Использование MiTM с дрифтерной сетью для просмотра изображений цели
В каждой из наших предыдущих атак типа «человек посередине» (MiTM) нам удавалось оказаться между двумя пользователями и просмотреть их трафик. Этот трафик можно отслеживать с помощью таких инструментов, как Wireshark и других анализаторов пакетов. Как видно ниже, Wireshark подробно отображает каждый пакет, проходящий по сети. Мы можем использовать Wireshark для перехвата этих пакетов для последующего детального анализа.
Используя фильтр Wireshark для HTTP, мы видим только HTTP-трафик и знаем, что в пакетах этого трафика есть изображения. Проблема в том, что мы не можем их увидеть или реконструировать, поскольку изображения часто фрагментированы и находятся в нескольких пакетах.
Проблема возникает, когда мы хотим увидеть изображения, фотографии, JPG, PNG и другие графические файлы в этом потоке трафика. Используя Wireshark и другие инструменты для анализа трафика, мы можем видеть, что изображения и другие графические файлы передаются по сети или по воздуху, но не можем увидеть, что это за изображения.
Наш сценарий
Предположим, наша задача — проверить, отправляет ли кто-то, кого мы подозреваем в шпионаже в пользу иностранного правительства, секретные изображения или получает их со своего компьютера. Эти изображения могут включать карты, планы, интеллектуальную собственность, фотографии других шпионов и т. д. Эти изображения содержат совершенно секретную информацию, которая может понадобиться нам для защиты нашей страны. Как это сделать?
Для начала нам нужно расположиться посередине между целью и её маршрутизатором. Таким образом, весь её трафик будет проходить через нас. После этого нам понадобится инструмент под названием «дрифтнет», специально разработанный для распознавания, захвата и реконструкции изображений. После этого он сохранит их на нашем компьютере и отобразит на экране.
Шаг №1: используем arpspoof, чтобы оказаться посередине
Мы использовали как arpspoof , так и Ettercap , чтобы оказаться посередине в классической атаке MiTM. Вы можете использовать любой из них, но в этом уроке я буду использовать arpspoof. Хотя Ettercap может быть проще в использовании благодаря интуитивно понятному графическому интерфейсу, я считаю, что arpspoof надёжнее.
Помните, что для настройки ARP-спуфа нам понадобятся три терминала. В первом введите:
kali > arpspoof -i eth0 -t 192.168.1.1 192.168.1.115
Где:
-i eth0 — это интерфейс, который мы хотим прослушивать и использовать для ARP-спуфинга.
-t цель
192.168.1.1 — IP-адрес маршрутизатора
192.168.1.115 — IP-адрес предполагаемого шпиона
Здесь стоит отметить, что если бы мы использовали этот MiTM в беспроводной сети, мы могли бы просто заменить «-i eth0» на «-i wlan0».
Затем выполните ARP-подмену другого конца соединения, поменяв местами IP-адреса.
kali > arpspoof -i eth0 192.168.1.115 192.168.1.1
Наконец, нам необходимо настроить IP-переадресацию.
Кали > эхо 1 > /proc/sys/net/ipv4/ip_forward
Итак, мы успешно разместились между нашим предполагаемым шпионом и маршрутизатором. Весь его трафик, как входящий, так и исходящий, должен проходить через наш компьютер! Это открывает перед нами множество интересных возможностей!
Шаг №2: Установка дрифтерной сети
Теперь, когда мы находимся между шпионом и его маршрутизатором, мы должны видеть все изображения, которые он отправляет или получает через Интернет. Следующий шаг — активировать Driftnet. Для этого достаточно ввести команду Driftnet в любом терминале Kali (не используйте открытые терминалы с запущенным Arpspoof, так как это прервёт Arpspoof).
кали > дрифтерная сеть
Обратите внимание, что при этом под нашим терминалом открывается небольшое окно. В моём случае оно открылось в левом нижнем углу, но может открываться в любом свободном месте экрана. Разверните это окно на весь экран, так как именно здесь Driftnet отображает найденные и реконструированные изображения.
