koje planiramo hvatati promet i kliknuti na dugme Start. U našem slučaju, snimamo preko bežične mreže.

Započelo je snimanje saobraćaja.

Korak 2. Filtriranje uhvaćenog POST prometa

Otvaramo pretraživač i pokušavamo se prijaviti na neki resurs koristeći korisničko ime i lozinku. Kada se proces autorizacije završi i stranica se otvori, prestajemo hvatati promet u Wiresharku. Zatim otvorite analizator protokola i pogledajte veliki broj paketi. U ovom trenutku većina IT profesionalaca odustaje jer ne znaju šta dalje. Ali znamo i zanimaju nas specifični paketi koji sadrže POST podatke koji se generišu na našem lokalnom računaru prilikom popunjavanja obrasca na ekranu i šalju na udaljeni server kada kliknete na dugme „Prijava“ ili „Ovlašćenje“ u pretraživaču.

U prozor unosimo poseban filter za prikaz uhvaćenih paketa: http.zahtjev.metoda == “POST"

I vidimo, umjesto hiljada paketa, samo jedan sa podacima koje tražimo.

Korak 3. Pronađite korisničko ime i lozinku

Brzo kliknite desnim tasterom miša i izaberite stavku iz menija Pratite TCP Steam


Nakon toga, tekst će se pojaviti u novom prozoru koji vraća sadržaj stranice u kodu. Pronađimo polja “password” i “user” koja odgovaraju lozinki i korisničkom imenu. U nekim slučajevima, oba polja će biti lako čitljiva i čak neće biti šifrirana, ali ako pokušavamo uhvatiti promet prilikom pristupanja vrlo poznatim resursima kao što su Mail.ru, Facebook, Vkontakte, itd., tada će lozinka biti šifrirana:

HTTP/1.1 302 pronađeno

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV NAV OTRo STP IND DEM"

Set-Cookie: lozinka= ; expires=Set, 07-Nov-2024 23:52:21 GMT; put=/

Lokacija: loggedin.php

Dužina sadržaja: 0

Veza: zatvorena

Content-Type: text/html; charset=UTF-8

Dakle, u našem slučaju:

Korisničko ime: networkguru

Lozinka:

Korak 4. Odredite tip kodiranja za dešifriranje lozinke

Na primjer, idite na web stranicu http://www.onlinehashcrack.com/hash-identification.php#res i unesite našu lozinku u prozor za identifikaciju. Dobio sam listu protokola za kodiranje po prioritetu:

Korak 5. Dešifriranje korisničke lozinke

U ovoj fazi možemo koristiti uslužni program hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Na izlazu smo dobili dešifrovanu lozinku: simplepassword

Dakle, uz pomoć Wiresharka ne samo da možemo riješiti probleme u radu aplikacija i servisa, već se i okušati kao haker, presrećući lozinke koje korisnici unose u web forme. Također možete saznati lozinke za poštanski sandučići korisnici koji koriste jednostavne filtere za prikaz:

  • POP protokol i filter izgledaju ovako: pop.request.command == "USER" || pop.request.command == "PROLAZI"
  • IMAP protokol i filter će biti: imap.request sadrži "login"
  • Protokol je SMTP i morat ćete unijeti sljedeći filter: smtp.req.command == "AUTH"

i ozbiljnije uslužne programe za dešifriranje protokola kodiranja.

Korak 6: Što ako je promet šifriran i koristi HTTPS?

Postoji nekoliko opcija za odgovor na ovo pitanje.

Opcija 1. Povežite se kada je veza između korisnika i servera prekinuta i uhvatite promet u trenutku uspostavljanja veze (SSL Handshake). Kada se veza uspostavi, ključ sesije može biti presretnut.

Opcija 2: HTTPS promet možete dešifrirati pomoću datoteke evidencije ključa sesije koju je snimio Firefox ili Chrome. Da biste to uradili, pretraživač mora biti konfigurisan da upiše ove ključeve za šifrovanje u datoteku evidencije (primer zasnovan na FireFox-u) i trebalo bi da primite tu datoteku evidencije. U suštini, morate ukrasti datoteku ključa sesije hard disk drugog korisnika (što je nezakonito). Pa, onda uhvatite promet i upotrijebite rezultirajući ključ da ga dešifrujete.

Pojašnjenje. Govorimo o web pretraživaču osobe čiju lozinku pokušavaju ukrasti. Ako mislimo na dešifriranje vlastitog HTTPS prometa i želimo vježbati, onda će ova strategija funkcionirati. Ako pokušavate dešifrirati HTTPS promet drugih korisnika bez pristupa njihovim računarima, to neće uspjeti – to je i šifriranje i privatnost.

