Всем привет. Нужна помощь, в нужную ли сторону я думаю ? Возникло пару вопросов по снифу трафа в проводных и безпроводных сетях. К примеру имеем сеть с группой компьютеров Win7-10+Server_8k_12K Все проводные клиенты и серверы подсоеденены к L2 железке, тоесть тупого broadcast трафика на все порты не будет( аля HUB) а значит не поснимать трафик по типу SpanPort если конкретно не назначить на это порт, но скорее всего не получится так как железка тупая и кроме таблицы MAC=Port нихрена не умеет+ её сначало надо будет сломать. К примеру я подключился к Wifi. Вижу хосты , задача снифнуть трафф с определенного проводного хоста. Беру капашу свой фаервол, в iptables включаю форвард всего http:https трафа на самого себя в SSLstrip на нужный порт, не забываю включить транзит echo 1 > /proc/sys/net/ipv4/ip_forward. Далее возникает вопрос как или какими инструментами застравить жертву кидать на меня трафф. ? Пока только одна мысль, обмануть жертву и сказать ей что мой хост это шлюз в подсети а далее форвардить весь траф от себя на роутер, либо только траф по нужному порту. Тут сразу мысль что нужно в MAC таблице жертвы сделать подмену соответсвия MAC=IP , верно ли я думаю ? Какие методы или инстументы на ARP актуальны в данный момент при условии что жертвы Win10 и они постоянно апдейтятся ? Как быть в маршрутизированой сети с несколькими подсетями , ломать машрутизатор ? Заранее спасибо за помощь.
Часть вопроса уже изучил. arpspoof но насколько я понял он работает в пределах широковешательного домена а дальше в другие сети уже машрутизатор не даёт спамить MAC. Как релить вопрос в маршрутизированых сетях при условии что доступ только к одной подсети, вопрос брута и получения админки с хостов в других подсетях не рассматривается. Какие будут мысли. ?
Запутано как то все описал. По пунктам бы все сделать. Ты хочешь всю сетку сразу поиметь или только нужный комп win 10?
Задача: сбор данных с каждого хоста в сети. Что имеем. Группа подсетей 172.30.0.0/16 в одной из них 172.30.25.0/24 поселилась Wifi точка. (Успешно сломана) В подсети 172.30.1.0/24 поселились разномастные сервера, win2k8, 2k12, CentOs, OREL. Сниф данных с 25-й подсети ничего интересного не дает , админы поселились в 2-й подсети и нужно снифануть их траф до серверов. Вот и ломаю голову как правильно это сделать. Пока самый адекватный вариант подселиться на хост админа и оттуда снифать траф до серверов, но проблема в том что учетки админов в домене и судя по тестам включены политики блокировки учеток при вводе не верного пароля (Брут опадает), + при постояном локе будут капать логи на контроллер домена Audit Failure что вызовет подозрение. Есть еще вариант пробраться и брутнуть Linux сервера и оттуда вести всю деятельность, пока безуспешно. Читал еще про эксплойты на SSH , но пока не вкурил как правильно их использовать. Была мысль сделать следующее, высылать , подкинуть админам файлы JPG, PDF, DOC без разницы, с приджойненым бекдором, но проблемы в том что все что я находил палится Каспером, Симантеком либо сам брут либо джойнер да еще и нормального криптера нет, а где купить свежее и качественное, не дорого я не знаю. Вот такие дела. Если есть мысли то буду рад выслушать любые советы. Всем спасибо.
