SeedLab5: The Mitnick Attack Lab

PS：这个Lab最好在Sniffing_Spoofing Lab（熟悉Scapy的sniff和spoof语法）和TCP/IP Attack Lab之后进行

文档之前有一大段介绍，黑客Kevin Mitnick进行了TCP会话劫持攻击，他的步骤是：
1.对服务器进行SYN洪泛攻击，使其无法接受TCP连接请求而静默
2.伪造TCP连接（因为被害者主机会把正常的SYN ACK包发回到静默的服务器，也无法进行嗅探，黑客需要预测对方发回的Sequence number）
3.将建立的TCP连接用于远程登录（rsh），远程操作受害者主机安装后门

---

我们的实验降低了难度：
1.三台主机在同一个LAN里，可以嗅探，无需预测Sequence number
2.无需进行SYN洪泛攻击，直接关掉server的网络连接

---

安装rsh

按照文档三个机器都装上rsh-redone即可
但是要注意装完之后，要执行sudo service xinetd restart才可启动
（测试一下，被害者主机的514、513号端口打开即可）

配置无密码登录

在514端口收到rsh连接请求后，会先查找/etc/hosts.equiv，如果没有这个文件则查找.rhosts里的记录，查看是否允许某些IP的免密登录

填写.rhosts的方法文档里写的很清楚了，要注意的就是要在/home/seed目录下建立.rhosts

然后服务器就可以免密登录被害者主机了

---

开始Mitnick Attack

1 ARP记录写入

因为我们会把Server静默，所以被害者主机发出的ARP请求包不会受到回应，所以可能包发不出去，可以通过ping Server增加一条记录（但马上就过期了…），但建议手动写入：

arp里有记录就可以了，重启后要重新配置

2 rsh连接过程

在开始伪造rsh连接之前，先来康康他的连接过程：
第一阶段：Server发SYN包，然后三次握手，完成514和1021端口的连接建立：

第二阶段：收到上一阶段的RSH报文后，根据其中指定的端口号（此处为1020）建立第二条TCP连接，一般用于错误信息的传输：

第三阶段：在第一条连接传输之后的远程命令和回应：

okk明白了连接的具体过程之后，开始伪造吧！

---

第一阶段 1：伪造Server发送的SYN

注意端口必须是1023（文档里说不然会reset），注意SYN标志位，做过sniffing_spoofing的话应该不难的

抓包能看到SYN被接收，受害者主机发回SYN ACK

第一阶段 2：伪造第三个ACK完成握手

刚才的SYN ACK发回给了server，但是它静默了所以不会回应，为了连接能成功建立，我们要伪造Server的ACK（第三次握手）
最需要注意的是标志位、seq（返回的ack）、ack（返回的seq+1），文档里有框架，不理解的话需要参考TCP协议的规定：

抓包看到，三次握手完成，第一条连接建立

第一阶段 3：发送rsh命令

前面的连接能看到一条Session Establishment，后面会带一条RSH的远程命令，根据要求我们也发送一条：

（如果不给提示的话还需要观察指令的格式，但是要求里给出了～

这时候能看到连接建立，Session Establishment也有了，受害者主机向指定的端口（9090）发出了SYN准备建立第二条连接：

---

第二阶段 1：伪造第二条连接的SYN ACK

前面能看到SYN发给了静默的Server，那么第二条连接又无法建立了，所以我们还是要伪造：
（这里的seq应该是一个随机数，但我直接用了SYN的seq，也没什么问题）

此时两条连接都建立好了：

再验证下那条命令执行了没，康康/tmp下确实有了XYZ文件：

还要求验证创建时间：

---

安装后门

前面的就这样做完了！是不是很简单～
最后要求安装个后门，也不难啊，就改一下第一阶段最后的命令就好啦

好的发过去了：

看看执行了没：

okk此时任何主机都能无密码rsh连接受害者主机了：

---

写得最快的一个Lab！不需要参考任何资料，要求真的很明确啦～
也挺有趣的，但只是感受一下黑客的攻击hhhh，要求放宽很多了