نحوه رهگیری اطلاعات از طریق وای فای اندروید یک راه آسان برای سرقت یک کوکی اقدامات متقابل در برابر استخراج اطلاعات از کوکی ها که در سمت مشتری انجام می شود
کاربران اینترنت به قدری بی توجه هستند که به راحتی داده های محرمانه را از دست می دهند. 42.tut آزمایشی انجام داد تا نشان دهد که در شبکههای Wi-Fi عمومی چند سوراخ وجود دارد. نتیجه ناامید کننده است: هر کسی بدون مهارت و دانش خاص می تواند یک پرونده کامل در مورد شخصی که فقط از یک شبکه بی سیم باز استفاده می کند جمع آوری کند.
برای آزمایش، چندین برنامه نصب شد. آنها از نظر عملکرد متفاوت هستند، اما ماهیت یکسانی دارند - جمع آوری همه چیزهایی که از شبکه ای که دستگاه به آن متصل است می گذرد. هیچ یک از برنامه ها خود را به عنوان "دزدان دریایی"، "هکر" یا غیرقانونی قرار نمی دهند - آنها را می توان بدون مشکل در شبکه بارگیری کرد. این آزمایش در یک مرکز خرید با وای فای رایگان انجام شد.
استراق سمع
ما به Wi-Fi متصل می شویم: هیچ رمز عبوری وجود ندارد، نام شبکه حاوی کلمه "رایگان" است. ما شروع به اسکن می کنیم، یکی از برنامه ها بلافاصله 15 اتصال به شبکه را پیدا می کند. همه می توانند آدرس IP، آدرس MAC را ببینند، برخی از آنها نام سازنده دستگاه را دارند: Sony، Samsung، Apple، LG، HTC…
لپ تاپ "قربانی" را در بین دستگاه ها پیدا می کنیم. ما به آن متصل می شویم - داده هایی که از طریق شبکه عبور می کنند شروع به ظاهر شدن روی صفحه می کنند. تمام اطلاعات بر اساس زمان ساختار یافته است، حتی یک نمایشگر داخلی از داده های رهگیری شده وجود دارد.
شناسایی کاربر
ما به تماشای ادامه می دهیم. بدیهی است که یک بازی آنلاین در لپ تاپ شریک شروع شده است: دستورات برنامه دائماً از شبکه خارج می شوند ، اطلاعاتی در مورد وضعیت در میدان جنگ دریافت می شود. شما می توانید نام مستعار حریفان، سطوح بازی آنها و بسیاری موارد دیگر را مشاهده کنید.
پیام "VKontakte" می آید. در یکی از مشخصات دقیق پیام متوجه می شویم که شناسه کاربری در هر یک از آنها قابل مشاهده است. اگر آن را در مرورگر جایگذاری کنید، حساب شخصی که پیام را دریافت کرده باز می شود.
"قربانی" در این زمان پاسخی به پیام می نویسد و به وضوح متوجه نمی شود که ما با قدرت و اصلی به عکس های موجود در حساب او خیره شده ایم. یکی از برنامه های شبکه اجتماعی یک سیگنال می دهد - ما می توانیم به این صدا در پخش کننده گوش دهیم.
رمزها و پیام ها
عکسها و صداها از همه چیزهایی که میتوان در اختیار Wi-Fi موجود قرار داد بسیار دور است. به عنوان مثال، در یکی از برنامه ها یک تب جداگانه برای ردیابی دقیق مکاتبات در شبکه های اجتماعی و پیام رسان های فوری وجود دارد. پیام ها بر اساس زمان ارسال رمزگشایی و مرتب می شوند.
نشان دادن مکاتبات شخص دیگری فراتر از خیر و شر است. اما کار می کند. به عنوان یک تصویر - بخشی از گفتگوی نویسنده متن که توسط رایانه ردیابی از دستگاه "قربانی" گرفته شده است.
