Старый 28.09.2012, 03:10   #1
tex
 
Регистрация: 26.12.2010
Сообщений: 135
Репутация: 41
По умолчанию Tcp-hijack tools

Выкладываю как есть, так как пока руки не доходят заняться её дизайном и отладкой ((:

Основано на http://goo.gl/rJlG8 и https://rdot.org/forum/showthread.php?t=1618
Видео показывает использование скрипта для перехвата mysql соединения http://www.youtube.com/watch?v=mDVLOA8QCSk

Работает таким образом: скрипт arp спуфит два указанных хоста, мониторит перехватываемый трафик между ними, если попадается с нужным портом то хост инициализировавший соединение- тоесть клиент попросту отрубается FIN пакетом. Затем на локальном интерфейсе открывается указанный порт, локальный клиент подключается к нему и получает все ответы которые мы записали от сервера перед отключением настоящего клиента. Отдав нужное количество пакетов- тоесть пройдя рубеж авторизации скрипт осуществляет двухстороннюю связь между локальным сокетом и удаленным сервером. Изменяя пакеты для корректной обработки ими.

Для работы необходимо указать количество записываемых пакетов, включительно до отправки пароля клиентом, перехватываемый порт и хосты на которые будет производится спуфинг.
Также необходим пакет dpkt.
И еще в системе должен быть отключен ip-форвардинг:
echo 0 > /proc/sys/net/ipv4/ip_forward

Тулза универсальная а не только для тех DB что я указал, а указал я только то что самолично протестировал.
Вложения
Тип файла: zip Tcp-hijack tools.zip (5.6 Кб, 388 просмотров)

Последний раз редактировалось tex; 28.09.2012 в 22:34..
tex вне форума   Ответить с цитированием
Старый 29.09.2012, 17:56   #2
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 353
Репутация: 105
По умолчанию

Цитата:
И еще в системе должен быть отключен ip-форвардинг:
echo 0 > /proc/sys/net/ipv4/ip_forward
По моему это дефольт. Значение 1 включают для особых правил iptables типа как маршрут VPN.
Вопрос: а отключено должно быть на каком сервере? Там где сервер mysql? То есть поменять значение ip_forward не возможно, или же у клиента (наша тачка)?
b3 вне форума   Ответить с цитированием
Старый 29.09.2012, 18:47   #3
tex
 
Регистрация: 26.12.2010
Сообщений: 135
Репутация: 41
По умолчанию

Цитата:
Сообщение от b3 Посмотреть сообщение
По моему это дефольт. Значение 1 включают для особых правил iptables типа как маршрут VPN.
Вопрос: а отключено должно быть на каком сервере? Там где сервер mysql? То есть поменять значение ip_forward не возможно, или же у клиента (наша тачка)?
на тачке где и запускаем скрипт, иначе пакеты будут уходить как есть
tex вне форума   Ответить с цитированием
Старый 30.09.2012, 12:01   #4
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

Интересно, в разных сетях количество пакетов для одного сервиса (пусть mysql) наверно будет различаться? Cначала экспериментально пробовать в нужной сети перед тем, как использовать?
SynQ вне форума   Ответить с цитированием
Старый 30.09.2012, 17:35   #5
tex
 
Регистрация: 26.12.2010
Сообщений: 135
Репутация: 41
По умолчанию

Цитата:
Сообщение от SynQ Посмотреть сообщение
Интересно, в разных сетях количество пакетов для одного сервиса (пусть mysql) наверно будет различаться? Cначала экспериментально пробовать в нужной сети перед тем, как использовать?
Возможно так, предположительно протоколы могут отличатся в зависимости от настроек и версий. Удобнее всего сдампить некоторое кол-во трафика например с помощью ettercap и проанализировать, заодно если захватить всю сеть- можно узнать какие еще хосты с кем общаются.
tex вне форума   Ответить с цитированием
Старый 30.09.2012, 17:38   #6
tex
 
Регистрация: 26.12.2010
Сообщений: 135
Репутация: 41
По умолчанию

Штука вообще убойная при пентестах например, особенно если учитывать что часто используются различные репликаторы и тулзы для мониторинга с максимальными правилегиями в базе. Да и сейчас уже известны методы выполнения кода на всех субд, udf-техники и тп.
tex вне форума   Ответить с цитированием
Старый 01.10.2012, 20:40   #7
nicco
 
Регистрация: 01.01.2011
Сообщений: 45
Репутация: 3
По умолчанию

Я правильно понимаю, что тулза сработает только в лане, где отсутствует инспекция arp?
nicco вне форума   Ответить с цитированием
Старый 01.10.2012, 21:32   #8
tex
 
Регистрация: 26.12.2010
Сообщений: 135
Репутация: 41
По умолчанию

nicco да
tex вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot