网络渗透测试实验二：网络嗅探和身份认证

一．实验目的和要求

1、通过使用Wireshark软件掌握Sniffer（嗅探器）工具的使用方法，实现捕捉HTTP等协议的数据包，以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。

2、研究交换环境下的网络嗅探实现及防范方法，研究并利用ARP协议的安全漏洞，通过Arpspoof实现ARP欺骗以捕获内网其他用户数据。

3、能利用BrupSuite实现网站登录暴力破解获得登录密码。

4、能实现ZIP密码破解，理解安全密码的概念和设置。

系统环境：Kali Linux 2、Windows

网络环境：交换网络结构

实验工具：Arpspoof、WireShark、BurpSuite、fcrackzip（用于zip密码破解）。

二.实验步骤

1、A主机上外网，B运行sinffer(Wireshark)选定只抓源为A的数据)。

1.1 写出以上过滤语句。

ip.src = = A的IP地址

1.2 在互联网上找到任意一个以明文方式传递用户帐号、密码的网站，B是否能看到A和外网（该网站）的通信（A刚输入的帐户和口令）？为什么？ 

B最开始是不能看到A与外网的通信的，是因为B会把A发送的数据报丢掉。

但是如果当B成功冒充了网关，也就是实现了ARP欺骗后，B通过抓包是可以看到A和外网的通信的。

2.1 为了捕获A到外网的数据，B实施ARP欺骗攻击，B将冒充该子网的什么实体？

B冒充的是子网中的网关

2.2 写出arpspoof命令格式。

arpspoof -i eth0 -t 目标IP地址 网关地址

2.3 B是否能看到A和外网的通信（A输入的帐户和口令）？截图Wireshark中显示的明文信息。

B可以看到A与外网的通信，此时B对于A相当于一个“路由器的角色”，可以转发A发出的数据报

可以看到是可以显示出我们的账号和密码的

3. FTP数据还原部分：利用WireShark打开实验实验数据data.pcapng。

3.1 FTP服务器的IP地址是多少？你是如何发现其为FTP服务器的？

FTP服务器的IP地址是192.168.182.1

从下图可以看出FTP服务器发生了response，也就是响应，所以这个包是FTP服务器发出的，所以可以得出其源地址是192.168.182.1.

3.2客户端登录FTP服务器的账号和密码分别是什么?

查看客户端发出的请求（Request）数据包，就可以查看到账号和密码。

USER：student  PASS:sN46i5y

3.3 客户端从FTP下载或查看了2个文件，一个为ZIP文件，一个为TXT文件，文件名分别是什么？提示：文件名有可能是中文。

往下滑即可找到ZIP文件和TXT文件了。

Zip文件名为1，txt文件名为复习题。

3.4 还原ZIP文件并打开（ZIP有解压密码，试图破解，提示：密码全为数字，并为6位）。截图破解过程。

在过滤器中输入ftp-data（可用于文件传输），然后找到含有1.zip的数据包，右键追踪tcp流

刚开始显示的ASCII码的数据，由开头的字母可以判断出这是一个zip文件，选择原始数据后，再另存为为zip文件即可。

保存好之后使用ARCHPR对1.zip进行暴力破解即可得出密码123456

注意密码的范围和长度

爆破成功后输入密码即可

成功打开文件得到的图片

3.5 TXT文件的内容是什么？

与还原zip文件类似的步骤，输入“ftp—data”后找到txt文件，追踪TCP流

选择原始数据保存为txt文档即可

打开复习题.txt.文件的内容

4、网站登录密码

    利用人们平时常用的词、句破译，如果说暴力破解是一个一个的尝试那么字典破译就是利用人们习惯用人名、地名或者常见的词语设置成密码的习惯进行破译。字典破译速度比暴力破译更快但是有时候密码设置中包含了没有字典库中的词句就无法破解出来了，因此有好的字典是关键。

以*****为目标网站，构造字典（wordlist），其中包含你的正确密码，利用burpsuite进行字典攻击，实施字典攻击，你是如何判断某个密码为破解得到的正确密码，截图。

