0×4553-Intercepter лучший бесплатный сниффер :)

[r4dik]

Цитата:

Сообщение от ertom

Объянсите мне, идиоту, как пользоваться чудо-программой.ip жертвы и мой у меня есть, я ввожу всё, куда надо, только сверху неуверен, какой нужно написать(выбрать) адаптер, но всё равно кроме своих паролей и хостов ничего не вижу!

http://forum.asechka.ru/showpost.php...1&postcount=18

[.MeDkyshal]

скачал прогу, до конца что-то не могу разобраться, а так

=)))
Здесь присутствуют: 4 (пользователей - 1 , гостей - 3)

[ertom]

http://forum.asechka.ru/archive/index.php?t-105018.html

читал, делаю правильно, но какой адаптер выбрать - так и не знаю.к тому же, у меня не локалка, а выделенка - это влияет?

[intercepter]

Цитата:

Сообщение от ertom

Следовательно исходящие сообщения не фиксируются и не будет такой функции в будущем?
MD5-login я использую всегда, возможно теперь во всех клиентах этот метод используется по-умолчанию. Как я понимаю ловить сам hash бессмысленно?
PS:Почему при авторизация на некоторых почтовиках логин\пароль не прослушивается(ya.ru, rambler.ru)?

все фиксируется. разберитесь с тем, как и через что у вас бегает траффик.
хеш ловить бесполезно.
по поводу почты - очевидно используются cookie.

Добавлено через 2 минуты

Цитата:

Сообщение от ertom

Объянсите мне, идиоту, как пользоваться чудо-программой.ip жертвы и мой у меня есть, я ввожу всё, куда надо, только сверху неуверен, какой нужно написать(выбрать) адаптер, но всё равно кроме своих паролей и хостов ничего не вижу!

Добавлено через 50 минут
и ещё, какой (чей?) ip писать в поле remote capture?в хелпе написано, изменить потом присвоенный ip на ip локальной сети.какой из них какой и где взять присвоенный?)

на выделенке бесполезно.
remote capture совершенно для другого.
если возникают такие вопросы, то очевидно фича remote capture не нужна. на удаленном хосте должен стоять демон rpcapd. как установить описано в хелпе.

[ertom]

на выделенке бесполезно.


а что мне делать на выделенке?ещё какая нить может прога?

[Capcha]

ertom, Что ты снифить то собрался на выделенке?

[overflow]

Цитата:

Сообщение от intercepter

все фиксируется. разберитесь с тем, как и через что у вас бегает траффик.
хеш ловить бесполезно.
по поводу почты - очевидно используются cookie.

Весь внутрисетевой трафик уходит\приходит через один интерфейс. Интерфейс имеет несколько внешних IP, на одном IP реализован NAT(icq, http, ftp ходят через него). При выборе интерфейса в вашей программе появляется адрес на котором нет NAT(поле Network Adapter), т.е. он для дрeгих целей(не для сёрфинга и т.д.). Это какой-то признак, что программа будет работать не совсем корректно с проходящими через интерфейс данными?
По-поводу cookie не понял. Я специально пользовал браузер для теста, который удаляет куки после закрытия для авторизации на rambler.ru, ya.ru. Программа пишет в лог только имя сервера и его IP.

[ertom]

Capcha, т.е. вообще снифить незя? не знал

[r4dik]

уууу, я не нашёл кнопки "получить пароли от ху"=\\\

[pitonz]

intercepter
у меня прога вообще незапускается. стоит отбрезанная nLite'ом винда и думаю причина в этом. какие компоненты/службы необходимы и как узнать чего нехватает?

[polovinamozga]

Объясните пожалуйста что происходит
юзаю арп поисонинг
указываю айпи жертвы и айпи шлюза
жму старт пойсонинг.
и все равно ловлю только свои собственные пассы и только свои пакеты
хотя мне точно известно что в момент работы снифера
жертва ползает по вконтакту и по майлу.

в чем косяк?

Добавлено через 14 часов 15 минут
вобщем разобрался.
оказывается для адекватной работы сниффера необходимо
накладывать патч на tcp.sys

[intercepter]

Цитата:

Сообщение от overflow

Весь внутрисетевой трафик уходит\приходит через один интерфейс. Интерфейс имеет несколько внешних IP, на одном IP реализован NAT(icq, http, ftp ходят через него). При выборе интерфейса в вашей программе появляется адрес на котором нет NAT(поле Network Adapter), т.е. он для дрeгих целей(не для сёрфинга и т.д.). Это какой-то признак, что программа будет работать не совсем корректно с проходящими через интерфейс данными?
По-поводу cookie не понял. Я специально пользовал браузер для теста, который удаляет куки после закрытия для авторизации на rambler.ru, ya.ru. Программа пишет в лог только имя сервера и его IP.

какая система? в винде при наличии нескольких ip на интерфейсе отображаются все. да, это может быть причиной. нужно выбирать нужный ифейс.

Цитата:

Сообщение от polovinamozga

вобщем разобрался.
оказывается для адекватной работы сниффера необходимо
накладывать патч на tcp.sys

какой еще патч ? все и так должно работать.
ползать по рамблеру\вконтакте не есть процесс авторизации, в момент которой и перехватывается пароль.

[overflow]

Цитата:

Сообщение от intercepter

какая система? в винде при наличии нескольких ip на интерфейсе отображаются все. да, это может быть причиной. нужно выбирать нужный ифейс.

Cистема разумеется семейства windows, а конкретно Windows 2003 Enterprise(+KerioWinRoute). Есть разница между принципами работы на разных версиях этого семейства? Или вы думали я запускаю программу в FreeBSD к примеру)
Методом последовательного перебора получилось сделать так, чтобы IP на который повешен NAT отображался в меню выбора интерфейса программы...посмотрим что из этого получитсо.

