Khái quát về Urlsnarf
Giới thiệu chung
Chương trình nghe trộm gói tin, hay còn gọi là phần mềm phân tích mạng, có khả năng chặn và ghi lại dữ liệu qua mạng viễn thông Khi dữ liệu di chuyển, chương trình này sẽ bắt và giải mã từng gói tin theo các tiêu chuẩn như RFC Tùy thuộc vào cấu trúc mạng, người dùng có thể nghe trộm toàn bộ hoặc một phần giao thông dữ liệu Để giám sát mạng hiệu quả, người ta thường sử dụng thiết bị chuyển mạch với cổng theo dõi, cho phép theo dõi tất cả gói tin trong mạng LAN.
- Các chương trình nghe trộm gói tin có thể được dùng để:
+ Phân tích các vấn đề của mạng
+ Phát hiện các cố gắng xâm nhập mạng
+ Thu thập thông tin để tăng hiệu quả một cuộc xâm nhập mạng
+ Theo dõi sử dụng mạng
+ Thu thập và lập báo cáo thống kê mạng
+ Lọc các nội dung đáng ngờ ra khỏi giao thông mạng
Các hacker thường do thám người dùng trên mạng để thu thập thông tin nhạy cảm, chẳng hạn như mật khẩu, tùy thuộc vào các phương pháp mã hóa nội dung mà họ có thể áp dụng.
+ Kỹ nghệ ngược các giao thức truyền thông được sử dụng trên mạng
+ Tìm lỗi các giao tiếp khách/chủ
- Các công cụ được dùng phổ biến : AiroPeek, dSniff, EtherPeek, Ethereal,
Ettercap, snoop (Solaris), tcpdump, Wireshark (Fork of Ethereal),
Dsniff là một gói tiện ích mạnh mẽ, cho phép phân tích cú pháp nhiều giao thức ứng dụng khác nhau và trích xuất thông tin quan trọng như tên người dùng, mật khẩu, trang web đang truy cập và nội dung email Bên cạnh đó, Dsniff còn có khả năng vượt qua các hành vi bình thường của mạng chuyển mạch, giúp hiển thị lưu lượng mạng từ các máy chủ khác trong cùng một phân đoạn mạng.
Giới thiệu về UrlSnarf
- Công cụ URLsnarf được viết bởi Giám Đốc hệ điều hành , Duo Security tên là Dug Song vào năm 2000 Với phiên bản ổn định 2.3 / Ngày 17 tháng 12 năm
Urlsnarf là một công cụ trong bộ công cụ Dsniff, được sử dụng để giám sát thụ động mạng nhằm phát hiện các dữ liệu quan trọng như mật khẩu, email và tệp tin.
Urlsnarf là một công cụ mạnh mẽ giúp nắm bắt tất cả các liên kết URL từ lưu lượng HTTP được đánh hơi Kết hợp hoàn hảo với các công cụ phân tích web khác, Urlsnarf ghi lại tất cả các yêu cầu HTTP GET và POST, cung cấp các liên kết URL có thể nhấp được Ngoài ra, nó còn cung cấp thông tin chi tiết về trình duyệt web và hệ điều hành của người dùng.
- UrlSnarf được tác giả lấy tên từ sự kết hợp giữa Url và Snarf :
URL là một tham chiếu quan trọng đến tài nguyên web, xác định vị trí của nó trên mạng máy tính và cách để truy xuất Nó được coi là Mã nhận dạng tài nguyên thống nhất (Uniform Resource Identifier) Một ví dụ về URL là http://www.example.com, trong khi www.example.com không đủ điều kiện để được xem là một URL.
Snarf là thuật ngữ được sử dụng trong cộng đồng lập trình viên và UNIX, chỉ việc sao chép tệp hoặc dữ liệu qua mạng mà không có sự cho phép thích hợp Thuật ngữ này còn ám chỉ việc sử dụng các công cụ dòng lệnh để truyền tệp thông qua các giao thức như HTTP, gopher, ngón tay và FTP.
Trong kiến trúc máy tính đa xử lý, việc đạt được tính nhất quán của bộ đệm mà không cần sự tương tác của người dùng có thể được thực hiện thông qua việc quan sát các lần ghi vào dữ liệu lưu trữ trong bộ đệm.
- Chức năng của UrlSnarf là xuất các URL đã chọn được đánh hơi từ lưu lượng
HTTP trong CLF (Common Log Format) là định dạng nhật ký phổ biến được sử dụng bởi hầu hết các máy chủ web, cho phép người dùng dễ dàng xử lý dữ liệu ngoại tuyến bằng các công cụ phân tích nhật ký web ưa thích như analog hay wwwstat.
