这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了一个phpMyAdmin 4.8.1版本的文件包含漏洞,从配置到原理,再到漏洞复现进行讲解。本文将详细讲解中间人攻击或ARP欺骗攻击,从ARP原理到局域网配置进行描述,重点是让您对ARP欺骗和网络投毒攻击有一定认识。真心希望这篇基础文章对您有所帮助,也欢迎大家讨论。
作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔~
PS:本文参考了B站(千峰教育峰老师)、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
下载地址:https://github.com/eastmountyxz/NetworkSecuritySelf-study
前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
[网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
[网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置(一)
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理(一)
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防御原理(二)
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10(四)
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20(五)
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗(六)
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现(CVE-2018-20250)及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解(CVE-2018-12613)
前文欣赏:
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。
中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)是一种间接的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。中间人攻击非常令人头疼,比较难避免,我们先分享基础知识及漏洞原理,再复现该攻击。
注意:本文的实验绝对禁止在真实环境中去完成,作者将引用B站视频中虚拟机实验复现,未经授权的测试或攻击行为我们一律禁止。
实验目标:
使用Kali系统模拟攻击者,利用中间人的攻击手段来获取Web服务器和FTP服务器的用户名与密码。换句话说,通过该攻击窃取别人的账号和密码。
实验环境:
这次实验会开三台虚拟机,一台XP系统、一台2003系统、一台Kali攻击机。
漏洞简述:
中间人攻击究竟是如何利用别人的漏洞去攻击对方的呢?
中间人攻击中有两个受害者,中间人对他俩实施攻击,攻击结果是甲和乙的传输内容,它们都需要经过中间人,但是两人(甲和乙)却不知道。聊天内容被中间人截获,如果截获信息有用户名和密码,危害就会更大,而且中间人攻击不会损害甲方和乙方的通讯。
基本流程:
构建的拓扑图如下所示,首先开3台虚拟机,然后有1台交换机,这3台虚拟机都连接在这台交换机上,共同构成一个虚拟的局域网,来进行这个实验。我们的实验基本流程如下:
首先给大家普及下网络的基础知识。
网络基础:
交换机只能组建局域网,想让员工上网,必须购买路由器;反过来,路由器没有组建局域网的能力,但它能让员工去联网。这里我们构建一个虚拟的内网通讯,所以不需要路由器,但需要交换机。如下图所示的局域网。
如果这个局域网想上网只需要连个路由器或猫,再连接互联网即可。由于大家的电脑IP地址都在同一个网段,所以大家就能进行通讯。
回归到这个局域网,我们开3台虚拟机(Windows 2003、Windows XP、Kali系统),然后需要这三台虚拟机构建一个局域网。
原理和操作同样重要,作者接下来将分享ARP攻击原理,也希望大家了解网络攻防背后的知识,更好地进行防御和保护。
VMware软件在安装时会在电脑上内嵌一个虚拟交换机,理解为虚拟网络。选择虚拟机,点击右键,然后点击“设置”。
点击“网络适配器”,选择自定义“特定虚拟网络”,比如选择“VMnet2”,点击确定后,此时相当于这台虚拟机连接到了VMnet2虚拟网络中,我们称之为桥接。
接着我们桥接其他两个虚拟机。VMNet0是真实机的交换机,VMNet1-VMNet19是虚拟的交换机。
如果想要虚拟机能上网,则是将它桥接到VMNet0即可,如下图所示。
中间人攻击是利用ARP协议的漏洞。
攻击和漏洞息息相关,如果不存在漏洞或漏洞被补上了,你就可能失败。因此,所有的攻击都不是百分之百成功的。如果你是白帽子,你的责任就是找到漏洞并补上。
大家面试的时候经常会被询问“ARP协议原理是什么呢”?