برنامه دیگری به طور جداگانه تمام کوکی ها و اطلاعات کاربر از جمله رمزهای عبور را "پشته" می کند. خوشبختانه، به شکل رمزگذاری شده، اما بلافاصله پیشنهاد می کند یک ابزار نصب کنید که آنها را رمزگشایی می کند.
نتیجه گیری
تقریباً هر اطلاعاتی را می توان از طریق Wi-Fi از دست داد. بسیاری از شبکه های عمومی به هیچ وجه هیچ گونه حفاظتی و حتی گاهی اوقات رمز عبور را نشان نمی دهند. این بدان معنی است که ترافیک همکاران، دوستان یا افراد غریبه می تواند توسط هر کسی رهگیری شود.
مطمئن ترین راه برای خروج از این وضعیت یکی است: هیچ اطلاعات مهمی را از طریق شبکه های عمومی مخابره نکنید. به عنوان مثال تلفن و رمز عبور را در پیام ارسال نکنید و با کارت پرداخت خارج از منزل پرداخت نکنید. خطر از دست دادن اطلاعات شخصی بسیار زیاد است.
سلام دوستان.
همانطور که قول داده بودم، در مورد برنامه Intercepter-ng ادامه می دهم.
امروز یک بررسی در عمل وجود خواهد داشت.
هشدار: تنظیمات را تغییر ندهید یا تنظیمات را بیاحتیاطی فشار ندهید. در بهترین حالت، ممکن است به سادگی کار نکند یا وای فای را قطع کنید. و من موردی داشتم که تنظیمات روتر ریست شده بود. پس فکر نکنید که همه چیز بی ضرر است.
و حتی با تنظیمات مشابه من به این معنی نیست که همه چیز به آرامی کار خواهد کرد. در هر صورت، برای موارد جدی، باید عملکرد همه پروتکل ها و حالت ها را مطالعه کنید.
شروع کنیم؟
رهگیری کوکی ها و رمزهای عبور
بیایید با رهگیری کلاسیک رمزهای عبور و کوکی ها شروع کنیم، در اصل، فرآیند مانند مقاله رهگیری رمزهای عبور از طریق WiFi و رهگیری کوکی ها از طریق Wi Fi است، اما من دوباره آن را با توضیحات بازنویسی می کنم.
به هر حال، آنتی ویروس ها اغلب می توانند چنین مواردی را شلیک کنند و رهگیری داده ها را از طریق Wi FI کاهش دهند
اگر قربانی در یک دستگاه اندروید یا IOS است، اگر قربانی در یک کلاینت اجتماعی برای VK باشد، فقط میتوانید از آنچه قربانی فقط در مرورگر وارد میکند قانع باشید (گذرواژه، سایتها، کوکیها) توقف کار. در آخرین نسخه Intercepter NG می توانید با تعویض گواهی قربانی مشکل را حل کنید. بیشتر در این مورد بعدا.
برای شروع، به طور کلی تصمیم بگیرید که چه چیزی باید از قربانی بگیرید؟ شاید به رمز عبور از شبکه های اجتماعی یا شاید فقط از سایت ها نیاز داشته باشید. ممکن است کوکی ها برای شما کافی باشد تا بتوانید فوراً زیر دست قربانی بروید و کاری انجام دهید یا برای ذخیره در آینده به رمزهای عبور نیاز دارید. آیا نیاز به تجزیه و تحلیل بیشتر تصاویر مشاهده شده توسط قربانی و برخی از صفحات دارید یا به این زباله ها نیاز ندارید؟ آیا می دانید که قربانی قبلاً وارد سایت شده است (از قبل در طول انتقال مجاز شده است) یا هنوز داده های خود را وارد می کند؟
اگر نیازی به دریافت تصاویر از منابع بازدید شده، بخش هایی از فایل های رسانه ای و دیدن برخی از سایت های ذخیره شده در یک فایل html نیست، در تنظیمات - Ressurection غیرفعال کنید. این مقدار بار روی روتر را کمی کاهش می دهد.
