Сниффинг пакетов

Meterpreter имеет возможность перехвата пакетов удаленного хоста (пакетного сниффинга), не обращаясь к жесткому диску. Это особенно полезно в случае мониторинга какой тип информации отправляется, а еще полезнее при старте множественных вспомогательных модулей которые в конечном счете производят поиск конфиденциальных данных в захваченных файлах. Сниффер модуль может хранить до 200000 пакетов в кольцевой буферной памяти и экспортирует их в стандартном формате PCAP так что далее вы можете их обработать при помощи psnuffle, dsniff, wireshark и тд.

 

Сначала мы отправляем наш удаленный эксплоит к жертве и получаем нашу стандартную консоль Meterpreter.

Отправляем эксплоит жертве
Dante

 

Отсюда мы инициируем сниффер на интерфейс 1 и запускаем сбор пакетов. Потом мы переносим выход сниффера /tmp/all.cap.

Перенос выхода сниффера
Dante

 

Теперь мы можем использовать наш любимый парсер либо инструмент анализа пакетов для ознакомления с перехваченной информацией.

 

Пакетный сниффер Meterpreter использует MicroOLAP Packet Sniffer SDK и может выискивать пакеты из зараженной машины без необходимости установки каких-либо драйверов либо записей файлов в системе. Модуль достаточно разумный для того чтобы реализовать свой собственный трафик и автоматически удалять любой трафик взаимодействий с Meterpreter. В дополнение того Meterpreter пересылает всю информацию через SSL/TLS туннель и полностью шифрован.

 

packetrecorder

Как альтернативу используйте расширение сниффера, скрипт Карлоса Переса packetrecorder Meterpreter, который позволяет еще некоторую детализацию при захвате пакетов. Для того чтобы увидеть доступные опции, мы выдаем команду ‘run packetrecorder‘ без каких-либо аргументов.

Смотрим аргументы packetrecorder
Dante

 

Прежде чем мы начнем выискивать трафик, нам в первую очередь необходимо определить, какие для нас доступны интерфейсы.

Смотрим доступнаые интерфейсы
Dante

 

Мы начинаем выискивать трафик на втором интерфейсе, сохраняя логи на рабочем столе нашей Kali Linux, и дальше пусть анализатор работает некоторое время.

Работающий аналицатор трафика
Dante

 

Теперь захваченный файл ожидает чтобы мы проанализировали его при помощи таких инструментов как Wireshark или tshark. Мы быстро посмотрим, захватили ли мы что-нибудь интересное.

Смотрим что захватили
Dante

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *