原文鏈接:https://www.jianshu.com/p/67a0625142dc
簡介
中間人(MITM)攻擊是一種攻擊類型,其中攻擊者將它自己放到兩方之間,通常是客戶端和服務端通信線路的中間。這可以通過破壞原始頻道之后攔截一方的消息並將它們轉發(有時會有改變)給另一方來實現。
讓我們觀察下面這個例子:
Alice 連接到了 Web 服務器上,Bob打算了解 Alice 正在發送什么信息。於是 Bob 建立 MITM 攻擊,通過告訴服務器他是 Alice,並且告訴 Alice 他是服務器。現在,所有 Alice 的請求都會發給 Bob,Bob 會將它們轉發給服務器,並對服務器的響應做相同操作。這樣,Bob 就能夠攔截、讀取或修改所有 Alice 和服務器之間的流量。
雖然 MITM 攻擊並不特定與 Web 攻擊,了解如何執行它們,以及如何防止它們,對於任何滲透測試者都非常重要,因為它們可以用於偷取密碼,劫持會話,或者執行 Web 應用中的非授權操作。
這一章中,我們會建立起中間人攻擊,並使用它來獲得信息,以及執行更加復雜的攻擊。
8.1 使用 Ettercap 執行欺騙攻擊
地址解析協議(ARP)欺騙可能是最常見的 MITM 攻擊。它基於一個事實,就是 ARP 並不驗證系統所收到的響應。這就意味着,當 Alice 的電腦詢問網絡上的所有設備,“IP 為 xxx.xxx.xxx.xxx 的機器的 MAC 地址是什么”時,它會信任從任何設備得到的答復。該設備可能是預期的服務器,也可能是不是。ARP 欺騙或毒化的工作方式是,發送大量 ARP 響應給通信的兩端,告訴每一端攻擊者的 MAC 地址對應它們另一端的 IP 地址。
這個秘籍中,我們會使用Ettercap 來執行 ARP 欺騙攻擊,並將我們放到客戶端和服務器之間。
准備
對於這個秘籍,我們會使用第一章配置的客戶端虛擬機,和vulnerable_vm。客戶端的 IP 是 192.168.56.101,vulnerable_vm 是 192.168.56.102。
操作步驟
- 1.將兩個虛擬機打開,我們的 Kali Linux(192.168.56.1)主機是攻擊者的機器。打開終端窗口並輸入下列命令:
1 ettercap –G
從 Ettercap 的主菜單中,選擇Sniff | Unified Sniffing。
-
2.在彈出的對話框中選擇你打算使用的網絡接口,這里我們選擇
vboxnet0,像這樣:
-
3.既然我們嗅探了網絡,下一步就是識別哪個主機正在通信。訪問主菜單的
Hosts之后選擇Scan for hosts。 -
4.從我們發現的主機中,選擇我們的目標。從
Hosts菜單欄中選擇Hosts list。
-
5.從列表中選擇
192.168.56.101,並點擊Add to Target 1。 -
6.之后選擇
192.168.56.102,之后點擊Add to Target 2。 -
7.現在我們檢查目標:在
Targets菜單中,選擇Current targets。
-
8.我們現在准備好了開始欺騙攻擊,我們的位置在服務器和客戶端中間,在
Mitm菜單中,選擇ARP poisoning。 -
9.在彈出的窗口中,選中
Sniff remote connections,然后點擊OK。
這就結束了,我們現在可以看到在客戶端和服務端之間的流量。
工作原理
在我們鍵入的第一個命令中,我們告訴 Ettercap 啟動 GTK 界面。
其它界面選項為
-T啟動文本界面,-C啟動光標(以 ASCII 文本),-D運行為守護進程,沒有界面。
之后,我們啟動了 Ettercap 的嗅探功能。統一模式意味着我們會通過單一網絡接口接受並發送信息。當我們的目標通過不同網絡接口到達時,我們選擇橋接模式。例如,如果我們擁有兩個網卡,並且通過其一連接到客戶端,另一個連接到服務端。
在嗅探開始之后,我們選擇了目標。
事先選擇你的目標
單次攻擊中,選擇唯一必要主機作為目標非常重要,因為毒化攻擊會生成大量網絡流量,並導致所有主機的性能問題。在開始 MITM 攻擊之前,弄清楚那兩個系統會成為目標,並僅僅欺騙這兩個系統。
一旦設置了目標,我們就可以開始 ARP 毒化攻擊。Sniffing remote connections意味着 Ettercap 會捕獲和讀取所有兩端之間的封包,Only poison one way在我們僅僅打算毒化客戶端,而並不打算了解來自服務器或網關的請求時(或者它擁有任何對 ARP 毒化的保護時)非常實用。
8.2 使用 Wireshark 執行 MITM 以及捕獲流量
Ettercap 可以檢測到經過它傳播的相關信息,例如密碼。但是,在滲透測試的時候,它通常不足以攔截一些整數,我們可能要尋找其他信息,類似信用卡的號碼,社會安全號碼,名稱,圖片或者文檔。擁有一個可以監聽網絡上所有流量的工具十分實用,以便我們保存和之后分析它們。這個工具是個嗅探器,最符合我們的目的的工具就是 Wireshark,它包含於 Kali Linux。