Nakon što dobijete ključeve prema opciji 1 ili 2, potrebno ih je registrovati u WireSharku:

  1. Idite na meni Uredi - Preference - Protokoli - SSL.
  2. Postavite zastavicu „Ponovo sastavite SSL zapise koji obuhvataju više TCP segmenata“.
  3. “Lista RSA ključeva” i kliknite na Uredi.
  4. Unesite podatke u sva polja i upišite putanju u datoteku pomoću ključa

WireShark može dešifrirati pakete koji su šifrirani pomoću RSA algoritma. Ako se koriste DHE/ECDHE, FS, ECC algoritmi, sniffer nam neće pomoći.

Opcija 3. Dobiti pristup web serveru koji korisnik koristi i dobiti ključ. Ali ovo je još teži zadatak. U korporativnim mrežama, u svrhu otklanjanja grešaka u aplikacijama ili filtriranja sadržaja, ova opcija je implementirana na zakonskoj osnovi, ali ne u svrhu presretanja korisničkih lozinki.

BONUS

VIDEO: Wireshark njuškanje paketa korisničkih imena, lozinki i web stranica

Metoda je stara, ali efikasna, uradićemo sve sa njom presretač ng.
1. Preuzmite program sniff.su
2. Pokrenite, odaberite mrežu, tip prekidača Ethernet/WiFi ako imate WiFi zatim morate odabrati ikonu WiFi(lijevo od odabira mreže)

SpoilerTarget">Spoiler

3. Pritisnite dugme Režim skeniranja(ikona radara)
Kliknite na prazno polje desni klik miša i kliknite na kontekstni meni Pametno skeniranje.
Svi uređaji povezani na mrežu će biti prikazani. Odaberite žrtvu (možete odabrati svakog sa pritisnutim tipkom Shift), samo nemojte označavati sam ruter, to IP obično 192.168.1.1
Nakon što ga odaberete, kliknite desnim tasterom miša i kliknite Dodati u nat

SpoilerTarget">Spoiler

4. Idite na karticu Nat
IN Stealth ip preporučljivo je promijeniti posljednju cifru u bilo koju nezauzetu, to će sakriti vašu realnu IP.
Označite kućice SSL Strip I SSL Mitm.(V 0.9.10 kliknite na oko u šeširu i odaberite tamo)

SpoilerTarget">Spoiler

5. Kliknite Postavke(zupčanici desno).
Stavite kvačicu Uskrsnuće(Ovo će vam omogućiti da presretnete lozinke i šifrirane kolačiće HTTPS protokol) i uklonite Lažni IP/Mac. Možete označiti polje Cookie Killer, zahvaljujući njoj žrtva će biti izbačena sa trenutne stranice npr društvena mreža a žrtva će morati ponovo da unese lozinku, a mi ćemo je presresti. Uporedite postavke sa slikom.

SpoilerTarget">Spoiler

6. Kliknite na dugme na vrhu Pokreni/zaustavi njuškanje(trougao), u istom prozoru kliknite na ikonu zračenja na dnu Start/Stop ARP Poison. Idemo na karticu Način rada lozinke i kliknite desnim tasterom miša na prozor i izaberite Prikaži kolačiće(“Ovo će omogućiti prikazivanje kolačića i lozinki koje su unele žrtve”)
To je to, čekamo da neko unese lozinku. Ponekad se desi da internet prestane da radi, pokušajte sami da pristupite Internetu, ako ne uspije, ponovo pokrenite program.
Primijetio sam da nije uvijek moguće presresti lozinku, ali zapravo radi gotovo bez greške.

Interceptor je multifunkcionalni mrežni alat koji vam omogućava da dobijete podatke iz prometa (lozinke, instant messenger poruke, prepisku, itd.) i implementirate razne MiTM napade.

Programski interfejs presretača
Glavna funkcionalnost

  • Presretanje instant messenger poruka.
  • Presretanje kolačića i lozinki.
  • Presretanje aktivnosti (stranica, fajlovi, podaci).
  • Mogućnost lažiranja preuzimanja datoteka dodavanjem zlonamjernih datoteka. Može se koristiti u kombinaciji s drugim uslužnim programima.
  • Zamjena Https certifikata sa Http.
Načini rada
Messengers Mode– omogućava vam da provjerite korespondenciju koja je poslana u nešifriranom obliku. Korišćen je za presretanje poruka u instant messengerima kao što su ICQ, AIM, JABBER poruke.

