Maraming mga gumagamit ang hindi nakakaalam na sa pamamagitan ng pagpuno ng isang login at password kapag nagrerehistro o nag-log in sa isang saradong mapagkukunan ng Internet at pagpindot sa ENTER, ang data na ito ay madaling maharang. Kadalasan ay ipinapadala ang mga ito sa network sa isang hindi secure na anyo. Samakatuwid, kung ang site na sinusubukan mong mag-log in ay gumagamit ng HTTP protocol, napakadaling makuha ang trapikong ito, pag-aralan ito gamit ang Wireshark, at pagkatapos ay gumamit ng mga espesyal na filter at programa upang mahanap at i-decrypt ang password.

Ang pinakamagandang lugar upang maharang ang mga password ay ang core ng network, kung saan ang trapiko ng lahat ng mga user ay napupunta sa mga saradong mapagkukunan (halimbawa, mail) o sa harap ng router upang ma-access ang Internet, kapag nagrerehistro sa mga panlabas na mapagkukunan. Nag-set up kami ng salamin at handa na kaming makaramdam na parang isang hacker.

Hakbang 1. I-install at ilunsad ang Wireshark upang makuha ang trapiko

Minsan, upang gawin ito, sapat na upang piliin lamang ang interface kung saan plano naming makuha ang trapiko at i-click ang Start button. Sa aming kaso, kami ay kumukuha sa isang wireless network.

Nagsimula na ang pagkuha ng trapiko.

Hakbang 2. Pag-filter ng nakuhang POST na trapiko

Binuksan namin ang browser at sinusubukang mag-log in sa ilang mapagkukunan gamit ang isang username at password. Kapag nakumpleto na ang proseso ng awtorisasyon at nabuksan ang site, hihinto kami sa pagkuha ng trapiko sa Wireshark. Susunod, buksan ang protocol analyzer at tingnan malaking bilang mga pakete. Sa puntong ito na ang karamihan sa mga propesyonal sa IT ay sumuko dahil hindi nila alam kung ano ang susunod na gagawin. Ngunit alam namin at interesado kami sa mga partikular na pakete na naglalaman ng POST data na nabuo sa aming lokal na makina kapag pinupunan ang isang form sa screen at ipinadala sa malayong server kapag na-click mo ang button na “Login” o “Authorization” sa browser.

Nagpasok kami ng isang espesyal na filter sa window upang ipakita ang mga nakuhang packet: http.kahilingan.paraan == "POST"

At nakikita namin, sa halip na libu-libong mga pakete, isa lamang ang may data na hinahanap namin.

Hakbang 3. Hanapin ang login at password ng user

Mabilis na i-right-click at piliin ang item mula sa menu Sundin ang TCP Steam

Pagkatapos nito, lilitaw ang teksto sa isang bagong window na nagpapanumbalik ng mga nilalaman ng pahina sa code. Hanapin natin ang mga patlang na "password" at "user", na tumutugma sa password at username. Sa ilang mga kaso, ang parehong mga patlang ay madaling basahin at hindi kahit na naka-encrypt, ngunit kung sinusubukan naming makuha ang trapiko kapag nag-access sa mga kilalang mapagkukunan tulad ng Mail.ru, Facebook, Vkontakte, atbp., kung gayon ang password ay mai-encrypt:

HTTP/1.1 302 Natagpuan

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"

Set-Cookie: password= ; expires=Huwe, 07-Nob-2024 23:52:21 GMT; landas=/

Lokasyon: login.php

Haba ng Nilalaman: 0

Koneksyon: malapit

Uri ng Nilalaman: text/html; charset=UTF-8

Kaya, sa aming kaso:

Username: networkguru

Password:

Hakbang 4. Tukuyin ang uri ng pag-encode para i-decrypt ang password

Halimbawa, pumunta sa website na http://www.onlinehashcrack.com/hash-identification.php#res at ipasok ang aming password sa window ng pagkakakilanlan. Binigyan ako ng listahan ng mga protocol sa pag-encode ayon sa priyoridad:

