Für Systemadministratoren jeglicher Unternehmen sollte Cain und Abel von oxid.it ein Begriff sein.
Es Ermöglicht eine viel zahl von Angriffsvektoren (ARP spoofing / poisoning, Bruteforce, HTTPS, Passwort Sniffer, VoIP Sniffer etc.) zu überprüfen, es läuft ab Windows XP oder auch Windows 2000 bis Windows 7, es soll aber auch unter Windows 2008 Terminal Server laufen. Das Programm benutzt die weit verbreitete Winpcap Bibliothek. Für welche es auch schon CSharp Bibliotheken für die Entwicklung gibt.
Mit "Cain & Abel" ermitteln Sie vergessene Passwörter in Ihrem Netzwerk oder auch vom lokalen Rechner. Benutzung des Tools ist entsprechend des Hacker Paragraphen für illegal erklärt worden! Wir befinden uns hier ja auf nicht auf einer Plattform die dafür ausgelegt ist um anderen Schaden zuzufügen!
Die Passwort Dekoder
Cain's LSA Secrets Dumper - ermöglicht die Wiederherstellung von Passwörtern wie (ASP.NET (aspnet_WP_PASSWORD), aber auch das auslesen von VPN Verbindungen, Dial-In Verbindungen).
Wireless Passwörter - liest die eingerichteten WLAN Verbindungen aus
IE7 Passwörter
Windows Mail Passwörter
Dialup Passwörter
Edit Boxes (scheint nicht mehr korrekt zu funktionieren unter Windows 7) gemeint sind Passwortfelder mit "*******" anzeige
Enterprise Manager
Credential Manager
Das Netzwerk im Blick behalten
Cain und Abel listet die Rechner die sich in der jeweiligen Domain / Arbeitsgruppe befinden. Desweiteren wird pro Arbeitsgruppe versucht einzelne Dienste zu erkennen und zuzuordnen. Wie z.B. Apple File Servers, Dail-In-Servers, Domain-Controller, Novell Server, Print Server, SQL-Server, Terminal Server (Remote Desktop), Time Server.
Man erhält die Möglichkeiten sich die verfügbaren Gruppen, Registry, Dienste, Netzwerkfreigaben anzeigen zu lassen, und auch eine Liste der Users ohne LM-Hash.
Sniffer Passwörter die mitgeschnitten werden können
Es ist möglich Passwörter für FTP, HTTP, IMAP, LDAP,POP,SMB,Telnet,VNC,TDS,TNS,SMTP,NNTP,DCE/RPC, MKerb5 - PreAuth, Radius Keys, Radius Users, ICQ, IKE-PSK,MySQL, SNMP, SIP,GRE/PPP, PPPoE
ARP Spoofing einrichten
Sniffer -> Network -> Rechner suchen (geht über das Plus Symbol), wie auch bei den Dekodern immer das blaue Plus benutzen. Jetzt zum unteren TAB "APR" wechseln und wieder auf das blaue Plus "APR enables you to hijack IP traffic between the selected host on the left list and all selected hosts on the right list in both directions. If a selected host has routing capabilities WAN traffic will be intercepted as well. Please note that since your machine has not the same performance of a router you could cause DoS if you set APR between your Default Gateway and all other hosts on your LAN." Also erst den Router auswählen und dann die Hosts. Jetzt können APR-Cert, APR-DNS (mit diesem mächtigen Tool, können DNS Anfragen umgeschrieben werden!) zum Beispiel HTTP Anfragen von Google oder sonst etwas. ARP-SSH, ARP-HTTPS, ARP-RDP, ARP-FTPS, ARP-POP3S, APR-IMAPS, APR-LDAPS, APR-SIPS. Ich werde vielleicht irgendwann mal ein genaueres Tutorial machen, wie man mit Cain und Abel arbeitet. Einfach ein bißchen rumprobieren, auf jedenfall werden die Zertifikate mitgeschnitten und entschlüsselt. Unter den Einstellungen unter APR (Arp Pision Routing) kann IP Adresse Spoofing aktviert werden und auch für die MAC Adresse.
