[Video] Playing With Traffic (Squid)
Pesan dari penulis Bermain dengan lalu lintas. Sebenarnya, itu lebih sepanjang baris "Manipulasi URL", namun itu tidak terdengar sebagai "catchy".
Saya berencana untuk melakukan video lain pada "Mengubah konten (web)",
yang akan lebih actuate dalam hal "Bermain Dengan Lalu Lintas". Hal ini akan dilakukan dengan menggunakan Squid (daripada menggunakan Ettercap ) - dan aku punya beberapa ide untuk ketika saya melakukan ini juga!
Hal ini telah diposting pada " April Fools "(The waktu untuk pranks dan "gotchas") dan apa yang tampaknya menjadi (berbahaya) "lelucon" masih serangan. Ini berarti Anda perlu izin untuk melakukannya (seperti segala sesuatu yang lain di situs ini!) - Seperti yang Anda dapat menangkap / menemukan lebih dari yang Anda rencanakan. Seperti biasa, pastikan Anda memiliki izin, dan, karena isi dari salah satu serangan, Anda perlu memastikan bahwa Anda tidak mengekspos "anak di bawah umur". Pada catatan:. Anda berada pada Anda sendiri Apa yang Anda lakukan, adalah melakukan Anda. Apa yang Anda wujudkan adalah tanggung jawab Anda. Anda telah diperingatkan.
Dan dengan semua itu out-of-the-way ...
Penyerang kemudian membuka script untuk memverifikasi lokasi serta persyaratan, yang dalam hal ini adalah ImageMagick , Ghostscript dan jp2a . Pada saat yang sama, penyerang memeriksa variabel untuk mencocokkan konfigurasi mesin lokal mereka. Sebagai contoh, penyerang memeriksa apakah:
Setelah ini, penyerang bergerak ke mengkonfigurasi file dan folder izin yang diperlukan untuk memungkinkan daemon untuk dapat berinteraksi dengan benar. Daemon kemudian restart kembali memuat file konfigurasi dalam lingkungan baru. Tahap terakhir dalam mempersiapkan mesin penyerang adalah untuk mengelola pelabuhan , sebagai port standar HTTP untuk lalu lintas web pada port 80, namun Squid berjalan pada 3128 pada mesin penyerang (dan web server mereka, yang dibutuhkan, juga pada port 80). Penyerang pengalihan lalu lintas ke proxy, sehingga cumi-cumi yang digunakan. Hal ini dicapai dengan iptables .
Penyerang melakukan menyapu cepat jaringan menggunakan nmap untuk memeriksa bahwa target yang online. Setelah mereka telah berada, penyerang melakukan MITM serangan melalui ARP cache poisoning via arpspoof
Semuanya sekarang di tempat ... Game over.
Namun ... penyerang ingin mengubah script. Jadi setelah menghentikan serangan (dan benar kembali berpose tabel ARP), penyerang mengedit file konfigurasi Squid sekali lagi dan memodifikasinya menjadi mencerminkan script baru. Setelah restart daemon sekali lagi, untuk memuat konfigurasi baru, penyerang menyerang sekali lagi dengan keracunan ARP cache. Proses ini dilakukan, sampai mereka sudah cukup.
Tapi ... ini tidak cukup bagi penyerang. Penyerang memutuskan untuk menginstal sebuah "Web Filter". Sebagai penyerang memiliki izin dari target untuk mengeksekusi serangan ini, penyerang telah diperiksa (dan dua kali diperiksa) bahwa target adalah "usia" dan dalam lingkungan di mana "materi dewasa" adalah "diterima", mereka "cadangan logika "dari DansGuardian . Ini berarti, apa yang "disaring" kini diperbolehkan, karena itu apa yang diperbolehkan sekarang diblokir.
perintah:
Hal ini telah diposting pada " April Fools "(The waktu untuk pranks dan "gotchas") dan apa yang tampaknya menjadi (berbahaya) "lelucon" masih serangan. Ini berarti Anda perlu izin untuk melakukannya (seperti segala sesuatu yang lain di situs ini!) - Seperti yang Anda dapat menangkap / menemukan lebih dari yang Anda rencanakan. Seperti biasa, pastikan Anda memiliki izin, dan, karena isi dari salah satu serangan, Anda perlu memastikan bahwa Anda tidak mengekspos "anak di bawah umur". Pada catatan:. Anda berada pada Anda sendiri Apa yang Anda lakukan, adalah melakukan Anda. Apa yang Anda wujudkan adalah tanggung jawab Anda. Anda telah diperingatkan.