Hakbang 5. Pag-decrypting ng password ng user

Sa yugtong ito maaari naming gamitin ang hashcat utility:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Sa output nakatanggap kami ng isang na-decrypt na password: simplepassword

Kaya, sa tulong ng Wireshark hindi lamang namin malulutas ang mga problema sa pagpapatakbo ng mga application at serbisyo, ngunit subukan din ang ating sarili bilang isang hacker, na humahadlang sa mga password na ipinasok ng mga user sa mga web form. Maaari mo ring malaman ang mga password para sa mga mailbox gumagamit ng mga simpleng filter upang ipakita:

• Ang POP protocol at filter ay ganito ang hitsura: pop.request.command == "USER" || pop.request.command == "PASS"
• Ang IMAP protocol at filter ay magiging: Ang imap.request ay naglalaman ng "login"
• Ang protocol ay SMTP at kakailanganin mong ipasok ang sumusunod na filter: smtp.req.command == "AUTH"

at mas seryosong mga utility para sa pag-decryption ng encoding protocol.

Hakbang 6: Paano kung ang trapiko ay naka-encrypt at gumagamit ng HTTPS?

Mayroong ilang mga pagpipilian upang sagutin ang tanong na ito.

Pagpipilian 1. Kumonekta kapag nasira ang koneksyon sa pagitan ng user at ng server at makuha ang trapiko sa sandaling maitatag ang koneksyon (SSL Handshake). Kapag naitatag ang isang koneksyon, maaaring ma-intercept ang session key.

Opsyon 2: Maaari mong i-decrypt ang trapiko ng HTTPS gamit ang session key log file na naitala ng Firefox o Chrome. Upang gawin ito, dapat na i-configure ang browser upang isulat ang mga encryption key na ito sa isang log file (halimbawang batay sa FireFox) at dapat mong matanggap ang log file na iyon. Mahalaga, kailangan mong nakawin ang session key file mula sa hard drive isa pang user (na ilegal). Kaya, pagkatapos ay kunin ang trapiko at gamitin ang resultang key upang i-decrypt ito.

Paglilinaw. Pinag-uusapan natin ang web browser ng isang tao na ang password ay sinusubukan nilang nakawin. Kung ang ibig naming sabihin ay i-decrypt ang sarili naming trapiko sa HTTPS at gusto naming magsanay, gagana ang diskarteng ito. Kung sinusubukan mong i-decrypt ang trapiko ng HTTPS ng ibang mga user nang walang access sa kanilang mga computer, hindi ito gagana - iyon ay parehong pag-encrypt at privacy.

Pagkatapos matanggap ang mga susi ayon sa opsyon 1 o 2, kailangan mong irehistro ang mga ito sa WireShark:

1. Pumunta sa menu na I-edit - Mga Kagustuhan - Mga Protocol - SSL.
2. Itakda ang flag na "I-reassemble ang mga SSL record na sumasaklaw sa maraming TCP segment."
3. “Listahan ng mga RSA key” at i-click ang I-edit.
4. Ipasok ang data sa lahat ng mga patlang at isulat ang landas sa file gamit ang susi

Maaaring i-decrypt ng WireShark ang mga packet na naka-encrypt gamit ang RSA algorithm. Kung gagamitin ang mga algorithm ng DHE/ECDHE, FS, ECC, hindi tayo matutulungan ng sniffer.

Opsyon 3. Makakuha ng access sa web server na ginagamit ng user at kunin ang key. Ngunit ito ay isang mas mahirap na gawain. Sa mga corporate network, para sa layunin ng pag-debug ng mga application o pag-filter ng nilalaman, ang opsyong ito ay ipinapatupad sa legal na batayan, ngunit hindi para sa layunin ng pagharang ng mga password ng user.

