Tutorial cain & abel

Cain & Abel v 2.5Quebra de senhaAtravés daAtaques de envenenamento de cache ARPv.12004Página 1 de 15Objetivo:No final deste laboratório estudantes será capaz de utilizar a palavra-passe e auditoriaARP veneno Routing (APR) características de Cain & Abel.Informação:A ferramenta de recuperação de senha Cain & Abel para sistemas operacionais Microsoft permiterecuperação de vários tipos de senhas por sniffing da rede, rachadurassenhas criptografadas usando Dictionary, Brute-Force, ataques de criptoanálisedecodificação embaralhada senhas, revelando caixas de senha, descobrindo em cachesenhas e protocolos de análise de roteamento. Existe uma versão para o Windows 98e uma versão NT2000 / XP com mais recursos que serão utilizados neste laboratório.Onde Cain é a principal ferramenta de análise, o serviço de Abel NT fornece um controle remotoconsola na máquina de destino, que pode despejar os hashes de usuário do controle remotoSAM mesmo que tenha sido criptografada com o utilitário "Syskey" e outros recursos comoo dumper LSA Secrets, o gerente tabela de rotas ea Tabela TCP / UDPViewer.Uma característica interessante do Cain & Abel é TAEG (ARP veneno Routing), quepermite que sniffing em LANs comutadas ao sequestrar o tráfego IP de múltiplos hosts emo mesmo tempo. O sniffer também pode analisar protocolos criptografados, como SSH-1e HTTPS se usado com abril e uma situação Man-in-the-middle. Cain também vemcom monitores de autenticação do protocolo de roteamento, rota extratores, bolachas paraTodos os algoritmos de hash comum e para outras várias autenticações específicas,calculadoras de senha (Cisco PIX hashes RSA SecurID Tokens), decodificadores (AcessoBases de dados, Base64, Cisco Type-7, Enterprise Manager, dial-up, Remote Desktop)Cisco configuração Downloader / Uploader, SID-scanner, Secrets LSA Dumper,Armazenamento protegido senhas Viewer, NT Hash-Dumper, Abel remoto Console,MAC Scanner, Scanner Promiscuous-Mode, Scanner sem fio eTCP / UDP / ICMP Traceroute + DNS Resolver + Máscara de rede Descoberta + WHOISresolvedor.A versão atual do Cain & Abel é limitado a utilizar no mesmo físicasegmento de rede. segmentos comutados funcionar bem, cheirando embora remota énão ativado no momento. Ele funcionará em redes sem fio, bem como com selectsuportado NIC de. Quebra WEP está em andamento, mas não concluído a partir de 8/15/04.Os administradores de rede, bem como hackers vai encontrar usos para este software. UMAadministrador de rede pode usar a senha de recurso de craqueamento de auditar umPágina 2 de 15sistema de senhas fracas ou inexistentes. Da mesma forma, um hacker poderiaganhar a entrada ilegal em um sistema desta forma. Os recursos de controle remoto de Cain &Abel permitir a actividades tais como estes a serem realizadas a partir de um diferentelocalização na rede. Abril poderia ser usado para examinar o tráfego para e de umcomputador remoto em uma rede comutada para fins nefastos auditoria ou.Outros recursos estão disponíveis, mas estes são apenas alguns dos possíveis bom emaus usos do Cain & Abel. No mínimo, pessoal de segurança deve ter um trabalhodo conhecimento de que este pacote faz e como ele pode ser usado.Oxid.it é o site para Massimiliano Montoro (m ao@oxid.it)h ttp: //www.oxid.it. Ele tem muitas ferramentas de software livre disponíveis, incluindo Cain& Abel.Para este laboratório, você irá instalar Cain & Abel ea captura de pacotes motoristaWinPcap, utilizar o recurso de senha do Windows craqueamento de Cain & Abel, utilizarrecurso de descoberta de endereço MAC, e implementar abril em um endereço MAC selecionadoque foi descoberto na rede. Por fim, você vai examinar o tráfego damáquina de destino com Ethereal, um analisador de protocolo.Preparação do Estudante:O estudante terá completado leitura obrigatória. O aluno vai exigirpapel para anotações e deve estar preparado para discutir os exercícios em