چه چیزی را می توان در تنظیمات فعال کرد - اگر از طریق کابل اترنت متصل هستید، باید Spoof Ip / mac را فعال کنید. همچنین کوکی کش را فعال کنید (به بازنشانی کوکی ها کمک می کند تا قربانی از سایت خارج شود). کشنده کوکی مربوط به SSL Strip Attack است، بنابراین فراموش نکنید که آن را فعال کنید.
همچنین بهتر است Promiscious (حالت تصادفی) فعال شود، که امکان رهگیری بهتر را فراهم می کند، اما همه ماژول ها از آن پشتیبانی نمی کنند ... حالت افراطی (حالت افراطی) قابل صرف نظر است. با آن، گاهی اوقات پورت های بیشتری را رهگیری می کند، اما اطلاعات اضافی + بارگذاری ...
ابتدا رابطی را از بالا که از طریق آن به اینترنت متصل هستید و نوع اتصال Wi-Fi یا Ethernet را در صورت اتصال از طریق کابل به روتر انتخاب کنید.
در حالت اسکن، روی یک قسمت خالی کلیک راست کرده و روی Smart Scan کلیک کنید. تمام دستگاه های موجود در شبکه اسکن می شوند، باقی مانده است که قربانیان لازم را به Add nat اضافه کنید.
یا می توانید یک IP را قرار دهید، به تنظیمات - حالت متخصص بروید و جعبه سم Auto ARP را علامت بزنید، در این صورت برنامه همه کسانی که متصل هستند و به شبکه متصل هستند را اضافه می کند.
برای ما باقی مانده است که به حالت Nat برویم.
روی configure mitms کلیک کنید، در اینجا SSL mitm و SSL strip مفید هستند.
SSL mitmفقط به رهگیری داده ها اجازه می دهد، اگرچه بسیاری از مرورگرها به آن واکنش نشان می دهند و به قربانی هشدار می دهند.
نوار SSLبه قربانی این امکان را می دهد که از پروتکل امن Https به HTTP سوئیچ کند و همچنین کوکی کش کار کند.
ما به هیچ چیز دیگری نیاز نداریم، روی start arp poison (نماد تشعشع) کلیک کنید و منتظر باشید تا قربانی فعال شود.
در قسمت پسورد حالت کلیک راست کرده و Show coolies را بزنید. سپس می توانید روی کوکی کلیک راست کرده و به آدرس کامل بروید.
به هر حال، اگر قربانی در شبکه های اجتماعی باشد، به احتمال زیاد مکاتبات فعال او در حالت مسنجر ظاهر می شود.
Http inject (فایل را برای قربانی ارسال کنید).
امم، گزینه بسیار شیرین.
شما می توانید قربانی را برای دانلود فایل لغزش دهید. ما فقط می توانیم امیدوار باشیم که قربانی پرونده را اجرا کند. برای اعتبار، پس از تجزیه و تحلیل سایتهایی که قربانی بازدید میکند، چیزی شبیه بهروزرسانی منتشر کنید.
به عنوان مثال، اگر قربانی در VK است، نام فایل را vk.exe بگذارید. شاید قربانی شروع به تصمیم گیری کند که این مفید است.
بیا شروع کنیم.
![](https://i0.wp.com/teralex.ru/wp-content/uploads/2016/04/2016-04-21_13h35_08.png)
حالت Brute Force.
نحوه شمارش و انتخاب پسورد رمزهای عبور.
یکی از راههای استفاده از آن، دسترسی ساده به پنل مدیریت روتر است. و همچنین برخی از پروتکل های دیگر.
برای بروتوس شما نیاز دارید
در سرور Target، درایو در آی پی روتر، پروتکل telnet، نام کاربری نام کاربری است، در مورد ما Admin.
در پایین دکمه ای وجود دارد که پوشه ای روی آن کشیده شده است، روی آن کلیک کرده و لیست رمزهای عبور را باز می کنید (در پوشه ای که برنامه، misc/pwlist.txt لیستی از رمزهای عبور پرکاربرد وجود دارد، یا می توانید از آن استفاده کنید. لیست خودتان).