Dan dengan semua itu out-of-the-way ...
Links
Upload script: di Sini
Singkat Ikhtisar
Ada lebih untuk "Man di Tengah" serangan dari sekedar mendapatkan / mengumpulkan / pemanenan email / password / cookies.
Sebagai contoh, penyerang dapat memanipulasi & mengubah lalu lintas
target untuk memiliki beberapa "fun berbahaya" (meskipun beberapa
script yang "kekanak-kanakan borderline"), untuk menyoroti bahaya dari
"Man In The Middle" serangan dan apa yang lainnya kemampuan / pilihan
tersedia untuk penyerang. Di bawah ini adalah rincian dari script menunjukkan:
- asciiImages.pl ~ Mengkonversi gambar ke dalam seni ASCII (www.msn.com)
- blurImages.pl ~ Membuat gambar sulit untuk melihat (www.flickr.com)
- flipImages.pl ~ Membalik gambar vertikal (www.google.com)
- flopImages.pl ~ Membalik gambar secara vertikal (www.google.com)
- googleSearch.pl ~ Memodifikasi permintaan pencarian Google (www.google.com)
- noInternet.pl ~ Ganti setiap situs web (www.bing.com)
- replaceImages.pl ~ Ganti setiap gambar (www.ebay.com)
- replacePages.pl ~ Ganti situs yang dipilih dengan kita (www.facebook.com)
- rickrollYoutube.pl ~ Redirect ke video youtube (www.twitter.com)
- timeMachine.pl ~ Menggunakan archive.org arsip (www.bbc.co.uk)
- touretteImages.pl ~ Tambahkan kata-kata untuk gambar (www.yahoo.com)
- fightClub.pl ~ Tambahkan gambar ke gambar (www.imdb.com)
- allPornInternet.sh ~ Setup & "configure" dansguardian (www.google.com)
Persyaratan
* Nmap - Dapat ditemukan di BackTrack 4-R2
* Squid - Dapat ditemukan di repositori BackTrack
* Apache - Dapat ditemukan di BackTrack 4-R2
* DansGuardian - Dapat diinstal melalui allPornInternet.sh
* arpspoof - Bagian dari suite DSniff yang dapat ditemukan di BackTrack 4-R2
* Sebuah Editor Text - Kate dapat ditemukan di BackTrack 4-R2
* Koleksi skrip - Lihat "Links"
Metode
* Mulai layanan jaringan dan mendapatkan alamat IP
* Download, menginstal dan mengkonfigurasi proxy Squid
* Periksa konfigurasi dan ketergantungan untuk script
* Set file & folder permissions
* Konfigurasi dan melakukan seorang pria di tengah serangan
* Game Over
* Sunting Squid konfigurasi dan restart layanan
* Game Over ... lagi
* Download & "mengkonfigurasi" DansGuardian
* Restart Squid
* Game Over ... sekali lagi!
Berjalan-melalui
Penyerang menginstal Squid3 Proxy Cache melalui Sistem Operasi ( Backtrack 4 R2 ) repositori.
Squid adalah "tulang punggung" terhadap serangan ini dan setelah
mengkonfigurasi untuk bekerja pada Local Area Network (LAN) dan menjadi transparan
(proxy "bekerja" tanpa konfigurasi ke browser), penyerang yang memilih
script untuk try out pertama (asciiImages.pl merupakan yang pertama) dan
menambahkan ke file konfigurasi. Penyerang kemudian membuka script untuk memverifikasi lokasi serta persyaratan, yang dalam hal ini adalah ImageMagick , Ghostscript dan jp2a . Pada saat yang sama, penyerang memeriksa variabel untuk mencocokkan konfigurasi mesin lokal mereka. Sebagai contoh, penyerang memeriksa apakah:
- "$ Debug" Modus yang diperlukan untuk setiap alasan diagnostik. ("1" = diaktifkan, "0" = dinonaktifkan. File log ditempatkan di / tmp / [scriptname] _debug.log)
- "$ OurIP" cocok dengan alamat IP penyerang. (Ifconfig [interface])
- "$ Basedir" adalah jalan lokal untuk folder yang dapat diakses oleh webserver dan ditulisi oleh "tidak ada" - seperti Squid berjalan pada tingkat pengguna dan mengeksekusi skrip perl (Apache jalur default web / var / www. /. Namun penyerang menciptakan subfolder, "tmp /" untuk menggunakan)
- "$ BaseURL" akan menjadi jalan terlihat untuk "$ basedir" (http:// [ip] / anysubfolders).