cimaconclusão.Instrutor Preparação:Antes da aula, o instrutor ou assistente de laboratório irá garantir que Cain & Abel 2,5ou mais recente, WinPcap, .10.5a Ethereal ou mais recente, e tcpdump são instalados eoperacional nos Windows 2000 ou superior estações de trabalho e metas. Cadaaluno vai precisar de uma estação de trabalho e máquina de destino na mesma rede local comutada.Os alunos terão direitos de administrador em ambas as máquinas.Durante a aula, o instrutor irá discutir a função do Cain & Abel utilidade paraanálise de senha e abril via ARP cache de poisioning. Os alunos irão, em seguida,demonstrar o uso de ambos os recursos individualmente.advertências:Utilização da capacidade de abril poderia causar negação de serviço em algumas redes, de modocomo tal, este recurso deve ser usado apenas em redes de não-produção! Também,cuidado deve ser exercido quando as senhas de auditoria, como alguns podem ver isso comoPágina 3 de 15atividade ilegal e carranca no seu uso. Como tal, estes são poderosos, profissionalferramentas e deste modo serem utilizados como um profissional.Tempo estimado de conclusão90 minutosPágina 4 de 15Senha de auditoria e recuperação e ARP laboratório veneno RoutingCain & Abel 2,5Cain & Abel é uma ferramenta de auditoria e recuperação de senha que oferece facilidade deinstalação e uso. É também muito poderoso e, como tal, é uma ferramenta qualquer TIprofissional gostaria que lá repertório.Para instalar:1) Faça o download e instalar o Cain & Abel de http://www.oxid.it/cain.html2) Instale o software e captura de pacotes WinPcap motorista3) Reinicie o computador.4) Faça o download e instalar o Ethereal de http://www.ethereal.com/5) Reinicie o computador.Use: Para encontrar informações armazenamento protegido / senhas que foramsalvo no registro do sistema, como a partir do Outlook, Outlook Express, MSN,Internet Explorer (IE), autocomplete e formulário de informações, nome de usuário ebaye a senha, etc. Nota: autocomplete deve ser habilitado e senhasdeve ser salvo através do IE.A partir da versão 4.0, o Internet Explorer da Microsoft pode salvartudo o que você sempre digitar em um formulário. Quando você usa um chamado semelhantecampo de outra forma, ele automaticamente fornece-lhe com uma seleção dedados anteriores. Este é armazenado no registo e baseia-se numa únicaidentificador de segurança (SID).1) Inicie o Cain2) Clique no ícone azul + no canto superior esquerdo, anote nome de usuário (ID) e senha eURL do recurso que foi guardado para no separador armazenamento protegido.Página 5 de 153) Para salvar informações de qualquer um dos sites de armazenamento protegidas:uma. Clique em um dos recursosb. Botão direito do mouse e selecione Exportarc. Chave no nome, como resc1.txtd. Agora, abrir o arquivo usando o bloco de notas ou editor de texto semelhante4) Para apagar a entrada, clique esquerdo no item, selecione Remover ou Remover tudo.Para encontrar a identificação de login do Windows e senhas em uma máquina local.• Criar três usuários em sua máquina local. Faça as contas da seguinte forma:user1 com a senha da senha, user2 com a senha de 1password1,e usuário 2 com senha de 123xyz321. Agora avançar para # 1 abaixo.Com as senhas diferentes selecionado, você será capaz de examinar comopassword dificuldade afeta técnicas de auditoria e rachaduras.1) Clique na guia Cracker2) Clique no LM e NTLM hashes3) Clique no + ícone do sinal na barra de ferramentas, em seguida, Dump NT hashes de uma máquina local. *Note que, se você tem um arquivo SAM a partir de uma máquina NT / win2k / XP você também pode usara opção de importação para importar com isso. * Veja o fundo do laboratório no controle remotoinstalação de Abel para ver como você pode ter acesso a um arquivo SAM a partir de umPC remoto.4) Clique em Avançar5) Em ID de Guest, clique direito e selecione dicionário NTLM ataque. Selecione Adicionar e, em seguida,navegue até onde cain está