Ressurection Mode– oporavak korisnih podataka iz saobraćaja, iz protokola koji prenose saobraćaj otvorena forma. Kada žrtva pregleda datoteke, stranice ili podatke, oni mogu biti djelomično ili potpuno presretnuti. Osim toga, možete odrediti veličinu datoteka kako ne biste preuzimali program u malim dijelovima. Ove informacije se mogu koristiti za analizu.

Password Mode– način rada sa kolačićima. Na ovaj način je moguće pristupiti posjećenim fajlovima žrtve.

Režim skeniranja– glavni mod za testiranje. Da biste započeli skeniranje, trebate desnim klikom na Smart Scan. Nakon skeniranja, svi učesnici mreže će biti prikazani u prozoru, njihovi operativni sistem i drugi parametri.

Dodatno, u ovom načinu možete skenirati portove. Morate koristiti funkciju Scan Ports. Naravno, postoji mnogo više funkcionalnih uslužnih programa za to, ali prisustvo ove funkcije je važna točka.

Ako nas zanima ciljani napad na mrežu, onda nakon skeniranja trebamo dodati ciljnu IP adresu u Nat pomoću naredbe (Add to Nat). U drugom prozoru biće moguće izvršiti druge napade.

Nat Mode. Glavni način, koji vam omogućava da izvršite brojne napade putem ARP-a. Ovo je glavni prozor koji omogućava ciljane napade.

DHCP mod. Ovo je način koji vam omogućava da podignete svoj DHCP server za implementaciju DHCP napada u sredini.

Neke vrste napada koji se mogu izvesti
Site spoofing

Da biste lažirali web stranicu žrtve, trebate otići na Target, nakon čega trebate navesti web lokaciju i njegovu zamjenu. Na ovaj način možete zamijeniti dosta stranica. Sve ovisi o tome koliko je lažnjak kvalitetan.

Site spoofing

Primjer za VK.com

Odabir MiTM napada

Promjena pravila ubrizgavanja
Kao rezultat toga, žrtva otvara lažnu web stranicu kada traži vk.com. A u načinu rada sa lozinkom trebali bi postojati žrtvin login i lozinka:

Da biste izvršili ciljani napad, trebate odabrati žrtvu sa liste i dodati je meti. Ovo se može uraditi desnim tasterom miša.

Dodavanje MiTm napada
Sada možete koristiti Ressurection Mode za oporavak različitih podataka iz prometa.

Fajlovi i informacije o žrtvama putem MiTm napada
Lažnjavanje saobraćaja

Određivanje postavki
Nakon toga, zahtjev žrtve će se promijeniti iz "povjerenja" u "gubitnika".

Osim toga, možete ubiti kolačiće tako da se žrtva odjavi sa svih računa i ponovo se prijavi. Ovo će vam omogućiti da presretnete prijave i lozinke.

Uništavanje kolačića

Kako vidjeti potencijalnog njuškala na mreži koristeći Intercepter?
Koristeći opciju Promisc Detection, možete otkriti uređaj koji skenira na lokalnoj mreži. Nakon skeniranja, stupac statusa će prikazati “Njuškalo”. Ovo je prvi način otkrivanja skeniranja na lokalnoj mreži.

Detekcija njuškala
SDR HackRF uređaj


HackRF
SDR je vrsta radio prijemnika koji vam omogućava rad s različitim parametrima radio frekvencije. Tako je moguće presresti signal Wi-Fi, GSM, LTE itd.

HackRF je potpuni SDR uređaj za 300 dolara. Autor projekta, Michael Ossman, razvija uspješne uređaje u ovom pravcu. Ubertooth Bluetooth njuškalo je prethodno razvijeno i uspješno implementirano. HackRF je uspješan projekat koji je prikupio više od 600 hiljada na Kickstarteru. 500 takvih uređaja već je prodato za beta testiranje.

HackRF radi u frekvencijskom opsegu od 30 MHz do 6 GHz. Frekvencija uzorkovanja je 20 MHz, što vam omogućava presretanje signala iz Wi-FI i LTE mreža.

Kako se zaštititi na lokalnom nivou?
Prvo, koristimo softver SoftPerfect WiFi Guard. Jedi prenosiva verzija, koji ne zauzima više od 4 MB. Omogućava vam da skenirate svoju mrežu i prikažete koji su uređaji prikazani na njoj. Ima postavke koje vam omogućavaju da odaberete mrežna kartica i maksimalan broj skeniranih uređaja. Dodatno, možete podesiti interval skeniranja.