BONUS

VIDEO: Wireshark Packet Sniffing Username, Password, at Web Page

Ang pamamaraan ay luma, ngunit epektibo, gagawin namin ang lahat intercepter ng.
1. I-download ang program sniff.su
2. Ilunsad, piliin ang network, uri ng switch Ethernet/WiFi kung mayroon ka WiFi pagkatapos ay kailangan mong piliin ang icon WiFi(sa kaliwa ng pagpili ng network)

SpoilerTarget">Spoiler

3. Pindutin ang pindutan Scan Mode(icon ng radar)
Mag-click sa walang laman na field i-right click mouse at mag-click sa menu ng konteksto Smart scan.
Ipapakita ang lahat ng nakakonektang device sa network. Pumili ng biktima (maaari mong piliin ang lahat na pinindot ang key Paglipat), huwag lamang markahan ang router mismo, ito IP kadalasan 192.168.1.1
Kapag napili ito, i-right-click at i-click Idagdag mo kay nat

SpoilerTarget">Spoiler

4. Pumunta sa tab Nat
SA Nakaw ip ito ay ipinapayong baguhin ang huling digit sa anumang walang tao, ito ay itago ang iyong tunay IP.
Lagyan ng tsek ang mga kahon SSL Strip At SSL Mitm.(V 0.9.10 i-click ang mata sa sumbrero at pumili doon)

SpoilerTarget">Spoiler

5. I-click Mga setting(mga gear sa kanan).
Lagyan ng tsek Muling Pagkabuhay(Bibigyang-daan ka nitong harangin ang mga password at naka-encrypt na cookies HTTPS protocol) at alisin Spoof IP/Mac. Maaari mong suriin ang kahon Cookie Killer, salamat sa kanya, ang biktima ay itataboy sa kasalukuyang pahina, halimbawa social network at ang biktima ay kailangang muling ipasok ang password, at haharangin namin ito. Ihambing ang mga setting sa larawan.

SpoilerTarget">Spoiler

6. I-click ang button sa itaas Simulan/ihinto ang pagsinghot(tatsulok), sa parehong window mag-click sa icon ng radiation sa ibaba Simulan/Ihinto ang ARP Poison. Pumunta tayo sa tab Password mode at i-right-click sa window at piliin Ipakita ang Cookies(“Ito ay magbibigay-daan sa cookies at mga password na ipinasok ng mga biktima na maipakita”)
Iyon lang, naghihintay kami na may magpasok ng password. Minsan nangyayari na ang Internet ay huminto sa pagtatrabaho, subukang subukang i-access ang Internet sa iyong sarili, kung hindi ito gumana, i-restart ang programa.
Napansin ko na hindi laging posible na maharang ang isang password, ngunit sa katunayan ito ay gumagana halos nang walang pagkabigo.

Interceptor ay isang multifunctional network tool na nagbibigay-daan sa iyong makakuha ng data mula sa trapiko (mga password, instant messenger message, sulat, atbp.) at magpatupad ng iba't ibang pag-atake sa MiTM.

Intercepter ng programa
Pangunahing pag-andar

• Pagharang ng mga instant messenger na mensahe.
• Pagharang ng cookies at password.
• Interception ng aktibidad (mga pahina, file, data).
• Kakayahang madaya ang mga pag-download ng file sa pamamagitan ng pagdaragdag ng mga nakakahamak na file. Maaaring gamitin kasabay ng iba pang mga utility.
• Pinapalitan ang mga sertipiko ng Https ng Http.

Mga mode ng pagpapatakbo
Messenger Mode– nagbibigay-daan sa iyong suriin ang mga sulat na ipinadala sa hindi naka-encrypt na form. Ginamit ito upang ma-intercept ang mga mensahe sa mga instant messenger gaya ng mga mensahe ng ICQ, AIM, JABBER.

Ressurection Mode– pagbawi ng kapaki-pakinabang na data mula sa trapiko, mula sa mga protocol na nagpapadala ng trapiko sa bukas na anyo. Kapag ang isang biktima ay tumingin ng mga file, pahina, o data, maaari silang bahagyang o ganap na maharang. Bilang karagdagan, maaari mong tukuyin ang laki ng mga file upang hindi ma-download ang programa sa maliliit na bahagi. Maaaring gamitin ang impormasyong ito para sa pagsusuri.

Mode ng Password– mode para sa pagtatrabaho sa cookies. Sa ganitong paraan, posibleng makakuha ng access sa mga binisita na file ng biktima.

Scan mode- pangunahing mode para sa pagsubok. Upang simulan ang pag-scan, kailangan mong i-right-click ang Smart Scan. Pagkatapos ng pag-scan, ang lahat ng kalahok sa network ay ipapakita sa window, ang kanilang operating system at iba pang mga parameter.

Bukod pa rito, sa mode na ito maaari mong i-scan ang mga port. Dapat mong gamitin ang function na Scan Ports. Siyempre, mayroong higit pang mga functional na kagamitan para dito, ngunit ang pagkakaroon ng function na ito ay isang mahalagang punto.

Kung interesado kami sa isang naka-target na pag-atake sa network, pagkatapos pagkatapos ng pag-scan kailangan naming idagdag ang target na IP sa Nat gamit ang command (Idagdag sa Nat). Sa isa pang window posible na magsagawa ng iba pang mga pag-atake.

Nat Mode. Ang pangunahing mode, na nagpapahintulot sa iyo na magsagawa ng isang bilang ng mga pag-atake sa pamamagitan ng ARP. Ito ang pangunahing window na nagbibigay-daan sa mga naka-target na pag-atake.

DHCP mode. Ito ay isang mode na nagbibigay-daan sa iyong itaas ang iyong DHCP server upang ipatupad ang mga pag-atake ng DHCP sa gitna.

Ilang uri ng pag-atake na maaaring isagawa
Panggagaya ng site

Upang madaya ang website ng biktima, kailangan mong pumunta sa Target, pagkatapos nito kailangan mong tukuyin ang site at ang pagpapalit nito. Sa ganitong paraan maaari mong palitan ang napakaraming site. Ang lahat ay nakasalalay sa kung gaano kataas ang kalidad ng pekeng.

Panggagaya ng site

Halimbawa para sa VK.com

Pagpili ng pag-atake ng MiTM

​

Pagbabago ng panuntunan sa pag-iniksyon
Bilang resulta, ang biktima ay nagbukas ng pekeng website kapag humihiling ng vk.com. At sa password mode dapat mayroong login at password ng biktima:

Upang magsagawa ng naka-target na pag-atake, kailangan mong pumili ng biktima mula sa listahan at idagdag ito sa target. Magagawa ito gamit ang kanang pindutan ng mouse.

Pagdaragdag ng mga pag-atake ng MiTm
Magagamit mo na ngayon ang Ressurection Mode para mabawi ang iba't ibang data mula sa trapiko.

Mga file at impormasyon ng biktima sa pamamagitan ng pag-atake ng MiTm
Panggagaya sa trapiko

Pagtukoy sa Mga Setting
Pagkatapos nito, ang kahilingan ng biktima ay mababago mula sa "tiwala" sa "talo".

Bilang karagdagan, maaari mong patayin ang cookies upang ang biktima ay mag-log out sa lahat ng mga account at mag-log in muli. Ito ay magbibigay-daan sa iyo na maharang ang mga login at password.

Pagsira ng cookies

Paano makita ang isang potensyal na sniffer sa network gamit ang Intercepter?
Gamit ang opsyong Promisc Detection, maaari mong makita ang isang device na nag-ii-scan sa lokal na network. Pagkatapos ng pag-scan, ang column ng status ay magpapakita ng "Sniffer". Ito ang unang paraan upang makita ang pag-scan sa isang lokal na network.