instalado (possivelmente em c: \ Programas \ Arquivos \ cain) Em seguida,selecione a pasta listas de palavras e wordlist.txt. Em seguida, clique em Iniciar.6) Opções Nota tais como Como é senha, etc. Além disso, note que você poderia usar umataque de força bruta, se você não teve sorte em um dicionário de palavras de um arquivo lista.No entanto, isso levaria muito mais tempo.Página 6 de 15Usando APR - ARP Routing veneno.Teoria - Em uma rede Ethernet / IP, quando o host A deseja enviar um pacote parahost B, ele deve saber o MAC ou endereço físico da máquina e IPendereço. Ele também precisa saber o protocolo de camada de aplicação (IP), maso MAC físico é necessário para a construção do quadro Ethernet. revisãoo modelo OSI se você não são claras sobre esses conceitos. Em suma, temos de terambos.Uma vez que conhece o MAC de uma das máquinas na rede, ele mantém-los armazenadosem uma tabela de cache ARP. No entanto, antes que ele possa "saber" que tem de consultar ode rede para encontrar os endereços. Uma série faz isso enviando um ARPsolicitar em broadcast para FFFFFFFFFFFF. Apenas a estação com o IP especificadoresponderemos em unicast com um pacote de resposta ARP para a estação solicitante com ele éMAC. Agora o host A tem uma entrada tabela atualizada para o host B e vaicomunicar agora em unicast directamente a ela usando o MAC de B noframe Ethernet. ARP solicitação e resposta pacotes são enviados apenas se o hostnão sabe a máquinas de destino MAC. Novamente, uma vez que é aprendido ocache é usado .... este é um ponto chave para explicar abril funciona.Página 7 de 15Como funciona abril - Routing ARP veneno usa o cache armazenado como uma maneira de redirecionarou pacotes re-diretas de um alvo, para uma máquina intermediária, em seguida,encaminhar ao hospedeiro, assim, a máquina médio "vê" todo o tráfego entre o destinoe de acolhimento, mesmo que em uma LAN comutada. Primeiro o endereço MAC de destino deve serestabelecidos, o recurso abril "venenos" o cache do alvo, forçandouma atualização de cache com o caminho re-encaminhado de forma que as médias para a frente da máquinatráfego de e para host e destino. A máquina média pode agora examinarpacotes com um sniffer como o Ethereal, Nmap, ou outros.Instruções para usar abril:** Antes de tentar isso, você deve se certificar de que WinPcap está devidamente ligado ao NIC. Escolha Configurar e certifique-se de ver o seu um Dapter (s) listado. VejoC1 ilustração.C1.Na tela principal, selecione Configurar, então clique com o seu adaptador de rede, em seguida,Aplicar e em OK.Página 8 de 151) Clique para permitir que tanto Sniffer e APR (Esquerda do +). Veja c2 Ilustração.C2.3) Clique em +, então Range. Intervalo para sua rede (com base no adaptador que vocêescolheu) é exibido. Clique em OK para iniciar a digitalização.4) Depois de 100% você vai ver o endereço IP, MAC, e OUI impressão digital de dispositivos emalcance.5) Agora clique no ícone de abril para habilitá-lo.6) Clique em + e selecione o endereço IP de veneno, em seguida, OK7) Agora você deve vê-lo mudar de marcha lenta até Intoxicação. Veja C3.Página 9 de 15C3.8) conexões IP deve aparecer a partir de destino e computador spoofing (o seucomputador).9) Portanto, o que temos agora, olhando para C3, é o alvo IP do lado esquerdo, onde elesiam à direita. Tudo isso passar sem causar danos pelo meioPC.10) Para uma melhor análise desse tráfego e, talvez, cadeias de texto que tenham sidoenviados a partir do alvo, etc. (por exemplo Eles ligado ao Google, mas o que fezque procurar?) Vamos executar um sniffer no computador central.11) Iniciar Etéreo, selecione Capturar, em seguida, selecione o mesmo adaptador de interface vocêseleccionado em Cain. Em seguida, selecione OK. Você está tentando capturar os pacotessendo encaminhado para e do seu equipamento através de sessão de ARP.12) Pare a captura depois de conectar ao google e busca de itens, tais