Перехват данных с выходной ноды tor. часть 1. установка. | Infosklad - складчина с инфопродуктами со складчика. Склад курсов, тренингов, семинаров

Перехват данных с выходной ноды tor. часть 1. установка.

Тема в разделе "Взаимопомощь", создана пользователем Globster, 4 мар 2017.

  1. Globster

    Globster Мистер Зло PRO Пользователь

    Регистрация:
    16 окт 2016
    Сообщения:
    735
    Симпатии:
    340
    Пол:
    Мужской
    Род занятий:
    Недвижимость
    Адрес:
    Ярославль
    Как наверное уже всем известно есть много специфичных сервисов и компрометация учетных данных этих сервисов или же каких либо других данных не очень то и желательна, более того я бы даже сказал что крайне не желательна. Много кто тут, да и в клирнете занимается, мягко говоря, уголовно наказуемой деятельностью. Ведь в последствии компреметации можно получить доступ к учетной записи доверенного продавца на доверенной площадке или же скомпрометировать какие либо другие учетные данные например шопа. На некоторых системах вообще все данные передаются через тор во вполне себе отрытом виде (не всегда конечно, зависит от конкретного приложения). Я не говорю сейчас про данные передаваемые по цепочке нод, конечно они надежно защищены и их расшифровка (по крайней мере на лету) в ближайшее время не представляется теоретически возможной. Я говорю про данные передаваемые и получаемые выходными нодами. Вся сеть построена на доброжелательности хозяев этих самых выходных нод. И ничто не может остановить владельца выходной ноды запустить сниффер на сетевом интерфейсе.

    Именно этим мы с вами и займемся. Так сложилось, что кластер моих серверов (громко сказано всего то 5) освободились от тяжёлой задачи брута rdp, и предположительно будут простаивать еще пару недель. Что бы интеллектуально не деградировать и занять себя и серверы чем либо полезным я решил провести эксперимент. Как наверное всем известно мало ресурсов пользуется SSL сертификатами, тут я лично видел только 1 - зеркало facebook, а про клирнет и говорить не стоит, хотя ситуация меняется с открытием бесплатных центров сертификации. Если отбросить WEB, ко всему прочему многие популярные приложения передают пароли (или же хэши паролей) в открытом виде. Поэтому логично предположить что вооружившись снифером и хорошей видеокартой возможно поймать хороший улов.

    Сразу бы хотелось сказать что на домашнем компьютере это делать малопродуктивно. Необходимо как минимум пара серверов.

    Итак, у нас есть выделенные или же VPS серверы. Подчеркну что описанные действия актуальны для UNIX подобных операционных систем, с Windows я думаю дела обстоят намного проще если есть доступ по VNC (ой да там же RDP). Приступим к настройке. Для начала зайдем на сервер по SHH.

    Для начала необходимо установить сам тор.

    Для FreeBSD это делается так.
    sudo pkg install tor
    Для убунту же (если там не нужно добавлять сторонний репозиторий) подозреваю, что так
    sudo apt-get update && apt-get -y install tor

    Теперь необходимо установить дополнительный софт который нам понадобится в будущем для сниффинга и разбора полетов. Скажу пару слов о устанавливаемом софте для незнающих.

    Tshark - собственно сниффер с широкими возможностями настройки и фильтрации.
    p7zip - архиватор, на случай если перехваченное мы будем анализировать на локальной машине, дамп лучше сжать
    hashcat - для расшифровки хешей.

    Для BSD это делается командой
    sudo pkg install tshark p7zip hashcat
    Для линукса.
    sudo apt-get install tshark p7zip hashcat

    Теперь отредактируем конфигурационный файл torrc. Ниже пример конфигурационного файла.
    Обычно он распологается по пути /usr/etc/tor или /usr/local/etc/tor
    SOCKSPort 9050
    SOCKSPort 37.187.000.000:9100
    SOCKSPolicy accept *:*
    RunAsDaemon 1
    DataDirectory /var/db/tor
    HashedControlPassword 16:...................................
    CookieAuthentication 1
    ORPort 37.187.000.000:9001 NoAdvertise
    ORPort 37.187.000.000:443 NoListen
    ORPort 37.187.000.000:9090
    Address ........rd.net
    OutboundBindAddress 37.187.000.000
    Nickname OVERLORD1
    DirPort 37.187.120.000:9030 NoAdvertise
    DirPort 37.187.120.000:80 NoListen
    ExitPolicy accept *:*
    Этот конфиг разрешает использовать нашу тор ноду как выходной шлюз.

    Зададим пароль если хотим управлять нашей нодой через каую либо программу наподобии arm-tor
    tor --hash-password ваш пароль

    Теперь необходимо перезапустить tor командой, как и в убунту так и во Freebsd.
    sudo service tor restart

    После этого необходимо дождаться пока нашь релей станет виден другим участникам сети.
    Убедиться в этом можем по адресу TorStatus - Tor Network Status
    введя в поиске ник нашей ноды. Хотел бы заметить что сразу сниффер лучше не запускать, подозреваю что в торе где то есть механизмы детекта запущенных сниферов, пока еще не нашел это в коде но предпологаю что где то они есть. Необходимо что бы сервер пробыл в аптайме 1 день а потом уже можно приступать к сниффенгу.


    Итак запускаем снифер em0 имя вашего сетевого интерфейса, traffic.pcap имя файла дампа.
    sudo screen
    tshark -i em0 -w traffic.pcap
    Жмем Ctrl+A потом D что бы выйти из скрина

    Лучше перехватывать весь трафик баз каких либо правил, правила можно применить к дампу а запуск с правилами может быть причиной тому что сниффир пропустит что либо полезное.

    Все готово, пакеты перехватываются.
    [​IMG]
     

Поделиться этой страницей