Перехват WEB трафика через протокол WPAD при помощи Intercepter-NG

в 12:19, , рубрики: intercepter, intercepter-ng, mitm, proxy, sniffer, sniffing, информационная безопасность, метки: , , , , ,

WPAD — WebProxy Auto-Discovery. Протокол автоматического получения настроек прокси в локальной сети, поддерживается практически всеми веб-браузерами и рядом других приложений.

В кратце суть его работы такова: если клиент использует DHCP для получения IP адреса, то и за урлом с настройкой прокси он обращается к своему DHCP серверу. Если DHCP не настроен на выдачу WPAD конфигурации или в сети не используется DHCP как таковой, то клиент пробует разрешить сетевое имя вида wpad.localdomain используя DNS. Если такое имя не найдено, то делается последняя попытка поиска имени 'WPAD' через NetBios. Если имя не найдено, клиент пробует соединиться напрямую, но если кто-то в сети сказал что он имеет имя 'WPAD', то клиент соединяется по 80 порту на IP ответившего хоста и затем пытается загрузить файл wpad.dat, в котором должны находиться настройки прокси.

С самого начала своего существования WPAD стал брешью в безопасности, потому что позволяет очень легко перехватить поток данных, выдавая себя за легитимный прокси сервер. Не смотря на то, что данная уязвимость существует давно и довольно легко эксплуатируется, эта атака не приобрела большой известности. Причин всего несколько.

Во первых она позволяет перехватывать только веб трафик клиента, и многим проще запустить arp poison и перехватить гораздо больше. Во вторых для ее осуществления хоть и не требуется каких-то сложных манипуляций, но все же необходимо запустить и настроить ряд сервисов:

1. Необходимо зарегистрировать в сети имя 'WPAD'.
2. Необходимо запустить веб-сервер и создать файл wpad.dat.
3. Необходимо запустить прокси-сервер.

Если на Unix это проделывается достаточно быстро, то на Windows выполнение подобных операций требует больше времени и усилий. Дополнительно возникает проблема с переименованием в сети. Довольно подозрительно будет выглядеть компьютер с именем 'WPAD' в сетевом окружении, а если захочется применить инструмент вроде nbtool для того чтобы cкрытно отвечать на запросы имени 'WPAD', то придется остановить netbios ns службу Windows для освобождения 137 udp порта и соответственно отключиться от сети.

Тем не менее, имеется большое количество потенциальных жертв в любой сети, потому что по умолчанию Internet Explorer (а соответственно и Chrome) пытаются автоматически получить настройки прокси средствами WPAD.

В Intercepter-NG проведение атаки на WPAD полностью автоматизировано и проходит за несколько секунд.
Благодаря использованию WinPcap нет нужды прослушивать сокеты или переименовывать собственное netbios имя. Указывать конкретных жертв не требуется, выдача конфигурации происходит всем запросившим.
На выбор можно вручную указать прокси сервер, который будет выдаваться клиентам или использовать встроенный socks. В последнем случае для перехвата трафика кроме самого Intercepter-NG больше ничего не требуется.

Демонстрация работы представлена на следующих видео роликах.

Автор: Intercepter

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js