como"moradias de férias", ou "tarifa aérea barata". O seu aparelho está agora a analisar ao tráfego de um alvo como todo o seu tráfego é reencaminhado através do seu. Nota noFigura C4 vemos todo o tráfego listados na janela superior do Ethereal (examinarque vemos a nossa conexão com o Google).Figura C4.13) Clique no campo Protocolo de organizar a lista, em seguida, desloque-se para HTTP eprocurar GET / search? Aqui vemos na Figura C5 que o usuário foipesquisando sobre moradias de férias (férias + Villa).Figura C5.14) Quando terminar selecione Ferramentas, Desligar, Desligar todas.Página 10 de 15O que é Abel? Como posso instalá-lo?Abel é um serviço NT composto por dois arquivos: "Abel.exe" e "Abel.dll". Estesarquivos são copiados pelo pacote de instalação para o diretório do programa, mas oserviço não é instalado automaticamente. Abel pode ser instalado localmente ouremotamente (usando Cain), de qualquer maneira você precisa de privilégios de administrador para fazer isso.INSTALAÇÃO LOCAL:1) Copie os arquivos Abel.exe e Abel.dll para o directório% WINNT% (ES:C: \ WINNT)2) Lançamento Abel.exe para instalar o serviço (não é iniciado automaticamente)3) Inicie o serviço usando o Service ManagerInstalação remota (mais confiável no rede com fio):1) Use o "Guia Rede" em Cain e escolher o computador remoto onde Abelserá instalado2) Clique com o botão direito no ícone do computador na árvore e selecione "Conectar-se como"4) fornecer credenciais de administrador para a máquina remota.5) Uma vez conectado com o botão direito no ícone "Serviços" e selecione "Instalar Abel"Página 11 de 155) Os dois arquivos "Abel.exe" e "Abel.dll" será copiado para o controle remotomáquina, o serviço será instaladoe começou a automaticamente.6) Uma vez instalado no computador remoto, note que entre outras coisas,pode trazer um prompt do console no computador remoto, examine senhaHashes, etc.Página 12 de 15Análise1), abril poderia ser usada por administradores de rede para que finalidade?2) Depois de trabalhar com esses utilitários, que sobre Cain & Abel sente quedeve estudar mais? Por quê?3) Como pode rede administradores proteger contra abril?4) Por que alguém (não com intenção criminosa) quer quebrar senhas em umsistema?5) Colocar em um chapéu criminal, quais são os melhores usos ruins de Cain & Abel?6) Como pode alguém conceber um sistema para gravar dados de forma passiva a partir de um alvomáquina, em seguida, tê-lo facilitam a procura de um banco de dados, como MySQL?Página 13 de 15Discussão resumoUma discussão em sala de aula deve seguir o laboratório. Rever as questões de laboratório ea sua análise como um grupo. Compartilhar suas experiências e conhecimentos com a classe.Se você quiser saber mais:Ethereal é um grande sniffer. Tente http://www.insecure.org/ queé o lar de NMAP, outro grande sniffer de rede.Visite: http://nirsoft.mirrorz.com/ e examinar os utilitários queEstão disponíveis. São diferentes ou similar? Será que alguns destesferramentas de ser útil?MySQL está disponível gratuitamente no http://www.mysql.orgProcure no Google ou outro motor de busca para: como detectar ARProteamento veneno.Leia Introdução à ARP Spoofing (em anexo) por Sean Whalen. Tambémdisponíveis através de pesquisa na web.Página 14 de 15ApêndiceEste laboratório estava testando com cain 2.5b Baixar e instalar a partirhttp://www.oxid.it Você também vai precisar instalar WinPcap com faz parte doinstalar Cain. Em seguida, reiniciar.Instale .10.5a Ethereal de http://www.ethereal.comEsses laboratórios foram testados em redes com e sem fio.Wired: 100baseT com 3Com 4 portas comutadasSem fios: 802.11b Netgear cartão PCMCIA, router 3Com / switchTestando no XP Professional com service packs da Microsoft como de8/15/04 Windows 2000 Server com pacotes de serviços a partir de 8/15/04. Não eratestado com Windows 9x ou XP Home.Testado com M.S. Internet Explorer e Mozilla Firefox 0.9.1Página 15 de 15