¿Cómo capturar el tráfico cifrado antes de la encriptación/después de la desencriptacion en Windows?

Share this…

netripper

NetRipper es una herramienta de post-explotación de ethical hacking y prueba de penetración dirigida a sistemas Windows que utiliza el enganche de API para interceptar el tráfico de red y las funciones relacionadas con el cifrado de un usuario con privilegios bajos, capaces de capturar tanto el tráfico de texto simple como el cifrado antes de la encriptacion / descifrado.

Las actividades posteriores a la explotación en una prueba de penetración pueden ser desafiantes si el probador tiene bajos privilegios en una máquina Windows completamente  parchada y bien configurada. Esta herramienta de ethical hacking presenta una técnica para ayudar a los consultores de prueba de penetración a encontrar información útil al interceptar el tráfico de la red de las aplicaciones en la máquina comprometida, a pesar de sus privilegios bajos. Además, el tráfico cifrado también se captura antes de ser enviado a la capa de cifrado, por lo tanto, todo el tráfico (texto claro y cifrado) puede ser interceptado. La implementación de esta técnica es una herramienta llamada NetRipper que utiliza el enganche de API para realizar las acciones mencionadas anteriormente y que ha sido especialmente diseñado por los expertos de ethical hacking para ser utilizado en pruebas de penetración, pero el concepto también se puede utilizar para monitorear el tráfico de la red de empleados o para analizar una aplicación malintencionada.

NetRipper debe ser capaz de capturar el tráfico de red de: Putty, WinSCP, SQL Server Management Studio, Lync, Microsoft Outlook, Google Chrome, Mozilla Firefox. La lista no se limita a estas aplicaciones, pero otras herramientas pueden requerir un soporte especial. Las empresas de pruebas de penetración como international institute of cyber security, IICS usan herramientas como Net ripper durante proyectos de pruebas de penetración. NetRipper ofrece un método de inyección de proceso de línea de comandos independientes, para una vez que hayas explotado una máquina de Windows y puedas cargar / ejecutar comandos.

Tiene dos componentes principales:

  1. DLL.dll – Un DLL que se inyectará en varios procesos (el componente principal)
  2. Para configurar e inyectar DLL

El definidor de DLL y el inyector vienen en tres tipos:

  1. NetRipper.exe – Versión de la línea de comandos
  2. netripper.rb – Metasploit módulo post-explotación
  3. Invoke-NetRipper.ps1 – versión de PowerShell

Así que, después de tener acceso a un sistema, lo usas para configurar e inyectar DLL en procesos como Chrome, Firefox, Putty o WinSCP. Encontrarás archivos de texto con tráfico de texto sin formato desde ese sistema. Esto puede incluir nombres de usuarios y contraseñas de diferentes servidores o aplicaciones, entonces un consultor de ethical hacking puede acceder a ellas.

 

netripper