Вышел Intercepter-NG 2.5 для Android
Да, Intercepter еще жив! И после длительного затишья я рад представить новую версию.
Изначально ставилась задача причесать интерфейс, исправить ошибки, ввести некоторые нововведения и протестировать работоспособность на новых версиях Android.
Что из этого вышло — под катом.
Итак. Улучшен внешний вид приложения и повышено удобство использования. Выводимая информация разграничена цветами, ресайз текста осуществляется жестами, переключаться между вкладками можно при помощи свайпов, а так же добавлен вибро-отклик.
Правила маршрутизации и iptables автоматически сохраняются перед началом работы и восстанавливаются при завершении.
Чтобы избежать лишних ожиданий в момент запуска отображается результат предыдущего сканирования для текущей сети. Также при запуске делается быстрый pre-scan — чтобы исключить необходимость повторного сканирования, как это требовалось в прошлых версиях. Улучшен процесс сканирования, добавлен новый способ разрешения имён. Добавлена функция автоматического сохранения имён. Если во время сканирования не удалось определить имя устройства — оно будет взято из кэша.
В настройках добавилась кнопка диагностики. В случае возникновения проблем выводимая информация сможет облегчить поиск решения. В частности, проверяется статус SELinux. Intercepter автоматически переключает setenforce в 0 во время запуска, поэтому если в диагностике окажется статус Enforcing — значит, на данной системе он не отключаем и корректной работы ждать не стоит. Такая ситуация встречается, например, на стоковых прошивках у Samsung. Решается установкой сторонних ROM’ов, например LineageOS.
Новый Intercepter запускается на всех архитектурах начиная с версии Android 4.4. Основное тестирование проводилось на Android 9 и 10, никаких отличий в работе на более ранних версиях быть не должно. Больше не требуется дополнительная установка BusyBox и SuperSU. Достаточно Magisk или иных встроенных root-менеджеров. Libpcap обновлён до версии 1.9.1. Начиная с Android 8.1 для получения SSID сети (он высвечивается на начальном экране) требуется предоставить доступ к данным о местоположении. Их можно не предоставлять, на функционале программы это никак не сказывается.
Улучшен код для работы SSLStrip, добавлен HSTS спуфинг.
Имевшийся ранее сканер портов переделан в упрощенный X-Scan из оригинальной версии под Windows. К открытым портам применяется проверка на наличие SSL, затем высвечивается баннер службы (при наличии) и порт проверяется на принадлежность к HTTP протоколу.
Если это так — выводится информация из различных HTTP заголовков.
Если открыт 445 порт, то инициируется попытка прочитать версию ОС через SMB запрос. Дополнительно запускается проверка на наличие EternalBlue уязвимости.
Теперь я хочу рассказать о новом функционале, который может вырасти во что-то действительно большое, если комьюнити активно поддержит идею.
Производя обычное ARP сканирование, мы получаем пару IP:MAC. По MAC адресу мы можем определить производителя сетевой карты, через ICMP запрос мы можем получить значение TTL и определить, в общих чертах, тип операционной системы: Windows (128), Unix (64) или что-то более редкое — Cisco IOS (255). Если на исследуемом устройстве имеются открытые TCP порты, то мы можем получить TCP Window Size и уже отделить Windows XP от Windows 7 или Linux от FreeBSD.
Именно по этой схеме определялась операционная система в предыдущих версиях Intercepter.
В попытке расширить возможности определения ОС я обратился к пассивному фингерпринтингу, который многие годы попросту игнорировал. Наиболее актуальным приложением с относительно свежей базой является Satori. И Satori и p0f (другой известный инструмент) работают точно таким же образом, что описан выше, только помимо двух значений-маркеров анализируется ряд других полей IP и TCP заголовков, а также TCP опции, их значение и последовательность. Полученный отпечаток представляет из себя строку следующего вида: 64240:128:1:52:M1460,N,W8,N,N,S:T. Это фингерпринт для Windows 10, который так же актуален для Windows 7.
Осмотрев внимательно всю базу отпечатков для TCP протокола, стало ясно, что пользуясь ей действительно можно улучшить точность определения ОС, но изначальные ожидания не оправдались, т.к. многие отпечатки подходят для нескольких версий операционных систем, поэтому крайне затруднительно сделать выбор среди ряда вариантов.
Изначально, подобные системы фингерпринта создавались как универсальный способ определения ОС, применимый к трафику из разных сетей, в том числе глобальных,
где такой параметр как MAC адрес является не существенным. Но Intercepter работает строго в Ethernet среде, где каждое устройство доступно напрямую и имеет уникальный MAC.
Если мы добавим к TCP отпечатку еще и первые 3 байта MAC адреса, то получится практически уникальная запись, позволяющая с высокой степенью точности определить уже не столько операционную систему, сколько модель устройства! Как минимум это применимо к смартфонам, планшетам и другим служебным сетевым устройствам типа маршрутизаторов, принтеров и так далее. Так мы значительно увеличиваем пользу от применения сетевых отпечатков. Единственная сложность — собрать базу записей…
Задача решается несколькими способами:
В настройках Intercepter добавлена кнопка, которая генерирует фингерпринт для вашего устройства, достаточно его скопировать и выслать мне на почту.
