Программа позволяет посмотреть пароль любого пользователя в локальной сети, в т.ч. и отделённого свитчом, если:

  1. Пользователи выходят в инет через прокси, которая требует аутентификации, при этом аутентификация — Basic; а это довольно частое явление, когда локалка — Microsoft, а firewall/proxy — Unix.
  2. Пароль можно увидеть только в момент выхода пользователя в интернет или когда пользователь запрашивает очередную страничку в интернет.
  3. Программа работает при установленном WinPCap
    (http://netgroup-serv.polito.it/winpcap/install/default.htm)

Программа написана не для того, чтобы кому-то навредить, а чтобы админы не думали, что все пользователи такие кретины и можно совсем забить болта на вопросы защиты.

Алгоритм работы программы таков:

  • с помощью WinPCap получаем доступ к содержимому сетевых пакетов
  • требуется заранее знать имя или адрес прокси-машины и атакуемой машины
  • используется тот факт, что если слать на некоторую машину ложные ARP-ответы, то эта машина запишет в свою таблицу адресов информацию из такого ответа, не проверяя, откуда он пришёл

1) Зная IP-адреса машин, определяем их MAC-адреса, отправляя широковещательные ARP-запросы.

2) Засылаем на атакуемую машину ложный ARP-ответ, в
котором указываем, что прокси имеет МАС-адрес нашей машины, в результате обманываем атакуемую машину — она теперь думает, что прокси — это мы.

3) После этого весь трафик между атакуемой машиной и прокси проходит через нас. мы его зеркально отображаем куда следует — если пакет пришёл от прокси, отправляем его атакуемой машине, и наоборот — если пакет пришёл от атакуемой машины, отправляем его проксе.

4) Просматриваем каждый пакет от атакуемой машины к прокси — когда пользователь выйдет в интернет или просто перейдёт к следующей ссылке, к прокси уйдёт запрос на получение новой странички, в котором будет содержаться в т.ч. и пароль.

5) Как только мы выудили пароль, возвращаем всё на свои места — шлём на атакуемую машину ложные ARP-ответы, указывая в них истинный адрес прокси.

В результате пользователь на атакованной машине даже не заметит, что его пароль стянули.

Если используется сеть Microsoft и proxy тоже на базе Microsoft, то в этом случае обычно используется схема аутентификации NT Lan Manager (NTLM), тогда пароль в чистом виде по сети уже не передаётся, и определить его можно только на базе различного рода угадывальщиков типа LC3 и пр.

То же самое происходит и в случае, когда используется сеть Unix и прокси-Unix. Тогда возможны самые различные способы аутентификации, когда пароль в чистом виде также не передаётся.

Но самый типичный случай, на мой взгляд, это когда сеть — Microsoft, а proxy и firewall (т.е. выход в интернет) — на базе Unix. И вот в этом случае часто у администраторов возникает задача определять, кто выходит в интернет, сколько и чего скачивает, и тут администраторы начинают использовать аутентификацию. Поскольку в качестве прокси в таком случае чаще всего используется Squid, а в версиях до 2.5 в нём не было поддержки NTLM (а в 2.5 ещё пойди настрой NTLM:-) ) — используют простую аутентификацию, когда пароль передаётся в чистом виде без шифрования. Вот тут-то и появляются
возможности этот пароль подсмотреть.

Если в сети не используются свитчеры (интеллектуальные хабы), то можно просто слушать весь сетевой
трафик и грести пароли охапкой. Но в случае наличия свитчеров мы можем услышать только
трафик от нас, к нам и широковещательный. Тогда простым прослушиванием ничего не добиться, приходится идти окольными путями. Именно один из таких путей и демонстрирует данная программа. Ей не страшны всякие свитчи — всю информацию она получит и так.

Программа тестировалась на работоспособность именно в такой сети — результаты впечатляют :-). Думаю, что эти результаты ещё более впечатлили бы админа этой сети.

Конечно, ничего выдающегося здесь нет, но по крайней мере это пример программы, которая реально работает и делает своё дело, в отличие от множества других программ, о которых кто-то там где-то что-то слышал. Надеюсь, что программа покажется интересной не только для меня. Присылайте все свои комментарии, замечания, негодования по адресу:
cpp@nm.ru.

Архив с программой и
исходниками

Оставить мнение

Check Also

ФБР обвинило иранского правительственного хакера во взломе HBO и вымогательстве 6 млн долларов

ФБР и Министерство юстиции США, сообщили, что нашли виновного во взломе HBO и преждевремен…