Відбиток — це процес збору інформації про комп’ютерні системи та об’єкти для виявлення вразливостей і створення мережевих карт.
404 
Викрадення сеансу — це тип атаки, коли зловмисник отримує контроль над дійсним сеансом користувача у веб-програмі. Зловмисник може використовувати це, щоб отримати доступ до конфіденційної інформації, виконати несанкціоновані дії або припустити особу жертви. Викрадення сеансу можна здійснити за допомогою різних методів, зокрема перехоплення мережевого трафіку, викрадення файлів cookie сеансу або використання вразливостей у веб-додатку чи базовому стеку програмного забезпечення. Профілактичні заходи включають шифрування, безпечну обробку файлів cookie та регулярні оновлення програмного забезпечення. Викрадення сеансу, також відоме як викрадення файлів cookie, — це тип веб-атаки, коли зловмисник бере під контроль сеанс користувача у веб-програмі. Зловмисник перехоплює ідентифікатор сеансу та використовує його, щоб видати себе за жертву та виконувати дії від її імені, змінювати налаштування облікового запису або викрадення конфіденційної інформації. Викрадення сеансу може статися через уразливості веб-додатків або через незахищені мережеві з’єднання. Важливо впровадити заходи безпеки, такі як шифрування SSL, належне керування сеансами та регулярні оновлення програмного забезпечення, щоб запобігти атакам захоплення сеансів.
Атака з перехопленням сеансу полягає в використанні механізму керування веб-сеансом, який зазвичай керується маркером сеансу. Оскільки протокол HTTP використовує багато різних з’єднань TCP, веб-серверу потрібен метод розпізнавання з’єднань кожного користувача. Найкорисніший метод залежить від маркера, який веб-сервер надсилає браузеру клієнта після успішної автентифікаці. Маркер сеансу зазвичай складається з рядка змінної ширини, і його можна використовувати різними способами, наприклад, у URL-адресі, у заголовку запиту http як файл cookie, в інших частинах заголовка запиту http або ще у тілі http-запиту. Атака з перехопленням сеансу компрометує маркер сеансу шляхом викрадення або передбачення дійсного маркера сеансу для отримання несанкціонованого доступу до веб-сервера. Маркер сеансу може бути скомпрометований різними способами; найпоширенішими є передбачуваний маркер сесії. Перегляд сесії. Атаки на стороні клієнта. Атака “людина посередині”. Атака “людина в браузері”.
Zed Attack Proxy (ZAP) — це безкоштовний інструмент тестування на проникнення з відкритим кодом, який підтримується під егідою Open Web Application Security Project (OWASP). ZAP розроблений спеціально для тестування веб-додатків і є одночасно гнучким і розширюваним. За своєю суттю ZAP є так званим «проксі-сервером людини посередині». Він стоїть між браузером тестувальника та веб-програмою, щоб перехоплювати та перевіряти повідомлення, надіслані між браузером і веб-програмою, змінювати вміст, якщо потрібно, а потім пересилати ці пакети до місця призначення. Його можна використовувати як окрему програму, так і як процес-демон.
Перехоплення трафіку між сервером і клієнтом.
Віртуальна машина Windows Server 2012 або 2016 (зловмисник). Віртуальна машина Windows 10 (Target).
1. Увійдіть у систему Windows 10 і запустіть будь-який браузер у цій лабораторії: Firefox .
2. Перейдіть до Налаштування > Налаштування мережі.
3. У налаштуваннях проксі-сервера встановіть прапорець « Налаштування проксі-сервера вручну» та введіть IP-адресу комп’ютера-зловмисника на порт 8080 , як показано нижче:
4. Ви також можете налаштувати безпосередньо в «Властивості Інтернету» на панелі керування > вкладка «Підключення» > «Параметри локальної мережі». Поставте прапорець «Проксі-сервер» і введіть IP-адресу комп’ютера-зловмисника та порт 8080, як показано нижче:
1. Завантажте ZAP > (https://www.zaproxy.org/download/)
2. У процесі інсталяції обов’язково виберіть опцію: «Ні, я не хочу продовжувати цей сеанс у цей момент»
3. У головному вікні OWASP ZAP клацніть піктограму «+» на правій панелі, а потім додайте вкладку «Перерва» , як показано нижче:
Вкладка «Перерва» дозволяє змінювати відповідь або запит , коли їх перехопив ZAP. Це дозволяє вам змінювати деякі елементи, які ви не можете змінити через свій браузер; до них належать: заголовок, приховані поля, поля, які використовують Javascript для фільтрації неприпустимих символів.
4. Після додавання вкладки Break вам потрібно налаштувати ZAP для роботи як проксі, перейдіть до «Параметрів» , клацнувши значок шестірні вгорі:
5. У вікні «Параметри» виберіть « Локальні проксі» на лівій панелі; Адреса — це IP-адреса Windows Server , а порт — 8080 за замовчуванням:
6. Поверніться до головного вікна ZAP і натисніть зелену кнопку (Установити перерву для всіх запитів і відповідей), як показано нижче:
Ця кнопка встановлює та скасовує глобальну точку зупинки, яка буде перехоплювати та відображати наступну відповідь або запит на вкладці Перерва з комп’ютера цілі . Ви можете змінити будь-яку частину запиту чи відповіді, яку хочете, і надіслати її до програми жертви, натиснувши Крок або Продовжити. Крім того, ви можете натиснути Відкинути, щоб видалити запит або відповідь.
7. Поверніться до цільової машини (Windows 10) і запустіть той самий браузер, у якому ви налаштували параметри проксі.
8. Введіть URL-адресу: (www.certifiedhacker.com), якщо ви отримаєте попередження, просто прийміть ризик і продовжуйте.
9. Тепер перейдіть на машину зловмисника (Windows Server) , і ви помітите, що ZAP-проксі почав перехоплювати запити цілі.
10. Тепер натисніть кнопку «Надіслати та перейдіть до наступного запиту», доки ви не захопите запит GET веб-сайту, який переглядаєте.
Ви можете змінювати всі запити GET, збережені на вкладці Break, і пересилати трафік на цільову машину, змінюючи веб-сайт тощо.
BetterCAP — це потужний інструмент безпеки мережі, який дозволяє користувачам виконувати різноманітні тести та аналізи безпеки в мережі. Він надає такі функції, як ін’єкція пакетів, атаки «людина посередині», видалення SSL тощо. Завдяки гнучкій модульній архітектурі BetterCAP можна легко налаштувати відповідно до конкретних потреб тестування та пропонує підтримку для широкого спектру платформ і операційних систем.
Перехоплювати трафік і виявляти облікові дані користувача (HTTP і HTTPS).
Віртуальна машина Kali Linux (зловмисник). Будь-яка віртуальна машина Windows (Target).
Запустіть Kali Linux, відкрийте нове вікно терміналу та введіть такі команди:
Модуль events.stream працює за замовчуванням, цей модуль увімкнено за замовчуванням і відповідає за звітування про події (журнали, пошук нових хостів тощо), створені іншими модулями під час інтерактивного сеансу . Крім того, його можна використовувати для програмного виконання команд, коли відбуваються певні події.
Запустіть модуль prober для надсилання різних типів тестових пакетів на кожну IP-адресу в поточній підмережі, щоб модуль net.recon їх виявив.
Розпочати пошук мережевих хостів:
Встановіть для параметра модуля arp.spoof fullduplex значення true . Якщо ви встановите значення true, атаці піддаватимуться як цілі, так і шлюз, інакше – лише ціль (якщо на маршрутизаторі встановлено захист від підробки ARP, це призведе до невдачі атаки).
Укажіть ціль для підробки. (Відокремлений комами список MAC-адрес, IP-адрес, діапазонів IP або псевдонімів для підробки).
Запустити спуфер ARP:
Запустіть аналізатор пакетів:
Введіть help, щоб отримати список запущених модулів:
Bettercap обманює маршрутизатор і цільову машину (Windows) , розміщуючи атакуючу машину (Kali) посередині з’єднання.
На моєму комп’ютері з Windows я використовую команду arp table , щоб побачити, що відбувається:
Як бачите, машина Windows «вважає» MAC-адресу маршрутизатора такою ж, як і Kali , оскільки таблицю ARP підроблено.
Увійдіть у свою віртуальну машину Windows. Запустіть браузер і введіть URL: (http://testhtml5.vulnweb.com). Увійдіть на цей веб-сайт для тестування вразливих місць за допомогою зразка облікових даних: користувач: admin | пароль: пароль .
Як бачите, ми зафіксували облікові дані, надіслані на веб-сайт. Усе, що надіслано та отримано цільовою машиною, буде захоплено машиною Kali Linux.
Щоб підвищити ефективність роботи, ви можете автоматизувати налаштування модулів, створивши простий файл Caplet і додавши команди в кожному рядку.
Цей модуль додає файли HTML і JS із корисним навантаженням, яке фальсифікує ваші цільові імена хостів і спілкується з BetterCap, відкриваючи всі URL-адреси, виявлені в ін’єктованому документі. Коли bettercap отримує зворотний виклик із новою URL-адресою, він надсилає запит HEAD, щоб дізнатися, чи надсилає хост у цій URL-адресі перенаправлення HTTPS, і веде журнал. Це робиться для того, щоб bettercap міг знати, чи має він MITM SSL-з’єднання з хостом, перш ніж жертва перейде до нього. BetterCAP поставляється з hstshijack за замовчуванням.
Створіть каплет під назвою spoof.cap. Додайте ці параметри (не забудьте розмістити цільову IP-адресу в arp.spoof.targets):
У тій самій папці, у якій ви створили каплет, запустіть BetterCAP за допомогою каплета spoof.cap , який ви створили:
На BetterCAP запустіть hstshijack:
Поверніться до Windows і відкрийте браузер. У цій лабораторній роботі ми перевіримо популярний StackOverflow , введіть URL-адресу: stackoverflow.com.
Спробуйте увійти за допомогою підробленого облікового запису, щоб перевірити це. Після того, як ви надіслали підроблені облікові дані, поверніться до BetterCAP на Kali Linux і спробуйте знайти метод POST, отриманий від BetterCAP, ви побачите введені облікові дані, як показано нижче:
404 
433 
319 
397 
322 
335 
362