MITM——ARP篇 – 作者:rabbitmask

本期课题:连接老王家的免费WiFi真的好么?

涉及工具:Ettercap & Driftnet

涉及概念:MITM & ARP

涉及技术:字节流嗅探 & 图片流嗅探

【1】连接老王家的免费WiFi真的好么?

现在大量公共场合都存在许许多多的免费WiFi,稍有点安全常识的人还是会去识别下WiFi热点是否安全,这个判断依据是什么呢?当然是提供热点的第三方是否值得信任。
的确,我也觉得楼下重庆小面的王大爷家的WiFi是足够安全的,毕竟王大爷还是挺面善的,但是我们只想到了王大爷和他家的路由器。
那、王大爷家的诸位?你们觉得我的存在也足够安全嘛?:)

【2】Ettercap & Driftnet

Ettercap

http://www.ettercap-project.org

Ettercap是一个全面的中间人攻击工具,它的特点是嗅探实时连接、动态过滤内容以及许多其他有趣的技巧,它支持多个协议的主动和被动分离,并包含了网络和主机分析的许多特性。

ParrotSec预装,如不喜欢命令行格式,可以使用sudo ettercap -G进入图形界面,(我保证我是喜欢命令行界面的,可是这GUI是真™香!)

Driftnet

Driftnet是一个监听网络流量并从它观察到的TCP流中提取图像的程序。有趣的是看到很多网络流量的主机上运行。在实验性增强中,driftnet现在从网络流量中挑选出MPEG音频流,并尝试播放它们。
毫无疑问,这是一个窥探别人隐私的工具,我们在此提及也是想让大家意识到它的存在,重视无线安全。

【3】MITM & ARP

MITM

中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。它是一种由来已久的网络入侵手段,并且当今仍然有着广泛的发展空间,如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。
简而言之,所谓的MITM攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。
其实讲到这里,大家应该也猜到接下来的系列课程内容了。

ARP

地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗,又称ARP毒化、ARP攻击等。

#arp命令
-a<主机>:显示arp缓冲区的所有条目
-H<地址类型>:指定arp指令使用的地址类型
-d<主机>:从arp缓冲区中删除指定主机的arp条目
-D:使用指定端口的硬件地址
-e:以linux的显示风格显示arp缓冲区中的条目
-i<接口>:指定要操作arp缓冲区的网络接口
-s<主机><MAC地址>:设置指定的主机的IP地址与MAC地址的静态映射
-n:以数字的方式显示arp缓冲区中的条目
-v:显示详细的arp缓冲区条目,包括缓冲区条目的统计信息
-f<文件>:设置主机的IP地址与MAC地址的静态映射

所谓arp毒化,就是告诉目标机我是网关,告诉网关我是目标机,也就是使用arp -s<主机><MAC地址>命令,这样做的结果就是目标机和网关之间的数据流会先发往本机,我们可以选择将接受到的数据保留或者继续原路发送,前者会造成arp攻击致使目标机断网(网关不受限),而后者两者都不会察觉,我们接下来的工具,正式为了实现这个目的,对整个局域网实现更加效率的操控。

【4】字节流嗅探 & 图片流嗅探

字节流嗅探

emmmm,先做下准备工作,因为使用的是全宇宙最好用的操作系统ParrotSec,咳咳,需要修改个内核参数,开启路由转发功能:

image.png

然后进入掏出ettercap完成本次字节流嗅探:
sudo ettercap -G
选择测试需要的网卡(如果你有多个网卡的话,23333)

image.png

网卡选择

hosts列表没有你要的?手动开启主机检索,可支持IPV6:

image.png

主机检索

这里,emmm用自己的设备吧,查看自己的手机地址:

image.png

手机地址

开始对自己的小爪机下毒手:

image.png

靶机锁定

分别添加目标,靶机和网关:

image.png

添加目标

ARP投毒开始,本机担任靶机和网关的中间人角色:

image.png

ARP投毒

start -- start sniffing     开始监听
view -- connections      查看连接

查看当前局域网内与目标机相关的流量:

image.png

查看监听

字节流与数据分析查看,操作参考宇宙第一hack工具wireshark!字节流中突然出现password字段这种事谁也说不好~

image.png

数据分析

注:从此处开始截图中IP网段发生了改变!没错!我被老王赶出来了!但是!我们的教程还得继续!无线安全没有尽头!

如果不喜欢GUI界面,你大可使用命令行界面,用户体验同样优秀:
注意以下命令中的/数量哦~,原因请参考这里:https://github.com/Ettercap/ettercap/issues/708
更多命令请自行-h

ettercap -Tqi wlan0 -M arp:remote /172.16.111.235// /172.16.111.1//

image.png

图片流嗅探

emmm,话唠的我再多说几句吧,使用这两个工具的时候都可能遇到类似如下的atk-bridge报错,请自行安装libatk-adaptor解决:image.png

atk-bridge

apt-get install libatk-adaptor 

关于driftnet的使用,在字节流嗅探的基础上,即已实现ARP毒化的前提下,直接运行driftnet对当前网卡监听即可,更多使用如存储操作参见-h
driftnet -i wlan0
driftnet将会对数据流(其实还是字节流)中的数据流进行捕获并重现,测试结果是仅对HTTP生效,但这足够引起我们重视了。这意味这我们在老王家的面馆安静的蹭WIFI看小黄图将不再安静!

热心市民R先生为我们发回犯罪现场画面:

image.png

image.png

END

故事讲到这里,你依然觉得老王家的WiFi很安全嘛?

唉、么得办法,Life is like a box of chocolates,you never konw what you’re going to get. 

但!是!你!始!终!要!明!白!【无线安全】MITM——DNS篇还是要看的!

关注我们

Tide安全团队正式成立于2019年1月,是以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或关注公众号:

ewm.png

来源:freebuf.com 2019-04-26 17:38:29 by: rabbitmask

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论