Sniffer Detection
SDR HackRF Device

​

HackRF
Ang SDR ay isang uri ng radio receiver na nagbibigay-daan sa iyong magtrabaho sa iba't ibang mga parameter ng radio frequency. Kaya, posibleng ma-intercept ang signal ng Wi-Fi, GSM, LTE, atbp.

Ang HackRF ay isang buong SDR device para sa $300. Ang may-akda ng proyekto, si Michael Ossman, ay bumubuo ng mga matagumpay na aparato sa direksyong ito. Ang Ubertooth Bluetooth sniffer ay dati nang binuo at matagumpay na naipatupad. Ang HackRF ay isang matagumpay na proyekto na nakataas ng higit sa 600 libo sa Kickstarter. Naibenta na ang 500 ganoong device para sa beta testing.

Gumagana ang HackRF sa saklaw ng dalas mula 30 MHz hanggang 6 GHz. Ang dalas ng sampling ay 20 MHz, na nagbibigay-daan sa iyo na humarang ng mga signal mula sa mga Wi-FI at LTE network.

Paano protektahan ang iyong sarili sa lokal na antas?
Una, gamitin natin ang software ng SoftPerfect WiFi Guard. Kumain portable na bersyon, na tumatagal ng hindi hihigit sa 4 MB. Pinapayagan ka nitong i-scan ang iyong network at ipakita kung anong mga device ang ipinapakita dito. Mayroon itong mga setting na nagbibigay-daan sa iyong pumili network card at ang maximum na bilang ng mga na-scan na device. Bukod pa rito, maaari mong itakda ang agwat ng pag-scan.

​

Ang interface ng programa ng SoftPerfect WiFi Guard
Pagkatapos ng pag-scan, ang programa ay nagpapadala ng mga abiso hangga't mayroon hindi kilalang mga device. Nagbibigay-daan ito sa amin na magdagdag at markahan ang mga pinagkakatiwalaang user at mapansin kung may nakakonekta at nagsimulang makinig sa trapiko. Ang mga abiso ay ipapadala pagkatapos ng bawat agwat ng pag-scan. Nagbibigay-daan ito sa iyo na huwag paganahin ang isang partikular na scammer sa router kung may mga kahina-hinalang aktibidad.

​

Mga setting ng programa ng SoftPerfect WiFi Guard

​

Kakayahang magdagdag ng mga komento para sa mga gumagamit

​

Notification window para sa mga hindi pamilyar na device pagkatapos ng bawat tinukoy na agwat ng pag-scan

Konklusyon
Kaya, isinasaalang-alang namin sa pagsasanay kung paano gamitin software para ma-intercept ang data sa loob ng network. Tiningnan namin ang ilang partikular na pag-atake na nagbibigay-daan sa iyong makakuha ng data sa pag-login, pati na rin ang iba pang impormasyon. Bukod pa rito, tiningnan namin ang SoftPerfect WiFi Guard, na nagbibigay-daan sa iyong protektahan sa primitive na antas lokal na network mula sa pakikinig sa trapiko.

Ang mga gumagamit ng Internet ay napakawalang-ingat na ang pagkawala ng kumpidensyal na data ay kasingdali ng paghihimay ng mga peras. Ang publikasyong 42.tut ay nagsagawa ng eksperimento upang ipakita kung gaano karaming “butas” ang nasa publiko Mga Wi-Fi network. Ang konklusyon ay nakakabigo: sinumang walang espesyal na kasanayan at kaalaman ay maaaring lumikha ng isang kumpletong dossier tungkol sa isang tao na gumagamit lamang ng isang bukas na wireless network.