Главное убедитесь, что у вас отключена рандомизация MAC адреса, иначе фингерпринт будет совершенно бесполезен.
Плюсы: не требует особых телодвижений. Минусы: даёт отпечаток только Android устройств с root правами.
X-Scan. При наличии хотя бы одного открытого порта, по завершению сканирования, выводится отпечаток для исследуемого устройства, который автоматически копируется в буфер обмена. Если у вас есть возможность узнать версию ОС и\или модель устройства — подпишите отпечаток и вышлите на почту.
Плюсы: выводимая дополнительная информация в этом режиме может помочь определить модель устройства и сформировать отпечаток, даже если вы не знаете, что перед вами. Минусы: малый охват, один отпечаток за одно сканирование.
Intercepter-NG 1.0+. Я выпустил небольшое обновление, добавив вывод отпечатков при Smart сканировании. Присутствуют различные исправления и улучшения относительно предыдущей версии 1.0, в том числе в X-Scan добавлен чекер на EternalBlue, обновлена база oui. Не забудьте поставить npcap.
Плюсы: позволяет за раз получить отпечатки для большого числа устройств в сети. Минусы: сканируется ограниченный список самых распространенных портов.
Пример полноценного отпечатка: CC2DE0;14480:64:1:60:M1460,S,T,N,W5:ZAT=Linux 3.x; MikroTik RB750Gr3
На начальном этапе требуются отпечатки даже с обычных компьютерных систем, не имеющих какой-то конкретной модели. Необходимо пополнить так называемые generic отпечатки, которые объединяют семейство операционных систем разных версий.
Эта база будет полезна не только для использования в Intercepter, она точно так же станет полезной для любого другого проекта, который занимается анализом трафика, например NetworkMiner, используемый в компьютерной криминалистике. Существующие базы для пассивного определения ОС по TCP отпечаткам сильно устарели или имеют недостаточное количество записей. Есть nmap, который так или иначе обновляется, но nmap — это про активное сканирование, совсем другая история…
Intercepter предлагает удобный и быстрый способ собрать отпечатки, не требуя глубоких познаний в IT — запусти сканирование, скопируй отпечаток — подпиши, отправь. Piece of cake.
Я даю инструмент, а что с ним делать дальше — решать вам…
Многих интересует судьба основной Windows версии. Выход полноценного обновления обязательно будет, но когда — пока неизвестно.
Выражаю благодарность AndraxBoy и другим пользователям 4pda за оказанную помощь в тестировании. Отдельное спасибо Магомеду Магомадову и Александру Дмитренко.
Источник
Intercepter ng android без рут
Для функционирования программы необходимы права root пользователя.
Краткое описание:
Многофункциональный сетевой снифер.
Описание:
Осуществляет перехват и анализ сетевого трафика. Позволяет восстановить пароли, сообщения месcенджеров, передаваемые по сети.
* перехват авторизации следующих протоколов
ICQ\IRC\AIM\FTP\IMAP\POP3\SMTP\LDAP\BNC\SOCKS\HTTP\WWW\NNTP\CVS\TELNET\MRA\DC++\VNC\MYSQL\ORACLE\NTLM\KRB5\RADIUS
* перехват сообщений следующих месенджеров
ICQ\AIM\JABBER\YAHOO\MSN\IRC\MRA
* Smart Scanning with OS\Device detection using tcp fingerprints
* Security Scanner X-Scan
* ARP Poisoning \ SSLStrip with HSTS Spoofing \ DNS Spoofing \ Forced Download \ HTTP Injections
* ARP Watch \ ARP Cage
* Capturing packets and post-capture (offline) analyzing
Работает на андроиде >=4.4 при наличии root (желательно Magisk).
Русский интерфейс: Нет
В этой теме обсуждаем версию для Android устройств!
Прежде чем задать вопрос о неработоспособности :
1) Проверьте наличие и обновление supersu и busybox (проверьте в логах supersu нет ли ошибок).
2) Проверьте доступ приложения к интернет (иногда мешают антивирусы, фаерволы).
3) Почитайте хотя бы последние 10-15 стр. темы.
Если ничего не помогло, то в своем сообщении напишите:
1) Полную версию ОС, если это цианоген или что-то еще, то так и пишите, а не просто 5.0.1.
2) Название вашего устройства.
3) При неработающем сканировании пропустите его и запустите захват. Работает ли он?
4) Напишите маску сети.
5) Наличие антивируса и фаервола.