Ưu điểm, nhược điểm của Urlsnarf
- Công cụ có mã nguồn mở và miễn phí
- Nắm bắt các liên kết trang web mà bạn bè của bạn đang tìm kiếm trực tuyến
- Dễ sử dụng , thích hợp được nhiều công cụ khác nhau như arpspoof , websploit
- Chỉ sử dụng trong mạng cục bộ (LAN) và các trang website được thiết lập với giao thức HTTP
- Không khai thác sâu được thông tin nhạy cảm của người dùng như tài khoản , mật khẩu ,…
Cách phòng chống Urlsnarf
Để bảo vệ dữ liệu của bạn, hãy sử dụng các trang web có giao thức HTTPS, mà bạn có thể nhận biết qua biểu tượng 'ổ khóa' Giao thức này đảm bảo rằng thông tin được truyền tải một cách an toàn và được mã hóa Nếu có tùy chọn, hãy cài đặt plugin HTTPS Everywhere để tự động chuyển sang phiên bản an toàn của trang web khi duyệt internet.
- Sử dụng mạng riêng ảo (VPN) để thực hiện các giao dịch và liên lạc nhạy cảm
VPN thực sự cần thiết khi sử dụng WiFi công cộng
- Tránh các điểm truy cập WiFi công cộng
- Cài đặt phần mềm chống virus – bằng cách này, bạn có thể tránh các cuộc tấn công trung gian dựa trên phần mềm độc hại đã cài đặt
Hướng dẫn cài đặt , hướng dẫn sử dụng Urlsnarf
Hướng dẫn cài đặt trên Kali linux
- Do Urlsnarf nằm trong bộ sưu tập công cụ của dsniff nên chúng ta chỉ cần cài đặt dsniff
- Cài đặt dsniff trong Kali Linux với câu lệnh
- Sau khi cài đặt chúng ta kiểm tra Urlsnarf đã cài đặt hay chưa bằng câu lệnh :
Hình 1 Urlsnarf được cài đặt trên kali linux
Hướng dẫn sử dụng
2.1 Các thuật ngữ hay gặp
- Show modules : lệnh để hiển thị trạng thái modules và thông tin
- Show options : lệnh để hiển thị các tùy chọn có trong modules
- Use < > : sử dụng các trạng thái trong modules
- Run : chạy các chương trình được cài đặt
Bước 1 Sử dụng các công cụ quét để tìm ra địa chỉ Ip và Mac của mục tiêu
Bước 2 Sử dụng các công cụ chặn thông tin và lưu trữ dữ liệu như arpspoof websploit,…
Bước 3 Dùng Urlsnarf ghi lại những thông tin bị chặn lại hoặc dữ liệu đang bị nghe lén
Bước 4 Thu được kết quả mà Urlsnarf ghi lại
Bài lap ,Kịch bản demo
Bài lap 1 : Dùng công cụ Urlsnarf kết hợp với cuộc tấn công MITM với Websploit
Một trang web không áp dụng TLS cho tất cả các trang hoặc sử dụng mã hóa yếu (HTTP) có thể dễ dàng bị tấn công Kẻ xấu có thể theo dõi lưu lượng mạng, đặc biệt là trên các mạng không an toàn như Wi-Fi công cộng, để chặn và thu thập thông tin cá nhân của người dùng trực tuyến.
Gồm một máy kali dùng để tấn công và máy windows 7 làm máy victim Một số công cụ đi kèm websploit , urlsnarf
Bước 1: Cần cài đặt websploit trong kali nếu không có root @ kali : ~ # apt-get install websploit
Bước 2: Để chạy websploit root @ kali : ~ # websploit
Hình 2 websploit được cài đặt trên Kali
Bước 3: Tiếp theo, chúng ta cần liệt kê các mô-đun với websploit
Hình 3 show modules của websploit
Bước 4: Cần chọn network / mitm trong Mô-đun mạng wsf > use network/mitm wsf:MITM > show options
Hình 4.Show options của websploit
- Giao diện: Cần chỉ định giao diện bộ điều hợp mạng dựa trên bộ điều hợp mạng của chúng tôi
Thiết lập Giao diện eth0 Thiết lập Giao diện wlan0
- Router: Cần xác định IP Router, có thể tìm bằng lệnh route -n đặt Bộ định tuyến (Cổng IP)
- Mục tiêu: Địa chỉ IP của máy nạn nhân, có thể được tìm thấy bằng ipconfig cho windows và ifconfig cho Linux
Hình 5.Thiết lập giao diện tấn công trên Websploit
Bước 5: Sau khi hoàn tất các thiết lập, hãy khởi động trình đánh hơi Khi bạn chạy Trình đánh hơi IP Chuyển tiếp và Giả mạo ARP, quá trình đánh hơi sẽ bắt đầu.
