Как наверное уже всем известно есть много специфичных сервисов и компрометация учетных данных этих сервисов или же каких либо других данных не очень то и желательна, более того я бы даже сказал что крайне не желательна. Много кто тут, да и в клирнете занимается, мягко говоря, уголовно наказуемой деятельностью. Ведь в последствии компреметации можно получить доступ к учетной записи доверенного продавца на доверенной площадке или же скомпрометировать какие либо другие учетные данные например шопа. На некоторых системах вообще все данные передаются через тор во вполне себе отрытом виде (не всегда конечно, зависит от конкретного приложения). Я не говорю сейчас про данные передаваемые по цепочке нод, конечно они надежно защищены и их расшифровка (по крайней мере на лету) в ближайшее время не представляется теоретически возможной. Я говорю про данные передаваемые и получаемые выходными нодами. Вся сеть построена на доброжелательности хозяев этих самых выходных нод. И ничто не может остановить владельца выходной ноды запустить сниффер на сетевом интерфейсе.
Именно этим мы с вами и займемся. Так сложилось, что кластер моих серверов (громко сказано всего то 5) освободились от тяжёлой задачи брута rdp, и предположительно будут простаивать еще пару недель. Что бы интеллектуально не деградировать и занять себя и серверы чем либо полезным я решил провести эксперимент. Как наверное всем известно мало ресурсов пользуется SSL сертификатами, тут я лично видел только 1 - зеркало facebook, а про клирнет и говорить не стоит, хотя ситуация меняется с открытием бесплатных центров сертификации. Если отбросить WEB, ко всему прочему многие популярные приложения передают пароли (или же хэши паролей) в открытом виде. Поэтому логично предположить что вооружившись снифером и хорошей видеокартой возможно поймать хороший улов.
Сразу бы хотелось сказать что на домашнем компьютере это делать малопродуктивно. Необходимо как минимум пара серверов.
Итак, у нас есть выделенные или же VPS серверы. Подчеркну что описанные действия актуальны для UNIX подобных операционных систем, с Windows я думаю дела обстоят намного проще если есть доступ по VNC (ой да там же RDP). Приступим к настройке. Для начала зайдем на сервер по SHH.
Для начала необходимо установить сам тор.
Для FreeBSD это делается так.
Для убунту же (если там не нужно добавлять сторонний репозиторий) подозреваю, что так
Теперь необходимо установить дополнительный софт который нам понадобится в будущем для сниффинга и разбора полетов. Скажу пару слов о устанавливаемом софте для незнающих.
Tshark - собственно сниффер с широкими возможностями настройки и фильтрации.
p7zip - архиватор, на случай если перехваченное мы будем анализировать на локальной машине, дамп лучше сжать
hashcat - для расшифровки хешей.
Для BSD это делается командой
Для линукса.
Теперь отредактируем конфигурационный файл torrc. Ниже пример конфигурационного файла.
Обычно он распологается по пути /usr/etc/tor или /usr/local/etc/tor
Этот конфиг разрешает использовать нашу тор ноду как выходной шлюз.
Зададим пароль если хотим управлять нашей нодой через каую либо программу наподобии arm-tor
Теперь необходимо перезапустить tor командой, как и в убунту так и во Freebsd.
После этого необходимо дождаться пока нашь релей станет виден другим участникам сети.
Убедиться в этом можем по адресу TorStatus - Tor Network Status
введя в поиске ник нашей ноды. Хотел бы заметить что сразу сниффер лучше не запускать, подозреваю что в торе где то есть механизмы детекта запущенных сниферов, пока еще не нашел это в коде но предпологаю что где то они есть. Необходимо что бы сервер пробыл в аптайме 1 день а потом уже можно приступать к сниффенгу.
Итак запускаем снифер em0 имя вашего сетевого интерфейса, traffic.pcap имя файла дампа.
Лучше перехватывать весь трафик баз каких либо правил, правила можно применить к дампу а запуск с правилами может быть причиной тому что сниффир пропустит что либо полезное.
Все готово, пакеты перехватываются.
