Работа с программой Wireshark, несколько примеров для понятия безопасности в сети интернет. Игорь найдьонов Сниффинг данных в других программах

И автоматически их запускает, благодаря чему и достигается обход HTTPS / HSTS. С mitmAP в этот процесс не нужно вникать, но если вы хотите сделать что-то подобное, например, с create_ap , то ознакомьтесь с «Инструкцией по использованию SSLStrip+ и dns2proxy для обхода HSTS ».

mitmAP позволяет практически без ввода команд (и понимания механизма обхода HTTPS) использовать самые эффективные на сегодняшний момент способы понижения HTTPS до HTTP. В моих тестах пароль в открытом виде передавался для vk.com, yandex.ru, mail.ru.

Этот скрипт сделан в двух вариантах - для работы в Kali Linux или в Raspberry PI .

Скрипт должен работать на производных Debian, если установить зависимости; но не будет работать, например, в Arch Linux / BlackArch из-за выбранного автором способа запуска служб.

Инструкция по использованию mitmAP

Скачайте скрипт:

Git clone https://github.com/xdavidhu/mitmAP.git cd mitmAP/

Запустите его:

Sudo python3 mitmAP.py

Скрипт начнёт с вопроса:

[?] Install/Update dependencies? Y/n:

Перевод: установить / обновить зависимости?

Если запускаете первый раз, то согласитесь, т.е. нажмите Enter. В дальнейшем можно выбирать n (нет).

Следующий вопрос:

[?] Please enter the name of your wireless interface (for the AP):

Перевод: введите имя вашего беспроводного интерфейса (для ТД). Если вы не знаете имя ваших интерфейсов, то в другом окне выполните команду:

Она покажет все сетевые интерфейсы вашей системы. А команда

Sudo iw dev

покажет только беспроводные сетевые интерфейсы.

В Kali Linux беспроводной интерфейс обычно называется wlan0 (а если их два, то второй имеет имя wlan1).

[?] Please enter the name of your internet connected interface:

Перевод: пожалуйста, введите имя интерфейса, подключённого к Интернету.

В Kali Linux проводной интерфейс обычно называется eth0 . Также для подключения к Интернету можно использовать вторую Wi-Fi карту.

[?] Use SSLSTRIP 2.0? Y/n:

Перевод: скрипт спрашивает, использовать ли SSLStrip+ . В настоящее время, когда значительная, если уже не большая, часть трафика передаётся через HTTPS (в зашифрованном виде), эта опция крайне рекомендуется.

[?] Create new HOSTAPD config file at "/etc/hostapd/hostapd.conf" Y/n:

Перевод: Создать ли новый конфигурационный файл hostapd.

Если запускаете первый раз, то это нужно сделать обязательно. При последующих запусках, если вы не собираетесь менять настройки ТД, то можно выбрать n (т.е. «нет»).

Настройка ТД:

[?] Please enter the SSID for the AP:

Перевод: введите имя для ТД.

[?] Please enter the channel for the AP:

Перевод: введите номер канала ТД.

[?] Enable WPA2 encryption? y/N:

Перевод: включить ли WPA2 шифрование?

Если вы включите шифрование, то для подключения к вашей ТД нужно будет вводить пароль. Для наших целей выбираем «нет».

Последняя настройка ТД:

[?] Set speed limit for the clients? Y/n:

Перевод: установить ли ограничение по скорости для клиентов?

Я выбираю «нет»,

[?] Start WIRESHARK on wlan0? Y/n:

Анализ данных mitmAP

mitmAP выводит перехваченные данные, в том числе логины и пароли в своём главном окне:

В своей папке она создаёт директорию logs с двумя файлами: mitmap-sslstrip.log и mitmap-wireshark.pcap . В первом файле содержаться собранные данные в текстовом виде. А второй предназначен для анализа в программе Wireshark.

Обратите внимание: что при перезапуске программы эти файлы затираются! Т.е. если вы намереваетесь анализировать эти файлы позднее, то вам нужно позаботиться об их перемещении или переименовании, иначе они будут просто удалены.