[polovinamozga]

intercepter
у меня freebsd винда через вмваре
патч для мультипоточности
выкалдывался где-то тут в ветках про брутеры.

вообщем сейчас я получил другую странную вещь.
я отлично вижу в локалке как народ сидит в хабах и торрентах
однако никаких пассов не вижу вообще.
ну не может же вся сетка весь день не лазить в инет

[intercepter]

Цитата:

Сообщение от polovinamozga

intercepter
у меня freebsd винда через вмваре
патч для мультипоточности
выкалдывался где-то тут в ветках про брутеры.

вообщем сейчас я получил другую странную вещь.
я отлично вижу в локалке как народ сидит в хабах и торрентах
однако никаких пассов не вижу вообще.
ну не может же вся сетка весь день не лазить в инет

я так понимаю речь идет о патче для tcpip.sys для снятия в xp sp2 ограничения на 10 одновременных коннектов. на самом деле ничего общего с интерсептером это ограничение не имеет.

я отлично вижу в локалке как народ сидит в хабах и торрентах - как и что ты видишь? арп пойзон применяешь? целый список на всю подсеть вбиваешь ?

[ertom]

Решил всё-таки снифить с компа друга. опять то же самое - можно выбрать 2 адаптера WAN(PPP/SLIP) или SIS NIS (Microsoft Packet Scheduler) on local host: unknown (здесь,так понимаю, надо написать ip,чей - свой или жертвы?). Выбирал и тот и другой, всё равно пишет choose adapter, но при этом процесс начинается, и если повезёт, вижу только себя

[polovinamozga]

intercepter

насчет патча для tcpip.sys без него снифер вообще не хотел работать.
то есть кроме себя я никого не видел..

а снифаю так

есть комп жертвы
скажем 192.168.25.55
есть гейт 192.168.24.1
вбиваю все это в необходимые поля
то есть таргет айпи вверхнее
гейт в нижнее.
жму start poisoning начинается перехват пакетов
и фича вся в том что вижу я тока p2p траффик.


целый список на всю подсеть вбиваешь ?

нет не целый
вбиваю максимум два адреса =)
если целый вбить то сеть отваливается

Добавлено через 8 минут
вообщем опять бага...
тот комп который вчера вбивал и кот вечно в хабе
седня вбил его и с него НИ ОДНОГО ПАКЕТА
то есть все что я вижу идет от меня.
подозреваю что виной всему pcap
тот что поставляется с интерсепетром кривой

Добавлено через 20 минут
такая же байда со всех компов.
точно знаю что там счас народ ползает по инету
вбиваю айпи и гейт
и ловлю только свои пакеты

[intercepter]

Цитата:

Сообщение от ertom

Решил всё-таки снифить с компа друга. опять то же самое - можно выбрать 2 адаптера WAN(PPP/SLIP) или SIS NIS (Microsoft Packet Scheduler) on local host: unknown (здесь,так понимаю, надо написать ip,чей - свой или жертвы?). Выбирал и тот и другой, всё равно пишет choose adapter, но при этом процесс начинается, и если повезёт, вижу только себя

arp poison на wan интерфейсе невозможен!

Цитата:

Сообщение от polovinamozga

насчет патча для tcpip.sys без него снифер вообще не хотел работать.
то есть кроме себя я никого не видел..

а снифаю так

есть комп жертвы
скажем 192.168.25.55
есть гейт 192.168.24.1

доступ к 24 сети регулируется маской ? это таже физическая подсеть?
какая операционная система. имеются ли фаерволы типа outpost\zonealarm.

[polovinamozga]

intercepter
маска
255.255.248.0
шлюз
192.168.24.1

таргет айпи 192.168.25.10
мой айпи 192.168.25.5

доступ через маску...
тока как проверить хз.
фаерволлы не стоят
винда SP2 в этот раз не на vmware а на винте уже.

[overflow]

Даже если в меню программы выбрать интерфейс с адресом, через который пользователи ходят в Интернет то в логах лишь "incoming", исходящих сообщений не видно. В чём дело? Другого пути выхода в Интернет просто нет.

[intercepter]

polovinamozga,
overflow,
перед стартом поставте галку Save Session. Затем:
polovinamozga - зайди на компе-жертве куда-нибудь и введи пароль.
нажми стоп.
overflow - Стартани на пару минут, в зависимости от количества пакетов.
После остановки в папке Sessions появится дамп трафа. По этим дампам вероятно смогу решить ваши вопросы. Выложите куда-нибудь, если в пределах до 10 мегабайт, то можно почтой - intercepter.mail@gmail.com

[polovinamozga]

отписал на мыло.

[overflow]

Цитата:

Сообщение от polovinamozga

отписал на мыло.

аналогично

[intercepter]

Цитата:

Сообщение от polovinamozga

отписал на мыло.

ты уверен что все сделал правильно? Признаком работы arp poison'a является увеличение счетчика пакетов Routed. Он обновляется или стоит на нуле ?

overflow, в дампе отсутствуют ЛЮБЫЕ исходящие пакеты icq. http траффик бегает в обе стороны. могу сделать вывод что icq ходит каким-то другим маршрутом, в обход данного интерфейса.

[polovinamozga]

intercepter
абсолютно уверен что все сделано правильно
я даже ради тотальной уверенности слил и
видеомануалы.
все равно не помогает

счетчик
routed на нуле

Добавлено через 8 минут
сейчас заметил интересную вещь...
задал таргет айпи
192.168.25.14
gw
192/168/24/1

а пакеты ловяца с 192.168.94.5
при чем видно в дампе что чел логиница на майл.ру
но в пассах у меня это никак не отображается