這個秘籍中,我們會使用 Wireshark 來捕獲所有在客戶端和服務端之間發送的封包來獲取信息。
准備
在開始之前我們需要讓 MITM 工作。
操作步驟
- 1.從
Kali Applications菜單的Sniffing & Spoofing啟動 Wireshark,或者從終端中執行:
1 wireshark
-
2.當 Wireshark 加載之后,選項你打算用於捕獲封包的網卡。我們這里選擇
vboxnet0,像這樣:
-
3.之后點擊
Start。你會立即看到 Wireshark 正在捕獲 ARP 封包,這就是我們的攻擊。
-
4.現在,來到客戶端虛擬機,瀏覽http://192.168.56.102/ dvwa
,並登陸 DVWA。 -
5.在 Wireshark 中的
info區域中,查找來自192.168.56.101到192.168.56.102,帶有 POST/dvwa/login.php的 HTTP 封包。
如果我們瀏覽所有捕獲的封包,我們會看到一個封包對應授權,並會看到我們可以以純文本獲得用戶名和密碼。
使用過濾器
我們可以在 Wireshark 中使用過濾器來只展示我們感興趣的封包。例如,為了只查看 登錄頁面的 HTTP 請求,我們可以使用:
http. request.uri contains "login"。
如果我們查看 Ettercap 的窗口,我們也能看到用戶名和密碼,像這樣:
通過捕獲客戶端和服務端之間的流量,攻擊者能夠提取和利用所有類型的敏感信息,例如用戶名、密碼、會話 Cookie、賬戶號碼、信用卡號碼、私人郵件,以及其它。
工作原理
Wireshark 監聽每個我們選擇監聽的接口上的封包,並在它的界面中顯示。我們可以選擇監聽多個接口。
當我們首先啟動嗅探的時候,我們了解了 ARP 欺騙如何工作。它發送大量 ARP 封包給客戶端和服務端,以便防止它們的地址解析表(ARP 表)從正當的主機獲得正確的值。
最后,當我們向服務器發送請求時,我們看到了 Wireshark 如何捕獲所有包含在請求中的信息,包含協議、來源和目的地 IP。更重要的是,它包含了由客戶端發送的數據,其中包含管理員密碼。
另見
研究 Wireshark 數據有一些無聊,所以了解如何在捕獲封包時使用顯示過濾器非常重要。你可以訪問下列站點來了解更多信息。
- https://www.wireshark.org/docs/wsug_html_chunked/ChWorkDisplayFilterSection.html
- https://wiki.wireshark.org/DisplayFilters
使用 Wireshark,你可以通過捕獲過濾器來選擇捕獲哪種數據。這是非常實用的特性,尤其是執行 MITM攻擊時生成大量流量的時候。你可以從下列站點中閱讀更多信息。
- https://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html
- https://wiki.wireshark.org/CaptureFilters
8.3 修改服務端和客戶端之間的數據
在執行 MITM 攻擊時,我們不僅僅能夠監聽在受害者系統之間發送的任何數據,也能夠修改請求和響應,因而按照我們的意圖調整它們的行為。
這個秘籍中,我們會使用 Ettercap 過濾器來檢測封包是否包含我們感興趣的信息,並觸發改變后的操作。
准備
在開始之前我們需要讓 MITM 工作。
操作步驟
- 1.我們的第一步是創建過濾器文件。將下列代碼保存到文本文件中(我們命名為
regex-replace-filter.filter):
1
2 # If the packet goes to vulnerable_vm on TCP port 80 (HTTP)
3
4 if (ip.dst == '192.168.56.102'&& tcp.dst == 80) {
5 # if the packet's data contains a login page
6 if (search(DATA.data, "POST")){
7 msg("POST request");
8 if (search(DATA.data, "login.php") ){
9 msg("Call to login page");
10 # Will change content's length to prevent server from failing
11 pcre_regex(DATA.data, "Content-Length:\ [0-9]*","Content-Length: 41");