Если вы выбрали запуск окна Wireshark и отображение передаваемых изображений с помощью Driftnet , то вы также их сможете использовать для мониторинга передаваемых данных в реальном времени.

Анализ данных в Wireshark

Wireshark имеет очень детальный фильтр данных, с его разнообразием вы сможете ознакомиться на страничке официальной документации

Приведу примеры нескольких ходовых фильтров.

Для отображения в Wireshark всех HTTP запросов, переданных методом POST:

Http.request.method == "POST"

Для отображения данных переданных или полученных с определённого домена (вместо введите интересующий домен, например, vk.com):

Http.host==""

Для поиска строки во всём потоке передаваемых данных используется следующий фильтр (вместо <строка> введите строку, которую вы хотите искать):

Frame contains "<строка>"

Для отображения кукиз в Wireshark:

Http.cookie

Если вас интересует кукиз с определёнными именем, то используйте:

Http.cookie contains "<имя_куки>"

Для показа запросов в Wireshark, переданных методом GET или POST:

Http.request.uri contains "?" or http.request.method=="POST"

Если вы хотите найти данные обмена с FTP сервером, то в Wireshark можете использовать один из следующих фильтров:

Tcp.port==21 || tcp.port==20

Сниффинг данных в других программах

Хотя mitmAP задействует интересные программы, вы всегда можете проводить анализ данных другими инструментами. Например, если вы хотите использовать Bettercap , то нужно учитывать, что:

  • ARP спуфинг не нужен
  • Не нужно проводить обнаружение клиентов
  • Не нужно включать SSLStrip.

Т.е. команда может иметь вид:

Sudo bettercap -X -I wlan0 -S NONE --no-discovery

Sudo bettercap -X -I wlan0 -S NONE --no-discovery --proxy --no-sslstrip

Завершение работы mitmAP

Для выключения программы нужно два раза быстро нажать CTRL+C . Напомню, что при повторном запуске программа затрёт файлы с полученными данными. Т.е. вам нужно их переместить в другую папку, если вы хотите позже провести их анализ.

Но некоторые читатели жалуются, что на взлом WPA2 уходит слишком много времени, а защита WPS включена далеко не на всех точках доступа (на мой взгляд, точек с WPS всё ещё достаточно много). Чтобы помочь вам в таких ситуациях, я расскажу о практически гарантированном способе получения пароля от Wi-Fi без всякого взлома с помощью

Скрыто от гостей

.

Этапы стратегии Wifiphisher

Идея заключается в создании , а затем деаутентификации пользователя с его оригинальной точки (для этого подойдёт и DoS-атака). После повторного подключения, он попадёт на вашу поддельную точку доступа с тем же SSID и увидит кажущуюся настоящей веб-страницу запрашивающую пароль из-за «обновления прошивки». Как только пароль будет введён, вы перехватите его и позволите ему использовать злого близнеца, как настоящую точку доступа, чтобы он ничего не заподозрил. Отличный план!

Таким образом, Wifiphisher выполняет следующие действия:

  1. Выкидывает пользователя с настоящей точки доступа.
  2. Позволяет ему войти на вашу поддельную точку доступа.
  3. Демонстрирует пользователю веб-страницу, уведомляющую об успешном «обновлении прошивки» и необходимости повторного ввода учётных данных.
  4. Передаёт хакеру пароль от Wi-Fi, в то время как ничего не подозревающий пользователь продолжает спокойно пользоваться интернетом.
Подобные скрипты не являются чем-то новым, взять хотя бы Airsnarf. Но Wifiphisher выгодно отличается от них своей продвинутостью. Этот автоматический скрипт значительно упрощает вашу работу, однако, при желании, вы всегда можете выполнить вышеописанные шаги и вручную

Для достижения поставленной цели вам понадобиться и два , один из которых способен выполнять инъекцию пакетов. В данном случае, я воспользовался моделью . Вы можете выбрать и другие адаптеры, но прежде чем сделать это, убедитесь, что они совместимы с (поддерживают инъекцию пакетов). Пожалуйста, не жалуйтесь, что у вас ничего не работает, пока не проверите свой беспроводной адаптер и не убедитесь, что он способен совершать инъекцию пакетов. У большинства моделей такая возможность отсутствует.

Ну а теперь, давайте взглянем на Wifiphisher.

Шаг 1: Скачайте Wifiphisher

Для начала, запустите Kali и откройте терминал. Затем скачайте Wifiphisher с

Скрыто от гостей

И распакуйте код.

Kali > tar -xvzf /root/wifiphisher-1.1.tar.gz

На скриншоте ниже видно, что я распаковал исходный код Wifiphisher.

Кроме этого, вы можете скопировать код с GitHub, выполнив следующую команду:

Kali > git clone https://github/sophron/wifiphisher

Шаг 2: Откройте директорию утилиты

Kali > cd wifiphisher-.1.1

Просматривая содержимое этой директории, вы увидите там скрипт wifiphisher.py.

Kali > ls -l

Шаг 3: Запустите скрипт

Вы можете запустить скрипт Wifiphisher, воспользовавшись этой командой:

Kali > python wifiphisher.py

Обратите внимание, что перед названием скрипта я поставил имя интерпретатора – python.

Во время первого запуска, скрипт, скорее всего, сообщит вам, что «hostapd» не найден и предложит его установить. Чтобы начать установку hostapd, введите «y» (да).

После завершения установки, снова выполните скрипт Wifiphisher.

Kali > python wifiphisher.py

На этот раз он запустит веб-сервер на порте 8080 и 443, а затем найдёт все доступные сети Wi-Fi.

После этого вы увидите список всех обнаруженных Wi-Fi сетей на экране. В моём примере утилите удалось найти сеть под названием «wonderhowto». Она и станет целью нашей атаки.

Шаг 4: Начните атаку и получите пароль

Нажмите Ctrl + C на своей клавиатуре, и приложение попросит вас ввести номер точки доступа, которую вы хотите атаковать. В моём случае это точка номер 12.

После нажатия клавиши Enter, Wifiphisher покажет вам страничку, которую вы можете видеть на скриншоте ниже. Это значит, что интерфейс сейчас используется и происходит клонирование SSID и атака выбранной точки доступа.

Пользователь будет отключён от своей точки доступа. Во время повторного подключения он будет направлен на нашу .

Как только это произойдёт, прокси на веб-сервере перехватит запрос и подсунет пользователю поддельную страничку входа, информирующую об установке новой версии прошивки маршрутизатора и необходимости повторной аутентификации.

Как видите, я ввёл свой пароль (nullbyte) и нажал Отправить.

Когда пользователь введёт своё пароль, он будет передан вам через открытый терминал Wifiphisher. Затем утилита пропустит пользователя в интернет через вашу систему, дабы он ничего не заподозрил.

Теперь вы сможете получить даже самый сложный пароль от Wi-Fi ! Не забывайте иногда возвращаться к нам за новыми интересными статьями, посвящёнными различным методикам взлома!

    Материал создан не для взлома и захвата личных данных. А с целью дать понять схему и принцип защиты простому пользователю его данных. Если знать схему из нутри то и понять как защитить себя в кафе или других общественных местах, подключившись к любой доступной сети. Скажем как пример WiFi в кафе, возможно все ниже описываемое стоит как уже входящее в штат программ этого кафе. Все это реально, если не убедит статья, попробуйте сделать сами. Если не чего не поймете можете обратиться с просьбой помочь в самом низу статьи в комментарий.

