Подмена файлов в HTTP трафике

в 12:46, , рубрики: inject, intercepter-ng, pcap, sniffer, информационная безопасность, метки: , , ,

Помимо пассивного прослушивания трафика, MiTM атаки могут предоставить больше возможностей, вплоть до выполнения произвольного кода на стороне жертвы. При этом не требуется эксплуатация уязвимостей, а требуется лишь терпение и подходящие условия. Речь идет о подмене файлов в HTTP трафике.

При проведении MiTM атаки, атакующий перенаправляет трафик жертвы через себя, и в этом случае может изменить пакеты по своему усмотрению. Таким образом, при запросе какого-нибудь flashplayer.exe, мы сможем подставить любой другой исполняемый файл (например обычный bindshell код) и после запуска естественно получим возможность исполнения команд. В целом расписывать здесь особо нечего, все достаточно просто.

В новой версии Intercepter-NG появился функционал по подмене файлов, демонстрационное видео можно посмотреть ниже. Настройка подмены осуществляется путем добавления правил, в которых указывается необходимый шаблон, количество раз для запуска правила, а так же файл который следует подставить.
В качестве шаблона можно указать просто расширение ".exe" или непосредственно имя файла «file123.exe».
При наличии указанного текста в GET запросе происходит подмена.

Что нового:
В версии 0.9.4 помимо функции подмены файлов, появилась поддержка ipv6. Так же многократно увеличена скорость обработки данных.

В консольной версии появился сырой режим.
image

С недавнего времени консольная версия Intercepter-NG стала частью дистрибутива BackTrack (apt-get install intercepter-ng).

Решено отказаться от readme файла, вся информация по проекту будет находится на собственной wiki странице.

Автор: Intercepter


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js