12 msg("Content Length modified");
13 # will replace any username by "admin" using a regular expression
14 if (pcre_regex(DATA.data, "username=[a-zAZ]*&","username=admin&")) {
15 msg("DATA modified\n");
16 }
17 msg("Filter Ran.\n");
18 }
19 }
20 }
#符號使注釋。這個語法非常類似於 C,除了注釋和一些不同。
- 2.下面我們需要為 Ettercap 編譯過濾器來使用它。從終端中,執行下列命令。
1 etterfilter -o regex-replace-filter.ef regex-replace-filter.filter 
-
3.現在,從 Ettercap 的菜單中,選擇
Filters | Load a filter,后面是regexreplace-filter.ef,並點擊Open。
我們會看到 Ettercap 的日志窗口中出現新的條目,表明新的過濾器已經加載了。
-
4.在客戶端中,瀏覽
http://192.168.56.102/dvwa/並使用密碼admin登陸任意用戶,例如:inexistentuser: admin。
用戶現在登陸為管理員,並且攻擊者擁有了對兩個用戶都生效的密碼。 -
5.如果我們檢查 Ettercap 的日志,我們可以看到我們編寫在代碼中的消息會出現在這里,像這樣:
工作原理
ARP 欺騙攻擊是更加復雜的攻擊的開始。這個秘籍中,我們使用了 Ettercap 的封包過濾功能來識別帶有特定內容的封包,並修改它來強制讓用戶以管理員登錄應用。這也可以從服務端到客戶端來完成,可以用來通過展示一些偽造信息來欺騙用戶。
我們的第一步是創建過濾腳本,它首先檢查被分析的封包是否含有我們打算改變的信息,像這樣:
1 if (ip.dst == '192.168.56.102'&& tcp.dst == 80) {
如果目標 IP 是 vulnerable_vm之一,且 TCP 端口是 80(默認 HTTP 端口號),它就是發往我們打算攔截的服務器的請求。
1 if (search(DATA.data, "POST")){ 2 msg("POST request"); 3 if (search(DATA.data, "login.php") )} 如果請求使用 POST 方法,且去往login.php頁面,它就是登錄嘗試,因為這是我們的目標應用接收登錄嘗試的方式。
1 pcre_regex(DATA.data, "Content-Length\:\ [0-9]*","Content-Length: 41"); 我們使用正則表達式來獲取請求中的Content-Length參數,並將它的值改為 41,這是我們發送帶有admin/admin憑證的登錄封包的長度。
1 if (pcre_regex(DATA.data, "username=[a-zA-Z]*&","username=admin&")){ 2 msg("DATA modified\n"); 3 } 同樣,使用正則表達式,我們在請求中查找用戶名稱值,並將它替換為admin。
消息(msg)僅僅用於跟蹤和調試目的,可以被從腳本中忽略。
在編寫完腳本之后,我們使用 Ettercap 的 etterfilter 編譯他,以便執行它。之后,我們在 Ettercap 中加載它,然后等待客戶端連接。
8.4 發起 SSL MITM 攻擊
如果我們使用我們目前的方法嗅探 HTTPS 會話,我們不能從中得到很多信息,因為所有通信都是加密的。
為了攔截、讀取和修改 SSL 和 TLS 的連接,我們需要做一系列准備步驟,來建立我們的 SSL 代理。SSLsplit 的仿作方式是使用兩個證書,一個用於告訴服務器這是客戶端,以便它可以接收和解密服務器的響應,另一個告訴客戶端這是服務器。對於第二個證書,如果我們打算代替一個擁有自己的域名的網站,並且它的證書由認證中心(CA)簽發,我們就需要讓 CA 為我們簽發根證書,但因為我們是攻擊者,我們就需要自己來做。
這個秘籍中,我們會配置我們自己的 CA,以及一些 IP 轉發規則來執行 SSL 中間人攻擊。
操作步驟
- 1.首先,我們打算在 Kali 上創建 CA 私鑰,所以在 root 終端中鍵入下列命令:
1 openssl genrsa -out certaauth.key 4096 - 2.現在讓我們創建一個使用這個密鑰簽名的證書:
1 openssl req -new -x509 -days 365 -key certauth.key -out ca.crt -