Шаг №3: просмотр изображений в реальном времени
Теперь, всякий раз, когда наш шпион отправляет или получает какой-либо интернет-трафик, он проходит через нашу систему, и мы можем фильтровать, реконструировать, просматривать и сохранять изображения.
Теперь нам остается только ждать, пока наш предполагаемый шпион выйдет в Интернет.
И вдруг на нашем экране в окне дрифтерной сети начинают появляться картинки!
Похоже, наш шпион — спортивный болельщик! Он зашёл на сайт www.espn.com, и приложение Driftnet сделало снимки и показало их. Это не значит, что он не замышлял ничего коварного, поэтому мы оставим Driftnet открытым, чтобы он мог делать новые снимки, пока он продолжает лазить по интернету или отправлять файлы.
Шаг №4: Найдите сохраненные изображения
Хотя эти первые изображения кажутся безобидными, мы всё же можем сохранить их для дальнейшего анализа. Кроме того, если мы оставим MiTM на месте и оставим дрифтерную сеть включенной, она продолжит получать изображения.
Если мы вернемся к командному терминалу driftnet, то увидим, что driftnet сообщает нам, где он сохраняет изображения.
Обратите внимание, что driftnet сохраняет изображения в каталоге /tmp со случайно выбранным подкаталогом. Примечательно, что название подкаталога указано с ошибкой (drifnet, а не driftnet). Иногда это может сбивать с толку. При поиске изображений, конечно же, необходимо убедиться, что название каталога указано с ошибкой.
Давайте перейдем в этот каталог и посмотрим, что нам удалось поймать и сохранить в Driftnet.
kali > cd /tmp/drifnet-1Ilw8b
Как видите, всего за несколько секунд Driftnet захватил, реконструировал и сохранил множество изображений. Все они в форматах JPEG и GIF, но Driftnet также способен захватывать и реконструировать другие файлы изображений, включая MPEG и аудиофайлы.
В каждой из наших предыдущих атак типа «человек посередине» (MiTM) нам удавалось оказаться между двумя пользователями и просмотреть их трафик. Этот трафик можно отслеживать с помощью таких инструментов, как Wireshark и других анализаторов пакетов. Как видно ниже, Wireshark подробно отображает каждый пакет, проходящий по сети. Мы можем использовать Wireshark для перехвата этих пакетов для последующего детального анализа.
Используя фильтр Wireshark для HTTP, мы видим только HTTP-трафик и знаем, что в пакетах этого трафика есть изображения. Проблема в том, что мы не можем их увидеть или реконструировать, поскольку изображения часто фрагментированы и находятся в нескольких пакетах.
Проблема возникает, когда мы хотим увидеть изображения, фотографии, JPG, PNG и другие графические файлы в этом потоке трафика. Используя Wireshark и другие инструменты для анализа трафика, мы можем видеть, что изображения и другие графические файлы передаются по сети или по воздуху, но не можем увидеть, что это за изображения.
Наш сценарий
Предположим, наша задача — проверить, отправляет ли кто-то, кого мы подозреваем в шпионаже в пользу иностранного правительства, секретные изображения или получает их со своего компьютера. Эти изображения могут включать карты, планы, интеллектуальную собственность, фотографии других шпионов и т. д. Эти изображения содержат совершенно секретную информацию, которая может понадобиться нам для защиты нашей страны. Как это сделать?
Для начала нам нужно расположиться посередине между целью и её маршрутизатором. Таким образом, весь её трафик будет проходить через нас. После этого нам понадобится инструмент под названием «дрифтнет», специально разработанный для распознавания, захвата и реконструкции изображений. После этого он сохранит их на нашем компьютере и отобразит на экране.