假设存在一个局域网,有三个人小杨(通讯甲方)、Eastmount(攻击者)、小娜(通讯乙方)0,三个地址分别如下,并且都有一个MAC地址。由于MAC地址比较长,这里设置为AA、BB、CC。
假设小杨需要给小娜发一句话“你真漂亮”,TCP/IP五层协议处理流程如下。首先应用层会发一句话 “你真漂亮”,传输层指定端口号(源端口和末端口),网络层封装IP包头(原始IP和目标IP)。
现在这个信息能发出去了吗?不能,因为这个数据包现在只停留在网络层,还得往数据链路层处理并找到网卡,网卡会在数据包前封装一个帧头和帧尾,封装目标MAC地址和原始MAC地址。
请问小杨知道小娜的MAC地址吗?答案是不知道。他只能知道IP地址,但无法知道其MAC地址。
为什么要知道她的MAC地址呢?因为交换机会根据目标MAC地址来转发数据。交换机是第二层的设备,它不会检查数据,只会检查帧头,只认MAC地址,它存在一张MAC地址表(自动生成)。
现在小杨不知道小娜的MAC地址,他无法发送出去信息,它会将这个信息在网卡中缓存起来。接下来在网络层中有个协议——ARP协议。
ARP协议属于网络层协议,它会生成“我是10.1.1.1,我的MAC地址是AA,谁是10.1.1.3,你的MAC地址是多少?”这么一句话。ARP协议在网络层封装这个信息之后,会将这句话广播出去,让所有人都收到这个信息。此时,小杨网卡会封装一个帧头,设置为广播地址“FF”。
此时,交换机一看目标MAC地址是“FF”,然后它直接复制N份,向其他所有的端口发送数据。但Eastmount收到这个消息时,它会丢弃这个包,因为目标IP地址是10.1.1.3,和我无关。
而小娜呢?会将目标MAC地址填上,她回复的时候如下图所示。ARP回应是单播,而不是广播,因为它知道是谁发过来的消息。填写地址“CC”之后,再单独将这个信息发送给小杨。
小杨收到这个信息之后,喜出望外,没有第一时间把这个填写过来,而是先建立一个ARP缓存表。为什么要建立这个缓存表呢?我不是只发一句话,而是成千上万个帧。但如果长时间不通讯时,这个表就会消失。提示一句,该漏洞就存在这个ARP缓存表中。
ARP协议总结:
最终小娜收到了这个信息,ARP协议是已知IP,解析MAC地址。原理是:
(1) 发送ARP广播请求
(2) 发送ARP单播应答
接着我们开始讲解中间人攻击原理知识,该漏洞点在ARP缓存表这里。突然,Eastmount站出来了,正常情况下Eastmount是不会反映的,但他的电脑上装了一个ARP攻击工具,它会向外发送假的伪装的ARP信息。
小杨此时问“谁是10.1.1.3”,小娜回答“我是10.1.1.3,我的MAC地址是CC”,而Eastmount也回答“我是10.1.1.3,我的MAC地址是BB”。
请问谁说的是正确的呢?小娜说的是正确的,而Eastmount是冒充的。小杨又会选哪个呢?ARP原理是后到达的被选,小娜先到,ARP缓存表中写“CC”,而此时Eastmount也到了,会瞬间修改为“BB”。所以说是最后到达的信息能被送达。
正常情况下小娜只回复一次,而Eastmount这个工具可以一秒钟回10次,而且每秒钟都回应,所以最后的结果是小杨那个ARP缓存表中一定是BB。
接着小杨再向“10.1.1.3”多次发送信息,但MAC地址写的是BB,你以为给小娜,其实发到攻击者Eastmount那里了,因为交换机只检测MAC地址。Eastmount通过工具拦截信息,如果发送的是账号和密码,它也能够捕获。
但此时小娜没有收到回应,Eastmount为了避嫌,将帧头“BB”修改为“CC”,再转发给小娜,小娜也作出相应的回应。最终导致小杨以为“10.1.1.3”是BB,小娜以为“10.1.1.1”是BB。Eastmount作为中间人窃取信息,这也称之为——ARP欺骗攻击。
简单总结:
该漏洞最大的问题是ARP协议每次使用后到达的,而不对每个应答作身份认证。换句话说,你没有办法检查这个应答的真伪,所以说你才使用最后达到的。这个协议开发出来很多年,为什么一直没有更新这个漏洞呢?因为ARP协议很难去验证哪个应答是真是假。ARP攻击也成为了企业最头疼的一种攻击之一。
ARP攻击原理:
攻击人通过发送虚假的ARP应答实现缓存投毒,而受害人没有办法进行身份真伪验证。