پس از بارگیری پرس ها شروع به کار می کنند (مثلث) و به نوشیدن چای می روند.
اگر مطابقت وجود داشته باشد (رمز عبور انتخاب شده است)، برنامه متوقف می شود.
شما باید نام کاربری را بدانید. اما اگر می خواهید به روتر دسترسی داشته باشید، ادمین استاندارد را امتحان کنید.
چگونه یک بروت درست کنیم.
تعویض ترافیک (تعویض ترافیک).
عملکرد بیشتر یک شوخی است. می توانید آن را طوری تغییر دهید که قربانی با ورود به یک سایت به سایت دیگری که وارد می شوید برود.
در حالت ترافیک یک درخواست را در سمت چپ وارد می کنیم، نتیجه را در سمت راست، اما با همان تعداد حروف و علامت، در غیر این صورت جواب نمی دهد.
مثال - در سمت چپ درخواست قابل تغییر را پر می کنیم، در سمت راست به آن نیاز داریم - test1 را به test2 تغییر می دهیم. (تیک Disable HTTP gzip).
پس از وارد کردن، ADD و سپس OK را فشار دهید.
در نهایت، یک ویدیو در مورد نحوه رهگیری داده های IOS از کلاینت ها، زیرا همانطور که می دانید در طول حمله Mitm، برنامه های آنها به سادگی کار نمی کنند.
به زودی ویدیویی در مورد آنچه در مقاله نوشته شده است فیلمبرداری خواهم کرد.
این رهگیری اطلاعات Wi FI بود.
اساساً همین است. چیزی برای اضافه کردن وجود دارد - بنویسید، چیزی برای اصلاح وجود دارد، فقط بنویسید.
دوباره می بینمت.
بیسکویت ها - اطلاعات در قالب یک فایل متنی که توسط وب سایت در رایانه کاربر ذخیره می شود. حاوی داده های احراز هویت (ورود به سیستم/رمز عبور، شناسه، شماره تلفن، آدرس صندوق پست)، تنظیمات کاربر، وضعیت دسترسی. در نمایه مرورگر ذخیره می شود.
هک کوکی دزدی (یا "ربایش") جلسه بازدیدکننده به یک منبع وب است. اطلاعات محرمانه نه تنها برای فرستنده و گیرنده، بلکه برای شخص ثالث - شخصی که رهگیری کرده است، در دسترس قرار می گیرد.
ابزارها و تکنیک های هک کوکی ها
سارقان رایانه، مانند همکاران خود در زندگی واقعی، علاوه بر مهارت، مهارت و دانش، البته، ابزارهای خاص خود را نیز دارند - نوعی زرادخانه از کلیدها و پروب های اصلی. بیایید با محبوب ترین ترفندهای هکرها آشنا شویم که از آنها برای گرفتن کوکی از ساکنان اینترنت استفاده می کنند.
اسنیفرها
برنامه های ویژه برای نظارت و تجزیه و تحلیل ترافیک شبکه. نام آنها از فعل انگلیسی "sniff" (sniff) گرفته شده است، زیرا. بسته های ارسالی بین گره ها به معنای واقعی کلمه "بو کشیدن" است.
اما مهاجمان از یک sniffer برای رهگیری دادههای جلسه، پیامها و سایر اطلاعات محرمانه استفاده میکنند. هدف حملات آنها عمدتاً شبکه های ناامن هستند، جایی که کوکی ها در یک جلسه HTTP باز ارسال می شوند، یعنی عملاً رمزگذاری نمی شوند. (وای فای عمومی آسیب پذیرترین است.)
روش های زیر برای تزریق sniffer به کانال اینترنت بین میزبان کاربر و وب سرور استفاده می شود:
- "گوش دادن" به رابط های شبکه (هاب ها، سوئیچ ها)؛
- انشعاب و کپی ترافیک؛
- اتصال به قطع کانال شبکه؛
- تجزیه و تحلیل از طریق حملات ویژه که ترافیک قربانی را به یک sniffer هدایت می کند (MAC-spoofing، IP-spoofing).