Maßnahmen gegen Men in the Middle Angriffe (ARP Spoofing)
Überprüfung ob Angriff möglich ist WIN + R -> CMD -> ARP -av
Interessant bei dieser Auflistung der Netzwerkadapter ist der "Typ" dynamisch ermöglicht einen Angriff, "statisch" hingegen nicht. Administratoren von Schulen, Unis sollten ihre Server absichern!
Schnittstelle: 192.168.1.23 --- 0xa
Internetadresse Physische Adresse Typ
192.168.1.1 00-19-cb-a0-74-6a dynamisch
192.168.1.2 00-19-cb-a0-74-61 dynamisch
192.168.1.33 00-1b-a9-36-45-0f dynamisch
192.168.1.34 00-00-00-00-00-00 ungültig
192.168.1.255 ff-ff-ff-ff-ff-ff statisch
224.0.0.22 01-00-5e-00-00-16 statisch
224.0.0.251 01-00-5e-00-00-fb statisch
224.0.0.252 01-00-5e-00-00-fc statisch
239.255.2.2 01-00-5e-7f-02-02 statisch
239.255.255.250 01-00-5e-7f-ff-fa statisch
du kannst die dynamischen ARP Einträge auf statische verändern. z.B. arp -s 192.168.1.2 00-19-cb-a0-74-6. Mit Arp -d optional IP kann man den ARP Cache komplette löschen oder einen kompletten Eintrag. Ihr müsst allerdings für ARP -S mit Administrator Rechten starten.
C:\Windows\system32>arp -s 192.168.1.23 00-19-cb-a0-74-61
C:\Windows\system32>arp -a
Schnittstelle: 192.168.1.23 --- 0xa
Internetadresse Physische Adresse Typ
192.168.1.1 00-19-cb-a0-74-6a dynamisch
192.168.1.2 00-19-cb-a0-74-61 statisch
192.168.1.33 00-1b-a9-36-45-0f dynamisch
192.168.1.255 ff-ff-ff-ff-ff-ff statisch
224.0.0.22 01-00-5e-00-00-16 statisch
224.0.0.252 01-00-5e-00-00-fc statisch
Wireless LAN (WLAN) Unterstützung
Ermöglicht mit AirPcap die WLAN Karte anzusteuern. Es möglicht es die gesammelten Auth Hashes direkt an den Cain und Abel Cracker zu schicken. Den Wechsel vom WLAN Kanal. Ebenfalls enthalten die Möglichkeit ARP-Injection vorzunehmen...
Passwort Cracker von Cain und Abel's Pentest Tool
LM & NTLM Hashes
NTLM v2 Hashes
MS-Cache Hashes
Die alten PWL Files
Cisco IOS-MD5 Hashes
Cisco PIX-MD5 Hashes
APOP-MD5 Hashes
CRAM-MD5-Hashes
OSPF-MD5 Hashes
RIP v2 MD5 Hashes
VRRP HMAC Hashes
VNC 3DES
MD2, MD4, MD5, SHA-1 Hashes, SHA2 Hashes, RIPEMD 160, Kerb5 PreAuth Hashes, IKE-PSK, MSSQL, MySQL, Orcale Hashes, Oracle TNS, SIP Hashes, 802.11 Captures, WPA-PSK, WPA-PSK, CHAP
VoIP Sniffer - Pentest
Ermöglicht das mitschneiden von SIP und ermittelt die entsprechenden Daten und wandelt diese in eine MP3 um.
Weitere Funktionalitäten in Kürze aufgelistet
Ciscoa Type 7 Password Dekoder, Cisco VPN Client Dekoder, VNC Dekoder, RSA SecureID Calculator, Remote Deskop Passwort Dekoder (Dateien *.RPD) , Syskey Dekoder, ODBC Query Tool -> Mit lokalen Systemdatenbanken verbinden und SQL Anfragen ausführen, Traceroute Prüfung. Microsoft Access *.mdb Passwort Cracker, WPA PSK Calculator. Route Table verändern.
Webseite von Cain und Abel Author besuchen
Keine Kommentare:
Kommentar veröffentlichen