PS:这个Lab最好在Sniffing_Spoofing Lab(熟悉Scapy的sniff和spoof语法)和TCP/IP Attack Lab之后进行
文档之前有一大段介绍,黑客Kevin Mitnick进行了TCP会话劫持攻击,他的步骤是:
1.对服务器进行SYN洪泛攻击,使其无法接受TCP连接请求而静默
2.伪造TCP连接(因为被害者主机会把正常的SYN ACK包发回到静默的服务器,也无法进行嗅探,黑客需要预测对方发回的Sequence number)
3.将建立的TCP连接用于远程登录(rsh),远程操作受害者主机安装后门
我们的实验降低了难度:
1.三台主机在同一个LAN里,可以嗅探,无需预测Sequence number
2.无需进行SYN洪泛攻击,直接关掉server的网络连接
安装rsh
按照文档三个机器都装上rsh-redone即可
但是要注意装完之后,要执行sudo service xinetd restart才可启动
(测试一下,被害者主机的514、513号端口打开即可)
配置无密码登录
在514端口收到rsh连接请求后,会先查找/etc/hosts.equiv,如果没有这个文件则查找.rhosts里的记录,查看是否允许某些IP的免密登录
填写.rhosts的方法文档里写的很清楚了,要注意的就是要在/home/seed目录下建立.rhosts
然后服务器就可以免密登录被害者主机了
开始Mitnick Attack
1 ARP记录写入
因为我们会把Server静默,所以被害者主机发出的ARP请求包不会受到回应,所以可能包发不出去,可以通过ping Server增加一条记录(但马上就过期了…),但建议手动写入:
arp里有记录就可以了,重启后要重新配置
2 rsh连接过程
在开始伪造rsh连接之前,先来康康他的连接过程:
第一阶段:Server发SYN包,然后三次握手,完成514和1021端口的连接建立:
第二阶段:收到上一阶段的RSH报文后,根据其中指定的端口号(此处为1020)建立第二条TCP连接,一般用于错误信息的传输:
第三阶段:在第一条连接传输之后的远程命令和回应:
okk明白了连接的具体过程之后,开始伪造吧!
第一阶段 1:伪造Server发送的SYN
注意端口必须是1023(文档里说不然会reset),注意SYN标志位,做过sniffing_spoofing的话应该不难的
抓包能看到SYN被接收,受害者主机发回SYN ACK
第一阶段 2:伪造第三个ACK完成握手
刚才的SYN ACK发回给了server,但是它静默了所以不会回应,为了连接能成功建立,我们要伪造Server的ACK(第三次握手)
最需要注意的是标志位、seq(返回的ack)、ack(返回的seq+1),文档里有框架,不理解的话需要参考TCP协议的规定:
抓包看到,三次握手完成,第一条连接建立
第一阶段 3:发送rsh命令
前面的连接能看到一条Session Establishment,后面会带一条RSH的远程命令,根据要求我们也发送一条:
(如果不给提示的话还需要观察指令的格式,但是要求里给出了~
这时候能看到连接建立,Session Establishment也有了,受害者主机向指定的端口(9090)发出了SYN准备建立第二条连接:
第二阶段 1:伪造第二条连接的SYN ACK
前面能看到SYN发给了静默的Server,那么第二条连接又无法建立了,所以我们还是要伪造:
(这里的seq应该是一个随机数,但我直接用了SYN的seq,也没什么问题)
此时两条连接都建立好了:
再验证下那条命令执行了没,康康/tmp下确实有了XYZ文件:
还要求验证创建时间:
安装后门
前面的就这样做完了!是不是很简单~
最后要求安装个后门,也不难啊,就改一下第一阶段最后的命令就好啦
好的发过去了:
看看执行了没:
okk此时任何主机都能无密码rsh连接受害者主机了:
写得最快的一个Lab!不需要参考任何资料,要求真的很明确啦~
也挺有趣的,但只是感受一下黑客的攻击hhhh,要求放宽很多了
2975
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