Шаг №1: используем arpspoof, чтобы оказаться посередине
Мы использовали как arpspoof , так и Ettercap , чтобы оказаться посередине в классической атаке MiTM. Вы можете использовать любой из них, но в этом уроке я буду использовать arpspoof. Хотя Ettercap может быть проще в использовании благодаря интуитивно понятному графическому интерфейсу, я считаю, что arpspoof надёжнее.
Помните, что для настройки ARP-спуфа нам понадобятся три терминала. В первом введите:
kali > arpspoof -i eth0 -t 192.168.1.1 192.168.1.115
Где:
-i eth0 — это интерфейс, который мы хотим прослушивать и использовать для ARP-спуфинга.
-t цель
192.168.1.1 — IP-адрес маршрутизатора
192.168.1.115 — IP-адрес предполагаемого шпиона
Здесь стоит отметить, что если бы мы использовали этот MiTM в беспроводной сети, мы могли бы просто заменить «-i eth0» на «-i wlan0».
Затем выполните ARP-подмену другого конца соединения, поменяв местами IP-адреса.
kali > arpspoof -i eth0 192.168.1.115 192.168.1.1
Наконец, нам необходимо настроить IP-переадресацию.
Кали > эхо 1 > /proc/sys/net/ipv4/ip_forward
Итак, мы успешно разместились между нашим предполагаемым шпионом и маршрутизатором. Весь его трафик, как входящий, так и исходящий, должен проходить через наш компьютер! Это открывает перед нами множество интересных возможностей!
Шаг №2: Установка дрифтерной сети
Теперь, когда мы находимся между шпионом и его маршрутизатором, мы должны видеть все изображения, которые он отправляет или получает через Интернет. Следующий шаг — активировать Driftnet. Для этого достаточно ввести команду Driftnet в любом терминале Kali (не используйте открытые терминалы с запущенным Arpspoof, так как это прервёт Arpspoof).
кали > дрифтерная сеть
Обратите внимание, что при этом под нашим терминалом открывается небольшое окно. В моём случае оно открылось в левом нижнем углу, но может открываться в любом свободном месте экрана. Разверните это окно на весь экран, так как именно здесь Driftnet отображает найденные и реконструированные изображения.
Шаг №3: просмотр изображений в реальном времени
Теперь, всякий раз, когда наш шпион отправляет или получает какой-либо интернет-трафик, он проходит через нашу систему, и мы можем фильтровать, реконструировать, просматривать и сохранять изображения.
Теперь нам остается только ждать, пока наш предполагаемый шпион выйдет в Интернет.
И вдруг на нашем экране в окне дрифтерной сети начинают появляться картинки!
Похоже, наш шпион — спортивный болельщик! Он зашёл на сайт www.espn.com, и приложение Driftnet сделало снимки и показало их. Это не значит, что он не замышлял ничего коварного, поэтому мы оставим Driftnet открытым, чтобы он мог делать новые снимки, пока он продолжает лазить по интернету или отправлять файлы.
Шаг №4: Найдите сохраненные изображения
Хотя эти первые изображения кажутся безобидными, мы всё же можем сохранить их для дальнейшего анализа. Кроме того, если мы оставим MiTM на месте и оставим дрифтерную сеть включенной, она продолжит получать изображения.
Если мы вернемся к командному терминалу driftnet, то увидим, что driftnet сообщает нам, где он сохраняет изображения.
Обратите внимание, что driftnet сохраняет изображения в каталоге /tmp со случайно выбранным подкаталогом. Примечательно, что название подкаталога указано с ошибкой (drifnet, а не driftnet). Иногда это может сбивать с толку. При поиске изображений, конечно же, необходимо убедиться, что название каталога указано с ошибкой.
Давайте перейдем в этот каталог и посмотрим, что нам удалось поймать и сохранить в Driftnet.
kali > cd /tmp/drifnet-1Ilw8b
Как видите, всего за несколько секунд Driftnet захватил, реконструировал и сохранил множество изображений. Все они в форматах JPEG и GIF, но Driftnet также способен захватывать и реконструировать другие файлы изображений, включая MPEG и аудиофайлы.
