带ARP欺骗攻击的渗透利刃--hijack.DOC

前面介绍过一些入侵渗透用的小工具，如AIO和MT等，这些小工具的功能都非常强大，可以实现各种渗透入侵控制功能。但同时这些工具也有不足之处，即不具备ARP欺骗攻击的功能。 ARP欺骗攻击在内网渗透中的作用是极大的，因此这里介绍一个具有ARP欺骗功能的渗透小工具hijack。这个小巧但功能强大的工具，具备各种强大的功能，可以进行远程渗透入侵。 1．上传hijack，安装嗅探组件 hijack解压后，里面有3个文件：hijack.exe、winpcap.exe和old.exe。其中hijack.exe和winpcap.exe是必需的。前者是程序主文件，后者是嗅探所需Winpcap数据包的自解压版本。 首先，攻击者要将hijack上传到远程主机上，可以使用远程控制木马或溢出Shell窗口进行上传，如图8-67所示。这里选择上传到C盘根目录下。 返回到远程命令控制窗口中，执行命令： dir c:\hijack.exe 如果显示文件，则表示上传文件成功。然后执行c:\winpcap.exe命令，会自动解压所需的嗅探组件到系统目录下，如图8-68所示。 在使用hijack.exe工具进行渗透入侵前，必须安装winpcap组件，否则会弹出错误提示，如图8-69所示。 2．查获远程网络信息 入侵控制的主机，可能是单独的一台主机，也可能位于某个网络中；主机上可能只安装了一块网卡，也可能安装了多块网块--全面地了解远程主机上的网络信息是进一步渗透入侵攻击前所必需的。 在远程控制木马的命令控制窗口中，执行命令： hijack /L 可以看到远程主机上网卡的设备名、IP地址、MAC物理地址和子网掩码等各种网络信息，如图8-70所示。其中，比较重要的是idx列显示的信息，也就是网卡索引号。如果是单网卡，那么网卡索引号为1。 现在要扫描远程主机子网中所有的主机IP地址，命令格式为： hijack exe -d 网卡索引号 /s 由于是单网卡，可以直接执行命令： hijack -d 1 /s 可以从远程主机所在的子网中扫描并显示所有主机的IP地址，以及其网卡的MAC物理地址。这里可以看到，在子网中有3台主机，如图8-71所示。   3．嗅探子网主机的密码 在进行渗透入侵时，嗅探具有非常重要的作用，尤其是在入侵网站服务器网络时。利用嗅探，可以获得子网中其他主机的管理员密码，或者是网站登录密码、邮箱或FTP登录密码等。 1）嗅探数据库的密码 例如，控制网站服务器主机内网的IP地址是，在子网中另一台主机的IP地址是0，该主机是网站的数据库服务器。攻击者想获得数据库的连接密码，可以嗅探主机的所有网络连接数据。 在远程控制木马的命令控制窗口中，执行嗅探命令（见图8-72） hijack -d 1 -O pass.log 192.168.1.* 0 该命令可以嗅探所有192.168.1.*网段的主机与数据库服务器之间的网络信息数据，并从中捕获密码，保存在pass.log文件中。 也可以直接使用如下命令： hijack -d 1 -O pass.log 192.168.1.* 嗅探所有主机与网关服务器之间的数据交换，从而获得其登录密码并直接从外网登录网关。 以上命令，只是进行单向嗅探，我们也可以添加参数-f进行双向嗅探，命令格式如下： hijack -d 1 -f -O pass.log 192.168.1.* 0 另外，我们也可以设置嗅探指定协议的密码，如嗅探FTP密码，可执行命令： hijack -d 1 -r -f -O pass.log 192.168.1.* 0 USER|PASS tcp and dst port 21 要嗅探常见的HTTP密码，可执行命令： hijack -d 1 -r -f -O pass.log 192.168.1.* 0 username=|password= tcp and dst port 80 2）查看嗅探数据 执行了后台嗅探后，嗅探的结果会保存在远程主机上。显示嗅探结果的命令为： hijack.exe -I pass.log 执行命令后，就可以看到嗅探记录文件中保存的所有嗅探数据了，如图8-73所示，通过分析查看即可获得密码。  3）IP地址欺骗攻击，突破内网连接限制 通过前面嗅探到的密码可以进行远程连接，以控制子网中的其他主机。但是这些子网中的主机，往往通过防火墙或其他方式设置了连接限制，只允许与指定IP地址的主机进行连接，此时可以通过hijack的IP地址欺骗功能来渗透入侵连接受限制的主机。 这里假设在子网内某台计算机公网的IP地址为3，该主机设置了IP地址限制，只允许IP地址7访问，而攻击者本机的IP地址是2，如果想入侵这台连接受制限的主机，可以执行命令（见图8-74）： h