接着我们开始搭建环境并完成ARP欺骗实验。
第一步,开启三台虚拟机(Win XP、Win 2003、Kali)。
打开虚拟机如下图所示:
比如Kali虚拟机:
这里作者使用“还原快照”,读者可以尝试自己配置环境。XP系统点击“还原快照”,点击“转到”即可。
2003系统选择服务器快照还原,FTP、WEB服务器。
第二步,配置IP地址。
将三台虚拟机桥接到同一个虚拟网络中去。右键设置,点击“网络适配器”,选择“VMnet2”,三台虚拟机都桥接到该虚拟网络“VMnet2”中,这样三台虚拟机就成功连成了同一个局域网。
配置IP地址需要选中“网上邻居”,再右键“属性”,点击“本地连接”右键“属性”。
设置IP地址如下“10.1.1.1”,子网掩码设置为“255.255.255.0”。
接着登录Windows 2003服务器。
登录Kali系统。
小技巧1: 如果Kali窗口比较小,可以点击“查看”,选择“立即适应客户机”即可。
小技巧2: 打开控制台Terminal,如果字体太小,可以尝试按Ctrl+Shift+"加号"变大。
在Kali系统中输入命令配置IP地址,eth表示网卡名称。
ifconfig eth0 10.1.1.2/24
然后尝试查看是否IP地址建立成功。Linux默认一直ping,如下图所示小杨是连接成功的。
ping 10.1.1.1
接着尝试连接小娜的电脑。
ping 10.1.1.3
到此,我们成功建立了如下图所示的虚拟局域网。
第三步,将Win2003搭建成WEB服务器和FTP服务器。
发布Web服务器的软件有apache,比如LAMP(Linux+Apache+MySQL+PHP)框架,还有IIS。这里使用微软的动态网站软件IIS搭建ASP网站。重点是这个动态网站需要账号和密码登录,我们可以截获这个账号和密码。
首先,点击“Internet信息服务管理器”。
可以发现这个IIS不仅可以发布网站,还可以发布FTP。
接着,我们尝试发布一个网站,先禁止默认网站。
假设需要发布下面这个ASP语言编写的网站。
右键“新建”->“网站”,然后选择搭建网站。
设置网站本机地址及80端口。
选择网站搭建所需的源文件。
网站访问权限勾选下列选项。
Windows 2003服务器网站发布成功之后,我们尝试是否其他计算机能访问该服务器的数据。
接着配置其访问的首页,默认一般是“index.html”,这里是“Index.asp”。
选择该网站,然后右键“属性”,点击“文档”,显示如下图所示。
然后添加主页“Index.asp”。
选择“Web服务扩展”,找到“Active Server Pages”动态网页,右键“允许”。这样整个服务器的ASP网站配置成功。
Windows XP系统直接访问“10.1.1.3”,显示成功。
一般的管理系统都有后台管理员,会有相应的管理员登录页面。我们实验的重点是获取访问该页面的管理员用户名和密码。
该示例网站的后台管理员登录页面为“Admin”文件夹下的“Admin_login.asp”网页。通常我们可以通过扫描工具,对路径进行暴库扫描。
显示如下图所示:http://10.1.1.3/admin/admin_login.asp
假设登录的信息如下所示:
但登录的时候却显示失败,因为服务器还需要配置。
由于管理员登录页面在Admin子文件夹下,需要开启相关的选项。右键“zhirui”点击“属性”,然后点击“主目录”中的“配置”。
配置中间“选项”中勾选上“启用父路径”即可。此时,该站点下的所有子目录文件均能访问。
后台管理员页面访问成功如下图所示。
第四步,验证Web及FTP服务是否可以访问。
配置FTP服务器类似,选择“默认FTP站点”,点击“属性”,然后可以在“主目录”中看到FTP默认的本地路径“C:\inetpub\ftproot”。
向该文件夹添加东西,可以直接访问,比如添加“x move.txt”。
此时打开XP电脑,输入“ftp://10.1.1.3”即可访问该文件。
但是它没有输入账号和密码就直接获取了,所以我们接着配置服务器,让其他人下载我们FTP内容时,需要输入账号和密码。回到Win2003服务器,右键“默认FTP站点”,点击“属性”,然后在“安全账户”中去掉“允许匿名连接”,设置成功之后,再次访问就需要账号和密码。
如下图所示:
这里再问一个问题,假设我让大家访问我的IP地址服务器,我能把我的管理员账号和密码给你们吗?不行,这样太危险了。所以在这里补充CMD的两个命令,非常重要的命令,并且是黑客必备的命令。
第五步,配置临时用户和密码。
net user
列出当前服务器上所有的用户,包括管理员。
net user a feigeshuai /add
增加用户a,且密码为feigeshuai,注意如果不存在a用户,则使用“/add”来增加新用户。
此时,我们可以看到a账户创建成功,并且将该信息发给员工使用。
输入用户名和密码即可登录FTP服务器。
第六步,开启ARP欺骗及Sniff嗅探功能。
Kali中包含了丰富的渗透和安全测试软件供大家使用。
我们接下来要使用的软件叫“Ettercap”。
该软件打开如下图所示,它不仅仅能ARP投毒,还能进行各种DNS投毒等。
点击“Sniff”第一个选项“Unified sniffing”。
选择网卡接口“eth0”。
选中网卡之后,开始点击“Host list”,列出所有主机。
再点击第三个按钮“Scan for hosts”扫描。
输出结果如下图所示,包括“10.1.1.1”和“10.1.1.3”。接下来我要在它们两个之间做中间人,怎么做呢?
选择第一个,添加目标1“Add to Target 1”;再选择第二个,添加目标2“Add to Target 2”。
再点击“Mitm”->“ARP poisoning”,并且勾选“Sniff remote connections”,此时就建立了ARP投毒,把10.1.1.1和10.1.1.3欺骗,并且开始数据拦截。
接着,我们打开Win XP系统,在CMD中输入“arp -a”,该命令是查看ARP缓存表,如下图所示。可以看到,在10.1.1.1主机上,发现10.1.1.2和10.1.1.3的MAC地址都是“52-81”,所以基本能确定这个人是坏蛋,说明已经被欺骗了。
接着来测试FTP,在XP系统中访问FTP服务器,然后输入用户名“a”、密码“feigeshuai”。并且能成功访问,说明ARP攻击并没有影响正常通讯。
再来看Kali,用户名和密码被成功获取。同时说明FTP协议默认传输数据没有加密,是明文传输。显示两次是因为FTP是核对-验证机制,确认之后会再发送一遍。
同样,我们在XP系统中打开浏览器,输入相关信息。
抓取的信息如下,用户名“admin”、密码“123456”,同时包括认证码和code。
但如果别人的密码是加密的话,我们还需要进行解密,比如HTTPS。
补充,如果你的信息没有获取成功,则可能是:
写到这里,这篇基础性文章就此结束,希望文章对您有所帮助。真的感觉自己技术好菜,要学的知识好多。这是第41篇原创的安全系列文章,从网络安全到系统安全,从木马病毒到后门劫持,从恶意代码到溯源分析,从渗透工具到二进制工具,还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防,人生漫漫其路远兮,作为初学者,自己真是爬着前行,感谢很多人的帮助,继续爬着,继续加油。
最后希望大家帮我CSDN博客之星投投票,每天可以投5票喔,谢谢大家!八年,在CSDN分享了410篇文章,65个专栏,400多万人次浏览,包括Python人工智能、数据挖掘、网络爬虫、图象处理、网络安全、JAVA网站、Android开发、LAMP/WAMP、C#网络编程、C++游戏、算法和数据结构、面试总结、人生感悟等。当然还有我和你的故事,感恩一路有你,感谢一路同行,希望通过编程分享帮助到更多人,也希望学成之后教更多学生。因为喜欢,所以分享,且看且珍惜,加油!我的学生们,等我学成归来~
投票地址:http://m234140.nofollow.ax.mvote.cn/opage/ed8141a0-ed19-774b-6b0d-39c3aaf89dde.html?from=singlemessage
(By:Eastmount 2020-01-21 中午21点写于贵阳 http://blog.csdn.net/eastmount/ )
参考文献:
2019 黑客入门基础Windows网络安全精讲 - B站老师