Bây giờ đi xuống máy nạn nhân và bắt đầu lướt, tất cả hình ảnh sẽ được chụp bởi urlsnarf
Hình 6.Kết quả thu được của Websploit
Link demo video : https://drive.google.com/file/d/1RvL5DmTkaDlitCnU7nIy7wILqGmLOe_-
Bai lap 2 : Dùng công cụ Urlsnarf kết hợp với Arpspoof
Trong cùng một mạng LAN , các cuộc tấn công MITM thường xuyên xảy ra
Kẻ tấn công sử dụng Arpspoof để giả mạo địa chỉ IP và MAC của Gateway, từ đó chặn các lưu lượng HTTP khi người dùng truy cập internet Đồng thời, công cụ Urlsnarf sẽ ghi lại các dữ liệu của nạn nhân, tạo ra nguy cơ rò rỉ thông tin cá nhân.
Gồm một máy kali dùng để tấn công và máy windows 7 làm máy victim Một số công cụ đi kèm nmap , arpspoof , urlsnarf
Bước 1 Sử dụng công cụ quét để tìm mục tiêu Bước 2 Dùng câu lệnh
Echo > 1 /proc/sys/ipv4/ip_forward
Thực hiện nhiễm độc vào máy nạn nhân
Hình 7 Thực hiện nhiễm độc Arp của Arpspoof
Bước 3 sử dụng Urlsnarf ghi lại những thông tin đang nghe lén urlsnarf
Hình 9 kết quả thu được từ urlsnarf
Link video demo : https://drive.google.com/file/d/1dbttGVOjhLJupVnv2AFMNiz74BNARoAi/view?usp=s haring
Bài lap 3 : Urlsnarf kết hợp với công cụ hakkuframework
Trong một mạng LAN, các cuộc tấn công thường xuyên xảy ra, với kẻ tấn công thường xuyên nghe lén và ghi lại thông tin mà nạn nhân đang tìm kiếm trên internet.
Gồm một máy kali dùng để tấn công và máy windows 7 làm máy victim Công cụ đi kèm là hakkuframework
To install Hakkuframework on Kali, begin by navigating to the Desktop directory Use the command `git clone https://github.com/4shadoww/hakkuframework` to download the framework After cloning, change the directory to Hakkuframework and list its contents with the command `ls`.
B2 Tiếp tục đến thiết bị đầu cuối và nhập
Hình 12 show modules của Hakku
[hakku]: use mitm [hakku] (mitm): show options
Hình 13 shows options B3.Tìm id mạng hoặc địa chỉ ip của máy mục tiêu được kết nối qua mạng
[hakku] (mitm): set interface eth0 interface => eth0
[hakku] (mitm): set sniffer urlsnarf
Hình 15 kết quả thu được từ Urlsnarf
Link video demo : https://drive.google.com/file/d/1KsDKlBwYzsos0U7r20rUKliezTp9UiQE/ view?usp=sharing
So sánh đánh giá
So sánh MITMf vs Urlsnarf
Khung công cụ Man-in-the-Middle framework (MITMf) là một giải pháp tấn công Man-in-the-Middle cho phép thiết lập dễ dàng các cuộc tấn công MitM và kiểm tra an ninh mạng MITMf tích hợp máy chủ SMB, HTTP và DNS, có thể được điều khiển qua các plugin khác nhau, cạnh tranh với Ettercap Công cụ này bao gồm phiên bản sửa đổi của proxy sslstrip, cho phép chỉnh sửa HTTP và hạ cấp HTTPS, mặc dù nhiều trình duyệt hiện nay đã bảo vệ chống lại sslstripping MITMf có khả năng nắm bắt nhiều loại lưu lượng mạng, bao gồm FTP, IRC, POP, IMAP, Telnet, SMTP, SNMP, NTLMv1/v2 và Kerberos, hỗ trợ các giao thức như HTTP, SMB và LDAP.
Urlsnarf là một công cụ mạnh mẽ giúp nắm bắt tất cả các liên kết URL từ lưu lượng HTTP được đánh hơi Khi được khởi động, nó ghi lại tất cả các yêu cầu HTTP GET và POST, cung cấp các liên kết URL có thể nhấp được Ngoài ra, Urlsnarf còn cung cấp thông tin chi tiết về trình duyệt web và hệ điều hành, tạo ra sự kết hợp tuyệt vời với các công cụ phân tích web và đánh hơi khác.
Bước 1 Tìm mục tiêu của bạn
Nếu bạn chưa xác định mục tiêu của mình, hãy sử dụng nmap để liệt kê các máy chủ trên mạng gia đình Một trong những mục tiêu quan trọng là cửa ngõ mạng Để thực hiện điều này, trước tiên bạn cần biết ID mạng và mặt nạ mạng con của mình Mở thiết bị đầu cuối và nhập lệnh ifconfig để lấy thông tin cần thiết.