  1. Возьмем один из много численных примеров: Google просит всех Администраторов сайтов, переходить с HTTP на HTTPS тем самым создавая зашифрованные соединения, между клиентом и сервером(Между вами и сайтом). Переходить на HTTPS хостеры(Администраторы сайтов) не торопятся, многие клиенты используют все еще операционную систему Windows XP, которая не поддерживает этот протокол HTTPS а работает на старом HTTP. Тем самым клиенту использующему Windows XP будет попросту не зайти на такой сайт с зашифрованном соединении HTTPS. Одна из причин почему хостеры не используют протокол HTTPS. Ниже идет более подробное описание:
  2. Очень часто они(ваши данные) передаются по сети не в защищенном виде. Поэтому если сайт, на котором вы пытаетесь авторизоваться, использует HTTP протокол, то очень просто выполнить захват этого трафика, проанализировать его с помощью Wireshark и далее с помощью специальных фильтров и программ найти и расшифровать пароль. Но не отчаивайтесь, чтобы ваши пароли перехватить надо подключится к вашей сети. WiFi например надо с начало узнать пароль а уже потом и другие пароли на ваши ресурсы. Почему в данное время много говорят о том что не стоит подключаться к WiFi в кафе или в других не знакомых местах. Потому что ваш трафик пойдет по этой сети, а дальше, что дальше, читайте дальше.
  3. Лучшее место для перехвата паролей – ядро сети, где ходит трафик всех пользователей к закрытым ресурсам (например, почта) или перед маршрутизатором для выхода в Интернет, при регистрациях на внешних ресурсах. Настраиваем зеркало и мы готовы почувствовать себя хакером.

    4. Теперь все по порядку:

    Шаг 1. Устанавливаем и запускаем Wireshark для захвата трафика
  4. Иногда для этого достаточно выбрать только интерфейс, через который мы планируем захват трафика, и нажать кнопку Start. В нашем случае делаем захват по беспроводной сети.
  5. Захват трафика начался.
    6. Шаг 2. Фильтрация захваченного POST трафика
  6. Открываем браузер и пытаемся авторизоваться на каком-либо ресурсе с помощью логина и пароля. По завершению процесса авторизации и открытия сайта мы останавливаем захват трафика в Wireshark. Далее открываем анализатор протоколов и видим большое количество пакетов. Именно на этом этапе большинство ИТ-специалистов сдаются, так как не знают, что делать дальше. Но мы знаем и нас интересуют конкретные пакеты, которые содержат POST данные, которые формируются на нашей локальной машине при заполнении формы на экране и отправляются на удаленные сервер при нажатии кнопки «Вход» или «Авторизация» в браузере.
  7. Вводим в окне специальный фильтр для отображения захваченных пакетов: http.request.method == “POST”
  8. И видим вместо тысячи пакетов, всего один с искомыми нами данными.
    9. Шаг 3. Находим логин и пароль пользователя
  9. Быстрый клик правой кнопки мыши и выбираем из меню пункт Follow TCP Steam
  10. После этого в новом окне появится текст, который в коде восстанавливает содержимое страницы. Найдем поля «password» и «user», которые соответствуют паролю и имени пользователя. В некоторых случаях оба поля будут легко читаем и даже не зашифрованы, но если мы пытаемся захватить трафик при обращении к очень известным ресурсам типа: Mail.ru, Facebook, Вконтакте и т.д., то пароль будет закодирован:
  11. HTTP/1.1 302 Found
  12. Date: Mon, 10 Nov 2014 23:52:21 GMT
  13. Server: Apache/2.2.15 (CentOS)
  14. X-Powered-By: PHP/5.3.3
  15. P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
  16. Set-Cookie: non=non; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
  17. Set-Cookie: password=e4b7c855be6e3d4307b8d6ba4cd4ab91; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
  18. Set-Cookie: scifuser=networkguru; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
  19. Location: loggedin.php
  20. Content-Length: 0
  21. Connection: close
  22. Content-Type: text/html; charset=UTF-8
  23. Таким образом, в нашем случае:
  24. Имя пользователя: networkguru
  25. Пароль:
    26. Шаг 4. Определение типа кодирования для расшифровки пароля
  26. Заходим, например, на сайт и вводим наш пароль в окно для идентификации. Выбираете протокол кодирования:
    27. Шаг 5. Расшифровка пароля пользователя
  27. На данном этапе можем воспользоваться утилитой hashcat:
  28. ~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
  29. На выходе мы получили расшифрованным пароль: simplepassword
  30. Таким образом, с помощью Wireshark мы можем не только решать проблемы в работе приложений и сервисов, но и также попробовать себя в роли хакера, осуществляя перехват паролей, которые пользователи вводят в веб-формах. Также можно узнавать и пароли к почтовым ящикам пользователей, используя незатейливые фильтры для отображения:
  31. Протокол POP и фильтр выглядит следующим образом: pop.request.command == "USER" || pop.request.command == "PASS"
  32. Протокол IMAP и фильтр будет: imap.request contains "login"
  33. Протокол SMTP и потребуется ввод следующего фильтра: smtp.req.command == "AUTH"