- "$ Mengkonversi", "$ mengkonversi" dan "$ jp2a" adalah jalan untuk program tentu (whereis [programsname])
Setelah ini, penyerang bergerak ke mengkonfigurasi file dan folder izin yang diperlukan untuk memungkinkan daemon untuk dapat berinteraksi dengan benar. Daemon kemudian restart kembali memuat file konfigurasi dalam lingkungan baru. Tahap terakhir dalam mempersiapkan mesin penyerang adalah untuk mengelola pelabuhan , sebagai port standar HTTP untuk lalu lintas web pada port 80, namun Squid berjalan pada 3128 pada mesin penyerang (dan web server mereka, yang dibutuhkan, juga pada port 80). Penyerang pengalihan lalu lintas ke proxy, sehingga cumi-cumi yang digunakan. Hal ini dicapai dengan iptables .
Penyerang melakukan menyapu cepat jaringan menggunakan nmap untuk memeriksa bahwa target yang online. Setelah mereka telah berada, penyerang melakukan MITM serangan melalui ARP cache poisoning via arpspoof
Semuanya sekarang di tempat ... Game over.
Namun ... penyerang ingin mengubah script. Jadi setelah menghentikan serangan (dan benar kembali berpose tabel ARP), penyerang mengedit file konfigurasi Squid sekali lagi dan memodifikasinya menjadi mencerminkan script baru. Setelah restart daemon sekali lagi, untuk memuat konfigurasi baru, penyerang menyerang sekali lagi dengan keracunan ARP cache. Proses ini dilakukan, sampai mereka sudah cukup.
Tapi ... ini tidak cukup bagi penyerang. Penyerang memutuskan untuk menginstal sebuah "Web Filter". Sebagai penyerang memiliki izin dari target untuk mengeksekusi serangan ini, penyerang telah diperiksa (dan dua kali diperiksa) bahwa target adalah "usia" dan dalam lingkungan di mana "materi dewasa" adalah "diterima", mereka "cadangan logika "dari DansGuardian . Ini berarti, apa yang "disaring" kini diperbolehkan, karena itu apa yang diperbolehkan sekarang diblokir.
perintah:
start-network dhclient eth0 apt-cache search squid apt-get -y install squid3 update-rc.d -f squid3 remove kate -> Open: /etc/squid3/squid.conf Edit (Line 588): acl localnet src 192.168.0.0/16 Edit (Line 644): http_access allow localnet Edit (Line 868): http_port 3128 transparent Add (Line: *end*): url_rewrite_program /root/asciiImages.pl Save kate -> Open: /root/asciiImages.pl apt-get -y install imagemagick ghostscript jp2a chmod 755 *pl ls -l *pl mkdir /var/www/tmp cp -r www/* /var/www/tmp chown nobody:nogroup /var/www/tmp chmod 777 /var/www/tmp /etc/init.d/apache2 restart /etc/init.d/squid3 restart clear iptables -t nat -A PREROUTING -i eth0 -p tcp --destination-port 80 -j REDIRECT --to-port 3128 echo 1 > /proc/sys/net/ipv4/ip_forward #cat /proc/sys/net/ipv4/ip_forward nmap 192.168.0.0/24 -n -sn -sP #Start -> run -> cmd -> arp -a arpspoof -i eth0 -t 192.168.0.118 192.168.0.1 #Start -> run -> cmd -> arp -a IE -> http://www.msn.com ###################################################################################### #Kill arpspoof kate -> Open: /etc/squid3/squid.conf Replace (Line: *end*): url_rewrite_program /root/blurImages.pl Save /etc/init.d/squid3 restart && arpspoof -i eth0 -t 192.168.0.118 192.168.0.1 IE -> http://www.flickr.com ###################################################################################### bash allPornInternet.sh /etc/init.d/squid3 restart && arpspoof -i eth0 -t 192.168.0.118 192.168.0.1 ######################################################################################
This comment has been removed by the author.
ReplyDelete