Tôi sẽ sử dụng giao diện wlan0 không dây với địa chỉ IP 10.0.0.49, trong đó ID mạng là 10.0.0.0 và mặt nạ mạng con là 255.255.255.0 hoặc /24 Để xác định các máy chủ trên mạng, tôi có thể thực hiện quét ping đơn giản bằng lệnh nmap -sP 10.0.0.0/24 Nếu muốn một phương pháp kín đáo hơn, tôi có thể sử dụng quét SYN Stealth với lệnh -sS Nmap sẽ quét 256 địa chỉ IP để tìm ra các máy chủ đang hoạt động.
ID mạng và địa chỉ quảng bá)
Xem lại danh sách các máy chủ và xác định mục tiêu nào bạn muốn đánh hơi
Mục tiêu đầu tiên của tôi sẽ là 10.0.0.246 Mục tiêu thứ hai của tôi sẽ bằng cổng vào 10.0.0.1
MITMf rất dễ sử dụng, nhưng bạn nên làm quen với các lệnh bằng cách gõ mitmf -h Nếu chưa cài đặt MITMf, hãy sử dụng lệnh apt-get install mitmf Mở thiết bị đầu cuối và nhập lệnh mitmf -i wlan0 –target 10.0.0.246 –gateway 10.0.0.1 –arp –spoof, lưu ý rằng một số dấu gạch ngang là dấu gạch ngang đôi Đừng quên thay địa chỉ IP của mục tiêu bằng địa chỉ IP của bạn Nhấn Enter và giữ thiết bị đầu cuối mở.
Lệnh này thực hiện tấn công ARP đầu độc nhằm vào cả hai mục tiêu, tạo ra một cuộc tấn công Man-in-the-Middle (MitM) giữa chúng Tất cả lưu lượng truy cập web giữa hai mục tiêu sẽ được chuyển hướng qua giao diện của tôi, cho phép tôi theo dõi và xem bất kỳ lưu lượng web nào không được mã hóa.
Khi tiến hành tấn công MitM trên mạng gia đình, hãy mở một thiết bị đầu cuối mới và nhập lệnh "urlsnarf -i wlan0" rồi nhấn enter Giữ thiết bị đầu cuối này mở để theo dõi kết quả Nếu cần, bạn có thể tìm hiểu thêm về các lệnh của urlsnarf bằng cách gõ "urlsnarf -h".
Mở cả hai cửa sổ đầu cuối và dành thời gian để theo dõi mục tiêu của bạn trên Web Sớm hay muộn, bạn sẽ thấy thông tin mới xuất hiện trên mỗi thiết bị đầu cuối Dưới đây là ảnh chụp màn hình của thiết bị đầu cuối.
MITMf Chúng tôi thấy một vài URL ở đó, chẳng hạn như http://www.lamebook.com và http://www.lijit.com
Hình 20 Kết quả của Mitmf
Thiết bị đầu cuối urlsnarf cung cấp thông tin chi tiết hơn về từng yêu cầu HTTP, tương tự như MITMf Cả hai công cụ này đều giúp người dùng thu thập thêm thông tin về mục tiêu, chẳng hạn như việc xác định rằng mục tiêu đầu tiên là một chiếc iPhone của Apple đang sử dụng trình duyệt Web.
Safari Chúng tôi cũng sử dụng hệ điều hành và phiên bản của nó, đó là phiên bản iOS 11.0.3
Trong urlsnarf, bạn có thể nhấp vào các liên kết này và điều hướng đến chính xác mục tiêu đang xem
Bước 5 Sửa đổi kết quả (Tùy chọn)
MITMf có giao diện khá sạch sẽ, nhưng công cụ urlsnarf có thể tạo ra nhiều kết quả không cần thiết Nếu bạn chỉ muốn xem danh sách các URL đang được truy cập, hãy sử dụng lệnh: urlsnarf -i wlan0 | cut -d " " -f4.
Hình 22 sửa đổi trên Urlsnarf
Lệnh này chỉ áp dụng cho các URL, không cho toàn bộ yêu cầu HTTP, giúp chúng tôi có một danh sách rõ ràng các URL tương tự như MITMf.
Bước 6 Thu thập thông tin đăng nhập
MITMf sẽ chặn các yêu cầu HTTP POST đến máy chủ Web, dẫn đến việc thông tin đăng nhập của người dùng trên các trang web không an toàn có thể bị lộ Trong khi đó, Urlsnarf không hiển thị tên người dùng và mật khẩu.
Hình 23 Thông tin người dùng thu được từ Mitmf
Trong ảnh chụp màn hình, tên người dùng là “John123” và mật khẩu là “Sunshine”, đây là thông tin đăng nhập cá nhân mà tôi đã tạo ra cho mục đích thử nghiệm.