    34. Недавно мы опубликовали статью о надежности паролей, а также паролях, которые используются многими пользователями. Большинство людей используют слабые пароли. Но как убедится, что ваш пароль сильный? Взлом паролей - это неотъемлемая часть цифровой криминалистики и тестирования информационной безопасности.

    В этой статье мы собрали лучшие программы для взлома паролей, которые могут использоваться системными администраторами для проверки надежности их паролей. Все утилиты используют различные алгоритмы и применимы к различным ситуациям. Рассмотрим сначала базовую информацию, которая поможет вам понять с чем мы будем иметь дело.

    В области кибербезопасности и криптографии взлом паролей играет очень важную роль. Это процесс восстановления пароля с целью нарушения или восстановления безопасности компьютера или системы. Итак, почему вам нужно узнать программы перебора паролей? В мирных целях можно использовать взлом паролей для восстановления забытых паролей от онлайн аккаунтов, также это используется системными администраторами для профилактики на регулярной основе.

    Для взлома паролей в большинстве случаев используется перебор. Программное обеспечение генерирует различные варианты паролей и сообщает если был найден правильный. В некоторых случаях персональный компьютер способен выдавать миллионы вариантов в секунду. Программа для взлома пароля на пк проверяет все варианты и находит реальный пароль.

    Время, необходимое для взлома пароля пропорционально длине и сложности этого пароля. Поэтому рекомендуется использовать сложные пароли, которые трудно угадать или подобрать. Также скорость перебора зависит от криптографической функции, которая применяется для генерации хэшей пароля. Поэтому для шифрования пароля лучше использовать Bcrypt, а не MD5 или SHA.

    Вот основные способы перебора пароля, которые используются злоумышленниками:

    • Атака по словарю - для атаки используется файл, который содержит список слов. Программа проверяет каждое из слов, чтобы найти результат;
    • Атака Bruteforce - можно не использовать словарь, а перебирать все комбинации заданных символов;
    • Атака с помощью радужных таблиц - в атаке используются предварительно вычисленные хэши, поэтому она быстрее.

    Есть и другие методы взлома паролей, основанные на социальной инженерии, но сегодня мы остановимся только на атаках без участия пользователя. Чтобы защититься от таких атак нужно использовать только сложные пароли. А теперь рассмотрим лучшие инструменты для взлома паролей 2017. Этот список опубликован только для ознакомительных целей и мы ни в коем случае не призываем взламывать чужие личные данные.

    Лучшие программы для перебора паролей

    1. John the Ripper

    John the Ripper - это один из самых популярный инструментов для перебора паролей, доступных абсолютно всем. Он распространяется с открытым исходным кодом и написан на языке программирования Си. Здесь собраны различные методы перебора паролей.

    Программа способна перебирать пароли по сохраненному хэшу, и поддерживает различные алгоритмы хэширования, в том числе есть автоматическое определение алгоритма. John the Ripper относиться к набору инструментов для тестирования безопасности от Rapid7. Кроме Linux поддерживается Windows и MacOS.

    2. Aircrack-ng

    Aircrack-ng - это набор программ для взлома и перехвата паролей от wifi сетей. Программа - одна из лучших, которые используются хакерами. Здесь есть все необходимое для взлома WEP и WPA шифрования, начиная от перехвата хэша, и до получения готового пароля.

    Особенно легко поддается взлому шифрование WEP, для преодоления защиты существуют атаки PMS и PTW, с помощью которых можно взломать этот протокол в считаные минуты при достаточном потоке трафика через сеть. Поэтому всегда используйте WPA2 чтобы быть в безопасности. Тоже поддерживаются все три платформы: Linux, Windows, MacOS.