3.填充所需信息(或者僅僅對每個字段按下回車)。
-
4.下面,我們需要開啟 IP 轉發來開啟系統的路由功能(將目標不是本地主機的 IP 包轉發到網關):
1 echo 1 > /proc/sys/net/ipv4/ip_forwar - 5.現在我們打算配置一些會澤來防止轉發任何東西。首先,讓我們檢查我們的 iptables 的
nat表中是否有任何東西:
1 iptables -t nat -L
- 6.如果有東西,你可能打算備份一下,因為我們會刷新它們,如下:
1 iptables -t nat -L > iptables.nat.bkp.txt
- 7.現在讓我們刷新整個表。
1 iptables -t nat -F
- 8.之后我們建立 PREROUTING 規則:
1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --toports 8080
2 iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --toports 8443
現在我們已經准備好嗅探加密連接。
工作原理
這個秘籍中,我們配置了 Kali 主機來充當 CA,這意味着它可以校驗 SSLsplit 使用的證書。在前兩步中,我們僅僅創建了私鑰,和使用私鑰簽名的證書。
下面,我們建立了端口轉發規則。我們首先開啟了轉發選項,之后創建了 iptables 規則來將 80 端口的請求轉發到 443(HTTP 到 HTTPS)。這是為了重定向請求。我們的 MITM 攻擊會攔截 SSLsplit,便於它使用一個證書來解密收到的消息、處理它,使用另一個證書加密並發送到目的地。
另見
你應該了解更多加密證書以及 SSL 和 TLS 協議,還有 SSLsplit,可以訪問這里:
- https://en.wikipedia.org/wiki/Public_key_certificate
- https://www.roe.ch/SSLsplit
- https://en.wikipedia.org/wiki/Iptables
man iptables
8.5 使用 SSLsplit 獲得 SSL 數據
在之前的密集中,我們准備了環境來攻擊 SSL/TLS 連接。而這個秘籍中,我們會使用 SSLsplit 來完成 MITM 攻擊並從加密連接中提取信息。
准備
我們需要在開始秘籍之前執行 ARP 欺騙攻擊,並成功完成了上一個秘籍。
操作步驟
- 1.首先,我們需要創建目錄,其中 SSLsplit 在里面存放日志。打開終端並創建兩個目錄,像這樣:
1 mkdir /tmp/sslsplit
2 mkdir /tmp/sslsplit/logdir
- 2.現在,讓我們啟動 SSLSplit:
1 sslsplit -D -l connections.log -j /tmp/sslsplit -S logdir -k certauth.key -c ca.crt ssl 0.0.0.0 8443 tcp 0.0.0.0 8080 
-
3.現在,SSLSplit 正在運行,Windows 客戶端和 vulnerable_vm 之間存在 MITM,來到客戶端並訪問
https://192.168.56.102/dvwa/。 -
4.瀏覽器會要求確認,因為我們的 CA 和證書並不是被任何瀏覽器官方承認的。設置例外並繼續。
-
5.現在登錄 DVWA ,使用管理員用戶和密碼。
-
6.讓我們看看 SSLSplit 中發生了什么。打開新的終端並檢查日志內容,在我們為 SSLSplit 創建的目錄中:
1 ls /tmp/sslsplit/logdir/
2 cat /tmp/sslsplit/logdir/*
現在,即使 Ettercap 和 Wireshark 只能看到加密數據,我么也可以以純文本在 SSLSplit 中查看通信。
工作原理
這個秘籍中,我們繼續 SSL 連接上的攻擊。在第一步中,我們創建了目錄,其中 SSLSplit 會將捕獲到的信息存在里面。
第二步就是使用下列命令執行 SSLSplit:
-
-D:這是在前台運行 SSLSplit,並不是守護進程,並帶有詳細的輸出。 -
-l connections.log:這將每個連接的記錄保存到當前目錄的connections.log中。 -
-j /tmp/sslsplit:這用於建立jail directory目錄,/tmp/sslsplit會作為 root(chroot)包含 SSLSplit 的環境。 -
-S logdir:這用於告訴 SSLSplit 將內容日志(所有請求和響應)保存到logdir(在jail目錄中),並將數據保存到單獨的文件中。 -