مخفف XSS مخفف Cross Site Scripting است. برای حمله به وب سایت ها به منظور سرقت اطلاعات کاربران استفاده می شود.
روش کار XSS به شرح زیر است:
- یک مهاجم کد مخرب (یک اسکریپت پوشانده شده ویژه) را به صفحه وب سایت، انجمن یا پیامی (به عنوان مثال، هنگام چت در یک شبکه اجتماعی) تزریق می کند.
- قربانی وارد صفحه آلوده شده و کد نصب شده را روی رایانه شخصی خود فعال می کند (کلیک می کند، پیوند را دنبال می کند و غیره).
- به نوبه خود، کد مخرب فعال شده، داده های محرمانه کاربر را از مرورگر (به ویژه کوکی ها) "استخراج" می کند و آنها را به وب سرور مهاجم ارسال می کند.
هکرها برای «کاشتن» مکانیزم نرمافزاری XSS از انواع آسیبپذیریها در سرورهای وب، سرویسهای آنلاین و مرورگرها استفاده میکنند.
تمام آسیب پذیری های XSS به دو نوع تقسیم می شوند:
- منفعل. حمله با پرس و جو از یک اسکریپت صفحه وب خاص به دست می آید. کدهای مخرب را می توان به اشکال مختلف در یک صفحه وب (مثلاً به نوار جستجو در یک سایت) تزریق کرد. مستعدترین نسبت به XSS غیرفعال منابعی هستند که تگ های HTML را هنگام رسیدن داده ها فیلتر نمی کنند.
- فعال. مستقیماً روی سرور قرار دارد. و در مرورگر قربانی فعال می شوند. آنها به طور فعال توسط کلاهبرداران در وبلاگ ها، چت ها و فیدهای خبری مختلف استفاده می شوند.
هکرها با دقت اسکریپت های XSS خود را "استتار" می کنند تا قربانی به چیزی مشکوک نشود. آنها پسوند فایل را تغییر می دهند، کد را به عنوان تصویر ارسال می کنند، آنها را تشویق می کنند که پیوند را دنبال کنند، آنها را با محتوای جالب جذب می کنند. در نتیجه: یک کاربر رایانه شخصی که با کنجکاوی خود کنار نیامده است، با دست خود (با کلیک ماوس) کوکی های جلسه (با ورود به سیستم و رمز عبور!) را برای نویسنده اسکریپت XSS - یک شرور رایانه ارسال می کند.
جعل کوکی
همه کوکیها بدون هیچ تغییری - به شکل اصلی - با همان مقادیر، رشتهها و سایر دادهها، ذخیره میشوند و به سرور وب (که از آنجا آمدهاند) ارسال میشوند. اصلاح عمدی پارامترهای آنها را جعل کوکی می گویند. به عبارت دیگر، هنگامی که یک کوکی جعل می شود، مهاجم در فکر آرزو است. به عنوان مثال، هنگام پرداخت در یک فروشگاه آنلاین، مقدار پرداخت در کوکی به یک سمت کوچکتر تغییر می کند - بنابراین "پس انداز" در خرید وجود دارد.
کوکیهای جلسه دزدیده شده در یک شبکه اجتماعی از حساب شخص دیگری در جلسه دیگری و در رایانه شخصی دیگر "درج" میشوند. مالک کوکی های دزدیده شده تا زمانی که قربانی در صفحه خود باشد، به حساب قربانی (مکاتبات، محتوا، تنظیمات صفحه) دسترسی کامل دارد.
"ویرایش" کوکی ها با استفاده از موارد زیر انجام می شود:
- توابع "مدیریت کوکی ها ..." در مرورگر Opera.
- افزونهها مدیر کوکیها و مدیر کوکی پیشرفته برای فایرفاکس.
- ابزارهای IECookiesView (فقط برای اینترنت اکسپلورر)؛
- ویرایشگر متن مانند AkelPad، NotePad یا Notepad ویندوز.