    3. RainbowCrack

    Как следует из названия, RainbowCrack использует радужные таблицы для взлома хэшей паролей. С помощью уже готовых таблиц утилита очень сильно уменьшает время взлома. Кроме того, есть как графический интерфейс, так и утилиты командной строки.

    После завершения этапа предварительных вычислений этот инструмент работает в сотни раз быстрее чем при обычном переборе. Вам не нужно самим создавать таблицы, разработчики уже создали их для LM, NTLM, MD5 и SHA1. Все доступно бесплатно.

    Еще один важный момент - это ускорение с помощью GPU. С помощью использования видеокарты вы можете снизить время вычисление пароля еще на несколько порядков. Поддерживаются платформы Windows и Linux.

    4. THC Hydra

    В отличие от выше перечисленных программ, Hydra работает по-другому. Она не вычисляет хэши. Вместо этого, программа выполняет атаки перебора на различные сетевые протоколы. Здесь поддерживаются Astrisk, FTP, HTTP, MySQL, XMPP, Telnet, SHH и многие другие. Основная цель утилиты - атаки перебора на форму ввода пароля.

    Этот инструмент помогает исследователям безопасности узнать насколько легко можно получить доступ к удаленной системе. Для расширения функций можно добавлять модули, поддерживается Linux, Windows, Solaris, FreeBSD и MacOS.

    5. HashCat

    По заявлениям разработчиков - это самый быстрый инструмент для перебора паролей. Он распространяется в качестве свободного программного обеспечения и поддерживает такие алгоритмы: md4, md5, LM, SHA, MySQL, Cisco PIX и Unix Crypt.

    Есть версии инструмента для перебора на CPU, а также взлома на основе GPU - oclHashcat и cudaHashcat. Кроме стандартной атаки Bruteforce, поддерживаются атаки по словарю, гибридные атаки по самые, по таблицам, Prince и так далее. Из платформ поддерживаются Windows, Linux и MacOS.

    6. Crowbar

    Crowbar - это популярный инструмент для тестирования безопасности паролей. Другие программы перебора паролей используют логины и пароли пользователей, но crowbar позволяет перебирать ключи SSH.

    Этот инструмент с открытым исходным кодом создан для работы с протоколами, которые редко поддерживаются другими программами. Сейчас поддерживается VNC, OpenVPN, SSP, NLA. Программа может работать на Linux, Windows и MacOS.

    7. coWPAtty

    Это реализация утилиты для перебора пароля от WPA/WPA2 PSK на основе словаря или радужных таблиц. Использование радужных таблиц очень сильно ускоряет работу утилиты. Стандарт PSK используется сейчас очень часто. Радует только то, что перебрать пароль очень сложно, если он был изначально выбран правильным.


    Привет! Пару дней назад нашел программу Intercepter-NG . Как все уже знают - это сниффер трафика для Windows. Раньше я собирал логи с помощью подобной проги и дедика, но пару дней назад решил попробовать не заморачиваться с установкой Windows Server на дед и натравить мой сниффер на прокси. Идея казалась удачной, и даже пробовал писать одному форумчанину в скайп, но платить 100р за способ мне не очень-то хотелось, и я решил сам разобраться в этой схеме..

    Вообщем, что же нам понадобится? Я буду использовать CCProxy и Intercepter-NG .
    Теперь по настройкам:
    CCProxy
    1. Устанавливаем и крякаем (кейген).
    2. Открываем прогу и заходим в Account (см. Скрин):
    2.1 Кто допущен? - Все

    3. Жмем Да, закрываем Accouts и открываем Options
    4. В Options выставляем все как у меня на скрине:

    5. Закрываем Options кнопкой Да и запускаем сервак - жмем Start.

    Теперь насчет Intercepter-NG :
    Тут все просто - качаем прогу и запускаем. Далее в поле (см. скрин) выставляем ваш адаптер, через который вы коннектитесь к интернету.

    Вот и все. Просто и понятно, не правда ли?
    Оффтоп:
    Сначала инфа не очень шустро идет, но спустя минут 30-45 разгоняется очень сильно!