Очень распространенная задача, которая возникает при анализе работы какого-то протокола или при проведении атак, — это подменить в передаваемом трафике данные. Есть, например, клиентская программа, которая коннектится к серверу, и у них происходит обмен данными. Ну а нам надо что-то в них поменять. Решений, конечно, масса. Например, Ettercap и его фильтры (о которых я писал года три назад) или классический TCP-прокси.
Хотя самым быстрым решением будет тулза netsed (автор которой Михал Залевский). Плюс ее (кроме того, что она входит в поставку с BackTrack) в том, что она проста. По сути, это мини-портфорвардер с функцией подстановки строк.
Все, что требуется, — указать в консоли: протокол, локальный порт, IP удаленного хоста, удаленный порт, а далее — набор правил (одно или несколько). Например:
netsed tcp 8080 192.168.0.1 80 's/victim/hacked/2'
Здесь мы указываем, чтобы программка слушала 8080-й порт и переправляла данные на сервер на 80-й порт, заменяя в первых двух пакетах строку victim на hacked.
Как уже говорилось, правил может быть много, применяются они последовательно и, что самое приятное, можно менять и бинарщину. Для этого надо указать подменяемые данные в урленкоженном виде (%+HEX). Например:
netsed tcp 8080 192.168.0.1 80 's/%00/%ff' 's/%01%02%03/%00%00%00'
Очень удобно и прикольно получается. Единственная приличная проблема в том, что если подменяемая строка меньше/больше исходной, то может разойтись размерность пакетов и они будут некорректно обработаны (но это зависит от протокола).
Еще одним решением, чем-то похожим, будет тулза HexInject. Но по использованию она заметно отличается. В ней разделены функции сниффера и функции инжектора. То есть для того, чтобы выполнить первую задачу замены строки, надо будет сделать примерно следующее:
hexinject -s -i eth0 -c 2 | replace ' 76 69 63 74 69 6d''68 61 63 6b 65 72' | hexinject -p -i eth0
Здесь первый hexinject соснифает первые два пакета трафика на интерфейсе eth0 и далее передаст данные стандартной команде replace. Она заменит строку и запустит hexinject, но уже на инжект данных. Вообще, в данном случае возможностей у нас существенно больше, так как есть все
возможности внешних команд и тулз, а они в nix’ах очень широки. Вероятно, поэтому она попала в новую версию BackTrack — в Kali Linux.
Кроме того, приличный плюс еще есть в том, что мы можем, используя параметр -f, указывать классические pcap-фильтры для перехватываемых данных. Например, «host 192.168.0.100 and port 80» позволит нам видеть только HTTP-трафик с определенным хостом.
Кроме того, HexInject имеет возможность работать с чистым Wi-Fi-трафиком, а также с USB. Подход к ним аналогичен. И мне кажется, что это шикарно.
Другие материалы по MITM атака вы можете прочитать здесь
Чтобы взломать сеть Wi-Fi с помощью Kali Linux, вам нужна беспроводная карта, поддерживающая режим мониторинга…
Работа с консолью считается более эффективной, чем работа с графическим интерфейсом по нескольким причинам.Во-первых, ввод…
Конечно, вы также можете приобрести подписку на соответствующую услугу, но наличие SSH-доступа к компьютеру с…
С тех пор как ChatGPT вышел на арену, возросла потребность в поддержке чата на базе…
Если вы когда-нибудь окажетесь в ситуации, когда вам нужно взглянуть на спектр беспроводной связи, будь…
Elastic Security стремится превзойти противников в инновациях и обеспечить защиту от новейших технологий злоумышленников. В…
View Comments