دسترسی فیزیکی به داده ها
یک طرح بسیار ساده برای پیاده سازی، شامل چندین مرحله است. اما تنها در صورتی مؤثر است که رایانه قربانی با یک جلسه باز، به عنوان مثال، Vkontakte، بدون مراقبت رها شود (و برای مدت طولانی!):
- یک تابع جاوا اسکریپت در نوار آدرس مرورگر وارد می شود و تمام کوکی های ذخیره شده را نمایش می دهد.
- پس از فشار دادن "ENTER" همه آنها در صفحه ظاهر می شوند.
- کوکی ها کپی می شوند، در یک فایل ذخیره می شوند و سپس به یک درایو فلش منتقل می شوند.
- در رایانه دیگری، کوکیها در جلسه جدیدی جایگزین میشوند.
- دسترسی به حساب قربانی باز می شود.
به عنوان یک قاعده، هکرها از ابزارهای فوق (+ ابزارهای دیگر) هم به صورت ترکیبی (زیرا سطح حفاظت در بسیاری از منابع وب بسیار بالا است) و هم به طور جداگانه (زمانی که کاربران بیش از حد ساده لوح هستند) استفاده می کنند.
XSS + sniffer
- یک اسکریپت XSS ایجاد می شود که آدرس sniffer آنلاین (محصول خود یا یک سرویس خاص) را مشخص می کند.
- کد مخرب با پسوند img. (فرمت تصویر) ذخیره می شود.
- سپس این فایل در صفحه سایت، چت یا پیام شخصی آپلود می شود - جایی که حمله انجام خواهد شد.
- توجه کاربر به "تله" ایجاد شده جلب می شود (در اینجا مهندسی اجتماعی وارد عمل می شود).
- اگر «تله» کار کند، کوکیهای مرورگر قربانی توسط اسنیفر رهگیری میشوند.
- کراکر سیاهههای مربوط به اسنیفر را باز می کند و کوکی های دزدیده شده را استخراج می کند.
- سپس با استفاده از ابزارهای فوق، یک جایگزین برای به دست آوردن حقوق صاحب حساب انجام می دهد.
محافظت از کوکی ها در برابر هک شدن
- از یک اتصال رمزگذاری شده (با استفاده از پروتکل ها و روش های امنیتی مناسب) استفاده کنید.
- به پیوندهای مشکوک، تصاویر، پیشنهادات وسوسه انگیز برای آشنایی با "نرم افزار رایگان جدید" پاسخ ندهید. مخصوصاً از غریبه ها.
- فقط از منابع وب قابل اعتماد استفاده کنید.
- یک جلسه مجاز را با فشار دادن دکمه "خروج" (و نه فقط بستن برگه!) پایان دهید. به خصوص اگر حساب کاربری نه از یک رایانه شخصی، بلکه، به عنوان مثال، از رایانه شخصی در یک کافی نت وارد شده باشد.
- از ویژگی «ذخیره رمز عبور» مرورگر خود استفاده نکنید. داده های ثبت شده ذخیره شده در برخی مواقع خطر سرقت را افزایش می دهد. تنبل نباشید، در ابتدای هر جلسه چند دقیقه وقت خود را برای وارد کردن رمز عبور و ورود به سیستم اختصاص ندهید.
- پس از گشت و گذار در وب - بازدید از شبکه های اجتماعی، انجمن ها، چت ها، سایت ها - کوکی های ذخیره شده را حذف کنید و کش مرورگر را پاک کنید.
- مرورگرها و نرم افزارهای آنتی ویروس را به طور منظم به روز کنید.
- از افزونه های مرورگر استفاده کنید که در برابر حملات XSS محافظت می کنند (به عنوان مثال، NoScript برای FF و Google Chrome).
- به صورت دوره ای در حساب ها.
و مهمتر از همه - هنگام استراحت یا کار در اینترنت هوشیاری و توجه خود را از دست ندهید!
بسیاری از کاربران حتی متوجه نیستند که با پر کردن لاگین و رمز عبور هنگام ثبت نام یا مجوز در یک منبع اینترنتی بسته و فشار دادن ENTER، این داده ها به راحتی قابل رهگیری هستند. اغلب آنها از طریق شبکه به شکل ناامن منتقل می شوند. بنابراین، اگر سایتی که قصد ورود به آن را دارید از پروتکل HTTP استفاده می کند، پس گرفتن این ترافیک، تجزیه و تحلیل آن با استفاده از Wireshark و سپس استفاده از فیلترها و برنامه های خاص برای یافتن و رمزگشایی رمز عبور بسیار آسان است.
بهترین مکان برای رهگیری رمزهای عبور، هسته شبکه است، جایی که ترافیک همه کاربران به منابع بسته (مثلا پست الکترونیکی) یا جلوی روتر برای دسترسی به اینترنت هنگام ثبت نام در منابع خارجی می رود. ما یک آینه راه اندازی کردیم و آماده ایم که احساس کنیم یک هکر هستیم.
مرحله 1. Wireshark را نصب و اجرا کنید تا ترافیک را ضبط کنید
گاهی اوقات برای این کار کافی است فقط رابطی را انتخاب کنیم که از طریق آن قصد داریم ترافیک را ضبط کنیم و روی دکمه Start کلیک کنیم. در مورد ما، ما به صورت بی سیم عکس می گیریم.
ضبط ترافیک آغاز شده است.
مرحله 2. فیلتر کردن ترافیک POST ضبط شده
مرورگر را باز می کنیم و سعی می کنیم با استفاده از نام کاربری و رمز عبور به هر منبعی وارد شویم. پس از تکمیل فرآیند مجوز و باز شدن سایت، ما از گرفتن ترافیک در Wireshark جلوگیری می کنیم. سپس، تحلیلگر پروتکل را باز کنید و تعداد زیادی بسته را مشاهده کنید. این مرحله ای است که اکثر متخصصان فناوری اطلاعات از آن دست می کشند زیرا نمی دانند در مرحله بعد چه کاری انجام دهند. اما ما می دانیم و علاقه مند به بسته های خاصی هستیم که حاوی داده های POST هستند که در دستگاه محلی ما هنگام پر کردن فرم روی صفحه ایجاد می شود و با کلیک روی دکمه "ورود" یا "مجوز" در مرورگر به سرور راه دور ارسال می شود. .
برای نمایش بسته های ضبط شده، یک فیلتر ویژه در پنجره وارد کنید: http.درخواست.روش =="پست"
و به جای هزار بسته، فقط یک بسته را با داده هایی که به دنبال آن هستیم می بینیم.
مرحله 3. نام کاربری و رمز عبور را پیدا کنید
سریع کلیک راست کرده و یک مورد را از منو انتخاب کنید TCPSteam را دنبال کنید
پس از آن، متن در یک پنجره جدید ظاهر می شود که در کد محتوای صفحه را بازیابی می کند. بیایید فیلدهای «گذرواژه» و «کاربر» را که مربوط به رمز عبور و نام کاربری هستند، پیدا کنیم. در برخی موارد، خواندن هر دو فیلد آسان است و حتی رمزگذاری نمی شود، اما اگر در هنگام دسترسی به منابع بسیار شناخته شده مانند: Mail.ru، Facebook، Vkontakte و غیره سعی در جذب ترافیک داشته باشیم، رمز عبور خواهد بود. کدگذاری شده:
HTTP/1.1 302 پیدا شد
سرور: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Set-Cookie:password= ; انقضا=پنجشنبه، 07-نوامبر-2024 23:52:21 GMT; مسیر=/
مکان: loggedin.php
طول محتوا: 0
اتصال: بستن
نوع محتوا: text/html; charset=UTF-8
بنابراین در مورد ما:
نام کاربری: networkguru
کلمه عبور:
مرحله 4 نوع رمزگذاری برای رمزگشایی رمز عبور را تعیین کنید
به عنوان مثال به سایت http://www.onlinehashcrack.com/hash-identification.php#res می رویم و رمز عبور خود را در پنجره شناسایی وارد می کنیم. لیستی از پروتکل های رمزگذاری به ترتیب اولویت به من داده شد:
مرحله 5: رمز عبور کاربر را رمزگشایی کنید
در این مرحله می توانیم از ابزار hashcat استفاده کنیم:
~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
در خروجی، یک رمز عبور رمزگشایی شده دریافت کردیم: simplepassword
بنابراین با کمک Wireshark نه تنها میتوانیم مشکلات عملکرد اپلیکیشنها و سرویسها را حل کنیم، بلکه با رهگیری پسوردهایی که کاربران در فرمهای وب وارد میکنند، خود را به عنوان یک هکر امتحان کنیم. همچنین میتوانید با استفاده از فیلترهای ساده برای نمایش گذرواژههای صندوق پستی کاربران را پیدا کنید:
- پروتکل و فیلتر POP به این صورت است: pop.request.command == "USER" || pop.request.command == "گذر"
- پروتکل و فیلتر IMAP به صورت زیر خواهد بود: imap.request حاوی "ورود" است
- پروتکل SMTP و باید فیلتر زیر را وارد کنید: smtp.req.command == "AUTH"
و ابزارهای جدی تر برای رمزگشایی پروتکل رمزگذاری.
