Universal MITM Web Server
CopyCat é um servidor MITM universal baseado em Node.js. Usado com a falsificação de DNS ou outro ataque de redirecionamento, este servidor atuará como um MITM para tráfego na web entre a vítima e um servidor real.
Na maioria das vezes, vemos a falsificação de DNS usada para redirecionar as vítimas para um servidor de invasores hospedando um clone estático da página de login do domínio falsificado. Mas este servidor irá encaminhar todo o tráfego entre a vítima e o domínio falsificado permitindo que um invasor se senta como o MITM enquanto a vítima interage com o domínio real. Isso também permite que o invasor injete scripts e manipule as interações da vítima com o servidor web pretendido.
Todos os URLs são seqüestrados dentro da resposta HTML do servidor, fazendo com que todo o tráfego seja reencaminhado de volta através do servidor (desde que você tenha um ataque de redirecionamento para esses domínios também).
Atualmente, este é configurado apenas para funcionar com subdomínios falsos de domínios reais. Se o servidor que você está tentando falsificar usa HSTS com o argumento includeSubdomains, o navegador da vítima tentará atualizar para o HTTPS. A opção para permitir domínios de falsificação sem usar um subdomínio será lançada mais tarde.
Configuração
Após o download, veja o arquivo .env no diretório raiz. É aqui que você configura os subdomínios nos seus prefixos reais correspondentes. O mapa de prefixo padrão é:
{
'http: //': 'us-west-1',
'https: //': 'us-west-2',
'http: // www.': 'us-west-3',
'https: // www.': 'us-west-4'
}
Instalação
Requer o Node.js v6 + para executar.
$ cd / path / to / repo
$ npm install
$ sudo node server.js
O que está acontecendo?
O atacante dirige a vítima para o domínio falsificado, por exemplo http://us-west-4.facebook.com. O uso de DNS spoofing esta solicitação é enviado para este servidor. Ele reconhece o padrão "us-west-4" significa que este deve ser um pedido para https://www.facebook.com. Uma sessão é gerada ou pesquisada e associada ao pedido. O servidor faz uma solicitação para esse domínio. Quando uma resposta é recebida, ele seqüestra qualquer URL no HTML para ser sua contrapartida falsa para garantir que esses pedidos sejam enviados de volta através deste servidor. Todos os cookies do domínio real são anexados à sessão das vítimas para serem usados com pedidos futuros. Os cabeçalhos de segurança são modificados ou excluídos para permitir que o conteúdo seja processado corretamente. Um script é injetado no HTML antes de responder. Este script do lado do cliente (public / hijacks.js) substitui o XMLHttpRequest nativo. método aberto para seqüestrar a url solicitada. Também atravessa o DOM à procura de elementos que solicitem conteúdo e seqüestram suas URLs no caso de terem sido adicionados ao lado do cliente ou deslizado após a função de hijaking da urna do lado do servidor. O resultado final é uma versão funcional do domínio falsificado.
O que posso fazer com isso?
Isso não é mais do que uma plataforma funcional para ser um MITM com solicitações da web. O potencial para usar isso com outros ataques está lá. Você possui completamente esse domínio e pode executar os scripts arbitrários que você deseja, ou mesmo injetar um BeEF. Se eles estão passando por este servidor, você tem o controle completo da experiência da vítima.
Download
CopyCat é um servidor MITM universal baseado em Node.js. Usado com a falsificação de DNS ou outro ataque de redirecionamento, este servidor atuará como um MITM para tráfego na web entre a vítima e um servidor real.
Na maioria das vezes, vemos a falsificação de DNS usada para redirecionar as vítimas para um servidor de invasores hospedando um clone estático da página de login do domínio falsificado. Mas este servidor irá encaminhar todo o tráfego entre a vítima e o domínio falsificado permitindo que um invasor se senta como o MITM enquanto a vítima interage com o domínio real. Isso também permite que o invasor injete scripts e manipule as interações da vítima com o servidor web pretendido.
Todos os URLs são seqüestrados dentro da resposta HTML do servidor, fazendo com que todo o tráfego seja reencaminhado de volta através do servidor (desde que você tenha um ataque de redirecionamento para esses domínios também).
Atualmente, este é configurado apenas para funcionar com subdomínios falsos de domínios reais. Se o servidor que você está tentando falsificar usa HSTS com o argumento includeSubdomains, o navegador da vítima tentará atualizar para o HTTPS. A opção para permitir domínios de falsificação sem usar um subdomínio será lançada mais tarde.
Configuração
Após o download, veja o arquivo .env no diretório raiz. É aqui que você configura os subdomínios nos seus prefixos reais correspondentes. O mapa de prefixo padrão é:
{
'http: //': 'us-west-1',
'https: //': 'us-west-2',
'http: // www.': 'us-west-3',
'https: // www.': 'us-west-4'
}
Instalação
Requer o Node.js v6 + para executar.
$ cd / path / to / repo
$ npm install
$ sudo node server.js
O que está acontecendo?
O atacante dirige a vítima para o domínio falsificado, por exemplo http://us-west-4.facebook.com. O uso de DNS spoofing esta solicitação é enviado para este servidor. Ele reconhece o padrão "us-west-4" significa que este deve ser um pedido para https://www.facebook.com. Uma sessão é gerada ou pesquisada e associada ao pedido. O servidor faz uma solicitação para esse domínio. Quando uma resposta é recebida, ele seqüestra qualquer URL no HTML para ser sua contrapartida falsa para garantir que esses pedidos sejam enviados de volta através deste servidor. Todos os cookies do domínio real são anexados à sessão das vítimas para serem usados com pedidos futuros. Os cabeçalhos de segurança são modificados ou excluídos para permitir que o conteúdo seja processado corretamente. Um script é injetado no HTML antes de responder. Este script do lado do cliente (public / hijacks.js) substitui o XMLHttpRequest nativo. método aberto para seqüestrar a url solicitada. Também atravessa o DOM à procura de elementos que solicitem conteúdo e seqüestram suas URLs no caso de terem sido adicionados ao lado do cliente ou deslizado após a função de hijaking da urna do lado do servidor. O resultado final é uma versão funcional do domínio falsificado.
O que posso fazer com isso?
Isso não é mais do que uma plataforma funcional para ser um MITM com solicitações da web. O potencial para usar isso com outros ataques está lá. Você possui completamente esse domínio e pode executar os scripts arbitrários que você deseja, ou mesmo injetar um BeEF. Se eles estão passando por este servidor, você tem o controle completo da experiência da vítima.
Download