Если приложение не устанавливается или падает/вылетает, для начала предоставьте лог (LogCat) > ® GameGuardian (Пост Enyby #41134944) + нужен лог из SuperSu Pro ®Network utilites(Test version) (Пост htc 600 #54013969)
Сообщение отредактировал iMiKED — 16.06.20, 06:18
— не сохраняются настройки
— некорректное возвращение из слипа (состояние не сохраняется)
в каком случае отображается в консоли «*»?
1. так задумано.
2. проблема редкая, у большинства прекрасно все сохраняется после разблокировки. о каком устройстве и андроиде идет речь?
* отображается при закрытии процесса консольного приложения. если перед звездочкой был надпись quit — все нормально.
если * появилась сама в момент работы программы — значит произошел сбой.
если включен резурекшн — вариант сбоя возрастает, особенно на устройствах с небольшим количеством оперативки.
чтобы помочь исправить ошибку — сохраняйте pcap сессию, и после слета вышлите мне .pcap файл.
Добавлено 06.12.2012, 09:23:
Уважаемые пользователи, по возможности, качайте приложение из гугла, так проще понять реальную статистику закачек.
Intercepter-ng,
1. запускаем программу
2. переходим в настройки и ставим галку
3. переходим на первую вкладку и запускаем — в консоль ничего не выводится
.
на полчаса отошёл. попробовал — теперь работает, хотя до этого проверял раз 10.
Сообщение отредактировал zjaba-zjaba — 06.12.12, 14:42
Intercepter-ng,
я бы в опцию добавил. всем не угодить
— портретный режим;
— чистка pcap-файлов;
— сохранение при необходимости копии pcap-файла (как с логом консоли);
— фильтрация по IP,
а в идеале бы просмотр и анализ содержимого пакетов, но тут не знаю, потянет ли мобильный девайс большие дампы.
Добавлено 06.12.2012, 15:55:
я бы в опцию добавил. всем не угодить
— портретный режим;
— чистка pcap-файлов;
— сохранение при необходимости копии pcap-файла (как с логом консоли);
— фильтрация по IP,
а в идеале бы просмотр и анализ содержимого пакетов, но тут не знаю, потянет ли мобильный девайс большие дампы.
портретный режим бесполезен, в него мало что влезает, тем более на телефонах.
чистку добавлю.
с сохранением копии pcap не совсем понятно, в чем смысл? он генерится по факту захвата, а не по желанию в момент сохранения (как текстовый лог).
в raw режиме будет поле для ввода фильтра в формате pcap.
просмотр содержимого затруднен и ограничением ресурсов и нехваткой рабочего пространства экрана.
Хорошая программа, нужная. И хорошо, что сам разработчик тут 🙂
Просьба переделать интерфейс. На galaxy s2 кнопки занимают половину экрана. хочется видеть список пакетов на весь экран. Может неплохо получится с авто-прятанием кнопок. Серую полоску над кнопками можно убрать, что б не занимала и без того ограниченное место на экране. Размер шрифта не плохо было бы сделать настраиваемый.
И самое главное — нужен детальный просмотр пакетов. можно сделать так — при нажатии на какой то пакет открывается новое окно с его содержимым. посмотрели что интересует, закрыли. т.к. будем смотреть конкретный пакет, то проблем с ресурсами и экраном не возникнет. tcpdump показывает все и ресурсов ему хватает.
Еще вот что: на некоторых wifi адаптерах умельцы прикрутили monitor mode (кто в курсе, поймет о чем речь. в частности такой режим имеют galaxy s2 и s3. адаптеры BCM 4329, 4330). Соответственно было бы супер, если бы показывало 802.11 заголовок. Исходники для расшифровки можно взят с того же Wireshark, он в открытом доступе.
Пожелаем автору проги не забрасыват проект, т.к. нормального снифера под андроид нету к сожалению.
И спасибо за прогу!
Хорошая программа, нужная. И хорошо, что сам разработчик тут
Просьба переделать интерфейс. На galaxy s2 кнопки занимают половину экрана. хочется видеть список пакетов на весь экран. Может неплохо получится с авто-прятанием кнопок. Серую полоску над кнопками можно убрать, что б не занимала и без того ограниченное место на экране. Размер шрифта не плохо было бы сделать настраиваемый.
И самое главное — нужен детальный просмотр пакетов. можно сделать так — при нажатии на какой то пакет открывается новое окно с его содержимым. посмотрели что интересует, закрыли. т.к. будем смотреть конкретный пакет, то проблем с ресурсами и экраном не возникнет. tcpdump показывает все и ресурсов ему хватает.
Еще вот что: на некоторых wifi адаптерах умельцы прикрутили monitor mode (кто в курсе, поймет о чем речь. в частности такой режим имеют galaxy s2 и s3. адаптеры BCM 4329, 4330). Соответственно было бы супер, если бы показывало 802.11 заголовок. Исходники для расшифровки можно взят с того же Wireshark, он в открытом доступе.
Пожелаем автору проги не забрасыват проект, т.к. нормального снифера под андроид нету к сожалению.
И спасибо за прогу!
ответил на почту, здесь увидел комментарий лишь сейчас.
Источник