这里的靶机网站是DVWA，具体的网站搭建过程可以去网上查找相关教程这里就不做过多赘述

（1）打开DVWA的Brute Force，网站的安全模式设置为LOW

随机输入一个账号密码然后打开代理，打开burpsuite软件

（2）然后burpsuite就会抓包到账户名和密码

（3）右键发送给Intruder

（4）点击位置，设置变量和模式

将所有变量都清楚，然后只在username和password那里加入变量符号，模式选择集成炸弹模式。

sniper（狙击手）对要爆破的位置，进行字典内的遍历（只能输入一个字典）

battering ram（攻城槌）该模式也是导入一个字典，并且由字典中的内容将爆破字段都替换，一个字典内容进行一次 ，所以取决于字典中有多少字段。

Pitch fork（音叉） 该模式需要导入两个字典（不是只能导入两个，而是爆破参数只有两个，爆破参数有多少都可以加字典），两个字典呈映射关系，当字典长度不一致时，短字典结束时，爆破结束。

cluster bomb（集束炸弹）该模式采用穷举法，有点类似循环遍历。对每个标记字段都遍历字典。

（5）再点击有效载荷，载入两个变量的字典

注意变量1是username的，变量2是password的

（6）然后开始攻击

攻击后发现所有的账号密码都是一样的长度一样的状态，并没有出现不一样的。

（7）没关系接着往下做，点击选项里面，在Grep-Extract添加特征

点击重新获得回复，通过字典攻击的特征可以知道，正确的账号密码的长度是会不一样的，所以我们选择Content:Length:那一列作为特征。选中后点击OK即可

（8）然后再次点击开始攻击

由下图可以看出，出现了三个不一样的长度的账户密码，这个就是正确的账户密码，回到原网页关掉代理，登录就可以了

（9）登录成功页面如下

5、MD5破解

  SqlMap得到某数据库用户表信息，用户口令的MD5值为7282C5050CFE7DF5E09A33CA456B94AE

那么，口令的明文是什么？（提示：MD5值破解）

口令的明文是：iampotato

在浏览器上查找MD5在线解密工具即可破解口令的明文。

6.John the Ripper的作用是什么？

  John the Ripper，是一个快速的密码破解工具，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持大多数的加密算法。如DES、MD4、MD5等。它支持多种不同类型的系统架构，包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要目的是破解不够牢固的Unix/Linux系统密码。最新版本是John the Ripper 1.8.0版，针对Windows平台的最新免费版为John the Ripper 1.7.9版。

7.思考问题

谈谈如何防止ARP攻击。

1.ARP静态绑定

   静态ARP表项不会被老化，也不会被动态ARP表项覆盖，可以保证网络通信的安全性。静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址，此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系，从而保护了本端设备和对端设备间的正常通信。一般在网关设备上配置静态ARP表项。

2.安装ARP防火墙。

3.在路由器和终端上都进行IP-MAC绑定的措施。

4.不去浏览不安全的网站。

安全的密码（口令）应遵循的原则。

1.不使用空密码或系统缺省的密码，因为这些密码众所周知，为典型的弱密码。

2.密码长度不应太短，至少要为八个字符。

3.密码不应该为连续的某个字符或重复某些字符的组合。

4.密码应该为以下四类字符的组合，大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。

5.密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息，以及字典中的单词。

6.不要长期使用固定密码，定期或者不定期修改密码，防止未被发现的入侵者继续使用该密码。

7.不要在多个场合使用同一个密码：为不同应用场合设置不同密码，特别是有关财务的网银及网购账户，避免一个帐户密码被盗，其它帐户密码也被轻易破解。

8.不把密码保存在电脑、U盘、笔记本、书籍等上面。

谈谈字典攻击中字典的重要性。

  字典攻击是在破解密码或密钥时，逐一尝试用户自定义词典中的可能密码的攻击方式，其核心便是字典中的口令集，口令集越全面，破解成功的可能性就越大。字典相当于一串钥匙，可以一把一把的试，能打开门的钥匙有可能就在其中。一个好的字典是要根据攻击者的一些重要信息生成，一个好的字典对于密码破解来说事半功倍。

三.实验小结

本次实验对于网络嗅探和身份认证有了更加深入的认识，学习了ARP欺骗和wireshark嗅探，还有使用burpsuite进行抓包暴力破解，以及一些其他解密工具的使用。在进行ARP欺骗的时候，一开始还是一头雾水，但在理解原理之后，就可以顺利的进行下去。在破解密码的时候有很多需要注意的细节，比如模式的选择，密码的范围选择等，都是要注意的问题。总之，这次实验是有一定的难度的，但是在理解原理后再去实施就事半功倍了。