مرحله 6. اگر ترافیک رمزگذاری شده باشد و از HTTPS استفاده کند چه؟
گزینه های مختلفی برای پاسخ به این سوال وجود دارد.
گزینه 1. اتصال به قطع ارتباط بین کاربر و سرور و گرفتن ترافیک در لحظه برقراری اتصال (SSL Handshake). در زمان برقراری اتصال، کلید جلسه قابل رهگیری است.
گزینه 2: می توانید ترافیک HTTPS را با استفاده از یک فایل گزارش کلید جلسه که توسط فایرفاکس یا کروم نوشته شده است، رمزگشایی کنید. برای انجام این کار، مرورگر باید طوری پیکربندی شود که این کلیدهای رمزگذاری را در یک فایل لاگ بنویسد (مثال مبتنی بر فایرفاکس) و شما باید این فایل لاگ را دریافت کنید. در اصل، شما باید فایل session key را از هارد دیسک کاربر دیگری بدزدید (که غیرقانونی است). خوب، سپس ترافیک را ضبط کنید و کلید دریافتی را برای رمزگشایی آن اعمال کنید.
شفاف سازی.ما در مورد مرورگر وب شخصی صحبت می کنیم که رمز عبور او دزدیده می شود. اگر منظور ما رمزگشایی ترافیک HTTPS خودمان است و میخواهیم تمرین کنیم، این استراتژی جواب میدهد. اگر میخواهید ترافیک HTTPS کاربران دیگر را بدون دسترسی به رایانههایشان رمزگشایی کنید، کار نمیکند - رمزگذاری و حریم خصوصی برای همین است.
پس از دریافت کلیدها مطابق با گزینه 1 یا 2، باید آنها را در WireShark ثبت کنید:
- به منوی Edit - Preferences - Protocols - SSL بروید.
- پرچم "Reassemble Records SSL spaning multiple TCP segments" را تنظیم کنید.
- "RSA keys list" و روی Edit کلیک کنید.
- داده ها را در تمام فیلدها وارد کنید و با کلید مسیر را در فایل بنویسید
WireShark می تواند بسته هایی را که با استفاده از الگوریتم RSA رمزگذاری شده اند رمزگشایی کند. اگر از الگوریتم های DHE / ECDHE، FS، ECC استفاده شود، sniffer کمکی به ما نمی کند.
گزینه 3. به وب سروری که کاربر استفاده می کند دسترسی پیدا کنید و کلید را دریافت کنید. اما این کار حتی دشوارتر است. در شبکه های شرکتی، به منظور اشکال زدایی برنامه ها یا فیلتر کردن محتوا، این گزینه به صورت قانونی اجرا می شود، اما نه به منظور رهگیری رمزهای عبور کاربران.
جایزه
ویدئو: Wireshark Packet Sniffing Username, Password, and Web Pages