Nag-install kami ng ilang application para sa eksperimento. Nag-iiba sila sa pag-andar, ngunit ang kanilang kakanyahan ay pareho - upang kolektahin ang lahat ng bagay na dumadaan sa network kung saan nakakonekta ang device. Wala sa mga programa ang nagpoposisyon sa kanilang sarili bilang "pirated", "hacker" o ilegal - maaari silang ma-download online nang walang anumang problema. Isinagawa ang eksperimento sa isang shopping center na may libreng Wi-Fi.

pagharang

Kumonekta kami sa Wi-Fi: walang password, ang pangalan ng network ay naglalaman ng salitang "libre". Nagsisimula kami sa pag-scan, ang isa sa mga programa ay agad na nakahanap ng 15 na koneksyon sa network. Para sa lahat, makikita mo ang IP address, MAC address, para sa ilan - ang pangalan ng tagagawa ng device: Sony, Samsung, Apple, LG, HTC...

Nahanap namin ang laptop na "biktima" sa mga device. Kumonekta kami dito - ang data na dumadaan sa network ay nagsisimulang lumitaw sa screen. Ang lahat ng impormasyon ay nakabalangkas ayon sa oras;

Pagkakakilanlan ng gumagamit

Patuloy kaming nanonood. Ang isang online na laro ay malinaw na nagsimula sa laptop ng kanyang kasosyo: ang mga utos ng programa ay patuloy na ipinapadala sa network, ang impormasyon tungkol sa sitwasyon sa larangan ng digmaan ay natatanggap. Maaari mong makita ang mga palayaw ng iyong mga kalaban, ang kanilang mga antas ng laro at marami pang iba.

Dumating ang isang mensahe mula sa "VKontakte". Sa isa sa mga detalyadong detalye ng mensahe, nakita namin na ang user ID ay makikita sa bawat isa sa kanila. Kung i-paste mo ito sa browser, magbubukas ang account ng taong nakatanggap ng mensahe.

Ang "biktima" ay sa oras na ito ay nagsusulat ng tugon sa mensahe, at malinaw na walang ideya na kami ay nakatitig sa mga larawan sa kanyang account nang buong lakas. Ang isa sa mga application ng social network ay nagbibigay ng isang senyas - maaari naming pakinggan ang tunog na ito sa player.

Mga password at mensahe

Ang mga larawan at tunog ay hindi lahat na maaaring "ilipat" sa available na Wi-Fi. Halimbawa, ang isa sa mga programa ay may hiwalay na tab upang subaybayan ang mga sulat sa mga social network at instant messenger. Ang mga mensahe ay decrypted at pinagsunod-sunod ayon sa oras ng pagpapadala.

Ang pagpapakita ng sulat ng ibang tao ay higit sa mabuti at masama. Ngunit ito ay gumagana. Bilang isang paglalarawan, narito ang bahagi ng diyalogo ng may-akda ng teksto, na nakuha ng computer sa pagsubaybay mula sa "biktima" na aparato.

Ang isa pang programa ay hiwalay na "nag-iimbak" ng lahat ng cookies at impormasyon ng user, kabilang ang mga password. Sa kabutihang palad, sa naka-encrypt na form, ngunit agad itong nag-aalok upang mag-install ng isang utility na magde-decrypt sa kanila.

Mga konklusyon

Halos anumang impormasyon ay maaaring mawala sa Wi-Fi. Maraming mga pampublikong network ay hindi nagbibigay ng anumang proteksyon, at kung minsan kahit isang password. Nangangahulugan ito na maaaring harangin ng sinuman ang trapiko ng mga kasamahan, kaibigan o estranghero.

Ang pinaka-maaasahang paraan sa sitwasyong ito ay isa: huwag magpadala ng anuman mahalagang impormasyon sa pamamagitan ng mga pampublikong network. Halimbawa, huwag magpadala ng mga numero ng telepono at password sa mga mensahe at huwag magbayad gamit ang card ng pagbabayad sa labas ng bahay. Ang panganib ng pagkawala ng personal na data ay napakataas.