Interfejs programa SoftPerfect WiFi Guard
Nakon skeniranja, program šalje obavještenja koliko ih ima nepoznati uređaji. Ovo nam omogućava da dodamo i označimo pouzdane korisnike i primijetimo da li se neko povezao i počne slušati promet. Obavještenja će biti poslana nakon svakog intervala skeniranja. Ovo vam omogućava da onemogućite određenog prevaranta na ruteru ako postoje sumnjive aktivnosti.


Postavke programa SoftPerfect WiFi Guard


Mogućnost dodavanja komentara za korisnike


Prozor s obavijestima za nepoznate uređaje nakon svakog navedenog intervala skeniranja

Zaključak
Stoga smo u praksi razmotrili kako koristiti softver za presretanje podataka unutar mreže. Pogledali smo nekoliko specifičnih napada koji vam omogućavaju da dobijete podatke za prijavu, kao i druge informacije. Dodatno, pogledali smo SoftPerfect WiFi Guard, koji vam omogućava da zaštitite na primitivnom nivou lokalna mreža od osluškivanja saobraćaja.

Korisnici interneta su toliko neoprezni da je gubitak povjerljivih podataka lak kao ljuštenje krušaka. Publikacija 42.tut sprovela je eksperiment kako bi pokazala koliko "rupa" ima u javnosti Wi-Fi mreže. Zaključak je razočaravajući: svako bez posebnih vještina i znanja može napraviti kompletan dosije o osobi koja koristi samo otvorenu bežičnu mrežu.

Instalirali smo nekoliko aplikacija za eksperiment. Razlikuju se po funkcionalnosti, ali njihova suština je ista - prikupiti sve što prolazi kroz mrežu na koju je uređaj povezan. Nijedan od programa se ne pozicionira kao „piratski“, „hakerski“ ili ilegalan – bez problema se mogu preuzeti na mreži. Eksperiment je proveden u trgovačkom centru s besplatnim bežičnim internetom.

Presretanje

Povezujemo se na Wi-Fi: nema lozinke, naziv mreže sadrži riječ „besplatno“. Počinjemo skenirati, jedan od programa odmah pronalazi 15 veza na mrežu. Za sve možete vidjeti IP adresu, MAC adresu, za neke - naziv proizvođača uređaja: Sony, Samsung, Apple, LG, HTC...

Među uređajima nalazimo laptop “žrtvu”. Povezujemo se s njim - podaci koji prolaze kroz mrežu počinju se pojavljivati ​​na ekranu. Sve informacije su strukturirane po vremenu; postoji čak i ugrađeni preglednik presretnutih podataka.

Identifikacija korisnika

Nastavljamo da gledamo. Na laptopu njegovog partnera očito je počela online igra: programske komande se stalno šalju u mrežu, primaju se informacije o situaciji na bojnom polju. Možete vidjeti nadimke svojih protivnika, njihove nivoe igre i još mnogo toga.

Stiže poruka od "VKontakte". U jednoj od detaljnih specifikacija poruke nalazimo da je korisnički ID vidljiv u svakoj od njih. Ako je zalijepite u pretraživač, otvorit će se račun osobe koja je primila poruku.

“Žrtva” u ovom trenutku piše odgovor na poruku i očigledno nema pojma da iz sve snage buljimo u fotografije na njegovom nalogu. Jedna od aplikacija društvenih mreža daje signal - ovaj zvuk možemo slušati u plejeru.

Lozinke i poruke

Fotografije i zvukovi nisu sve što se može "prenijeti" na dostupnu Wi-Fi mrežu. Na primjer, jedan od programa ima zasebnu karticu za praćenje dopisivanja na društvenim mrežama i instant messengerima. Poruke se dešifruju i sortiraju po vremenu slanja.

Pokazivanje tuđe prepiske je izvan dobra i zla. Ali radi. Ilustracije radi, evo dijela dijaloga autora teksta, uhvaćenog kompjuterom za praćenje sa uređaja “žrtve”.

Drugi program posebno "pohranjuje" sve kolačiće i korisničke informacije, uključujući lozinke. Srećom, u šifriranom obliku, ali odmah nudi instaliranje uslužnog programa koji će ih dešifrirati.

Zaključci

Gotovo sve informacije mogu se izgubiti preko Wi-Fi mreže. Mnoge javne mreže ne pružaju nikakvu zaštitu, a ponekad čak ni lozinku. To znači da svako može presresti saobraćaj kolega, prijatelja ili stranaca.

Najpouzdaniji izlaz iz ove situacije je jedan: nemojte prenositi važne informacije putem javnih mreža. Na primjer, nemojte slati brojeve telefona i lozinke u porukama i ne plaćajte platnom karticom izvan kuće. Rizik od gubitka ličnih podataka je izuzetno visok.