-k和-c:這用於指明和充當 CA 時,SSLSplit 所使用的私鑰和證書。 -
ssl 0.0.0.0 8443:這告訴 SSLSplit 在哪里監聽 HTTPS(或者其它加密協議)連接。要記住這是我們在上一章中使用 iptables 從 443 轉發的接口。 -
tcp 0.0.0.0 8080:這告訴 SSLSplit 在哪里監聽 HTTP 連接。要記住這是我們在上一章中使用 iptables 從 80 轉發的接口。
在執行這些命令之后,我們等待客戶端瀏覽器服務器的 HTTPS 頁面並提交數據,之后我們檢查日志文件來發現未加密的信息。
8.6 執行 DNS 欺騙並重定向流量
DNS 欺騙是一種攻擊,其中執行 MITM 攻擊的攻擊者使用它來修改響應受害者的 DNS 服務器中的名稱解析,發送給他們惡意頁面,而不是他們請求的頁面,但仍然使用有效名稱。
這個秘籍中,我們會使用 Ettercap 來執行 DNS 欺騙攻擊,並在受害者打算瀏覽別的網站時,使其瀏覽我們的網站。
准備
對於這個秘籍,我們需要使用我們的 WIndows 客戶端虛擬機,但是這次網絡識別器橋接到 DNS 解析中。這個秘籍中它的 IP 地址為 192.168.71.14。
攻擊者的機器是我們的 Kali 主機,IP 為 192.168.71.8。它也需要運行 Apache 服務器,並擁有index.html演示頁面,我們會包含下列東西:
1 <h1>Spoofed SITE</h1> 操作步驟
- 1.假設我們已經啟動了 Apache 服務器,並正確配置了偽造頁面,讓我們編輯
/etc/ettercap/etter.dns,使它僅僅包含下面這一行:
1 * A 192.168.71.8
我們僅僅設置一條規則:所有 A 記錄(地址記錄)都解析到192.168.71.8,這是我們 Kali 的地址。我們可以設置其他條目,但是我們打算在這里避免干擾。
- 2.這次,我們從命令行運行 Ettercap。打開 root 終端並鍵入下列命令:
1 ettercap -i wlan0 -T -P dns_spoof -M arp /192.168.71.14/// 它會以文本模式運行 Ettercap,並開啟 DNS 欺騙插件來執行 ARP 欺騙攻擊,目標僅僅設置為192.168.71.14。
-
3.啟動攻擊之后,我們來到客戶端主機,並嘗試通過網站自己的域名來瀏覽網站,例如,
www.yahoo.com,像這樣:
要注意,現在地址和標簽欄顯示原始站點的名稱,但是內容來自不同的地方。 -
4.我們也可以嘗試使用
nslookup執行地址解析,像這樣:
工作原理
這個秘籍中,我們看到如何使用中間人攻擊來強制用戶瀏覽某個頁面,他們甚至相信自己在其它站點上。
在第一步中,我們修改了 Ettercap 的名稱解析文件,讓它將所有請求的名稱重定向到我們的 Kali 主機。
之后,我們以下列參數運行 Ettercap:-i wlan0 -T -P dns_spoof -M arp /192.168.71.14///。
-
-i wlan0:要技術我們需要客戶端進行 DNS 解析,所以我們需要讓它連接到橋接的適配器,並到達我們的 Kali 主機,所以我們將嗅探接口設為wlan0(攻擊者計算機上的無線網卡)。 -
-T:使用純文本界面。 -
-P dns_spoof:啟動 DNS 欺騙插件。 -
-M arp:執行 ARP 欺騙攻擊。 -
/192.168.71.14///:這是我們在命令行中對 Ettercap 設置目標的方式:MAC/ip_address/port。其中//表示任何對應 IP 192.168.71.14(客戶端)任何端口的 MAC 地址。
最后,我們確認了攻擊能夠正常工作。
另見
也有另一個非常實用的用於這些類型攻擊的工具,叫做 dnsspoof。你應該下載下來並加入工具庫:
1 man dnsspoof
http://www.monkey.org/~dugsong/dsniff/
另一個值得提及的工具是中間人攻擊框架:MITMf。它包含內建的 ARP 毒化、DNS 欺騙、WPAD 代理服務器,以及其它攻擊類型的功能。
1 mitmf --help
版權聲明:本文轉載自wizardforcel的專欄,如有侵權,請與本人聯系。
專欄鏈接:http://blog.csdn.net/wizardforcel
原文鏈接:http://blog.csdn.net/wizardforcel/article/details/52798019
作者:三月行者
鏈接:https://www.jianshu.com/p/2be3e6fb4a2f
來源:簡書
著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請注明出處。