Именно этим мы с вами и займемся. Так сложилось, что кластер моих серверов (громко сказано всего то 5) освободились от тяжёлой задачи брута rdp, и предположительно будут простаивать еще пару недель. Что бы интеллектуально не деградировать и занять себя и серверы чем либо полезным я решил провести эксперимент. Как наверное всем известно мало ресурсов пользуется SSL сертификатами, тут я лично видел только 1 - зеркало facebook, а про клирнет и говорить не стоит, хотя ситуация меняется с открытием бесплатных центров сертификации. Если отбросить WEB, ко всему прочему многие популярные приложения передают пароли (или же хэши паролей) в открытом виде. Поэтому логично предположить что вооружившись снифером и хорошей видеокартой возможно поймать хороший улов.
Сразу бы хотелось сказать что на домашнем компьютере это делать малопродуктивно. Необходимо как минимум пара серверов.
Итак, у нас есть выделенные или же VPS серверы. Подчеркну что описанные действия актуальны для UNIX подобных операционных систем, с Windows я думаю дела обстоят намного проще если есть доступ по VNC (ой да там же RDP). Приступим к настройке. Для начала зайдем на сервер по SHH.
Для начала необходимо установить сам тор.
Для FreeBSD это делается так.
sudo pkg install tor
sudo apt-get update && apt-get -y install tor
Теперь необходимо установить дополнительный софт который нам понадобится в будущем для сниффинга и разбора полетов. Скажу пару слов о устанавливаемом софте для незнающих.
Tshark - собственно сниффер с широкими возможностями настройки и фильтрации.
p7zip - архиватор, на случай если перехваченное мы будем анализировать на локальной машине, дамп лучше сжать
hashcat - для расшифровки хешей.
Для BSD это делается командой
sudo pkg install tshark p7zip hashcat
sudo apt-get install tshark p7zip hashcat
Теперь отредактируем конфигурационный файл torrc. Ниже пример конфигурационного файла.
Обычно он распологается по пути /usr/etc/tor или /usr/local/etc/tor
SOCKSPort 9050
SOCKSPort 37.187.000.000:9100
SOCKSPolicy accept *:*
RunAsDaemon 1
DataDirectory /var/db/tor
HashedControlPassword 16:...................................
CookieAuthentication 1
ORPort 37.187.000.000:9001 NoAdvertise
ORPort 37.187.000.000:443 NoListen
ORPort 37.187.000.000:9090
Address ........rd.net
OutboundBindAddress 37.187.000.000
Nickname OVERLORD1
DirPort 37.187.120.000:9030 NoAdvertise
DirPort 37.187.120.000:80 NoListen
ExitPolicy accept *:*
SOCKSPort 37.187.000.000:9100
SOCKSPolicy accept *:*
RunAsDaemon 1
DataDirectory /var/db/tor
HashedControlPassword 16:...................................
CookieAuthentication 1
ORPort 37.187.000.000:9001 NoAdvertise
ORPort 37.187.000.000:443 NoListen
ORPort 37.187.000.000:9090
Address ........rd.net
OutboundBindAddress 37.187.000.000
Nickname OVERLORD1
DirPort 37.187.120.000:9030 NoAdvertise
DirPort 37.187.120.000:80 NoListen
ExitPolicy accept *:*
Зададим пароль если хотим управлять нашей нодой через каую либо программу наподобии arm-tor
tor --hash-password ваш пароль
Теперь необходимо перезапустить tor командой, как и в убунту так и во Freebsd.
sudo service tor restart
После этого необходимо дождаться пока нашь релей станет виден другим участникам сети.
Убедиться в этом можем по адресу TorStatus - Tor Network Status
введя в поиске ник нашей ноды. Хотел бы заметить что сразу сниффер лучше не запускать, подозреваю что в торе где то есть механизмы детекта запущенных сниферов, пока еще не нашел это в коде но предпологаю что где то они есть. Необходимо что бы сервер пробыл в аптайме 1 день а потом уже можно приступать к сниффенгу.
Итак запускаем снифер em0 имя вашего сетевого интерфейса, traffic.pcap имя файла дампа.
sudo screen
tshark -i em0 -w traffic.pcap
Жмем Ctrl+A потом D что бы выйти из скрина
tshark -i em0 -w traffic.pcap
Жмем Ctrl+A потом D что бы выйти из скрина
Лучше перехватывать весь трафик баз каких либо правил, правила можно применить к дампу а запуск с правилами может быть причиной тому что сниффир пропустит что либо полезное.
Все готово, пакеты перехватываются.