[讨论]大家都来谈下如何突破ARP防火墙的封锁和网关MAC地址双向绑定嗅到你想要的数据 ARP, 防火墙, MAC, 网关, 绑定

2000gaobo

[讨论]大家都来谈下如何突破ARP防火墙的封锁和网关MAC地址双向绑定嗅到你想要的数据
议题作者：小拳头
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

最近搞了N个服务器想嗅目标服务器可惜目标服务器不是装了反ARP防火墙就是网关MAC绑定。凋零玫瑰弟弟的想法8错，但是局限性太大（某牛人说的不是我），我用他的方法痛失爱鸡N只，感觉我们越来越需要突破这种反ARP的方法了。大家有什么好的方法就说说，互相讨论互相进步。
我的方法：cain和winpcap一定要用最新的版本有时候还是可以抓到一些包的，这要比那些老掉牙的版本了。
帖子20 精华0 积分2953 阅读权限100 在线时间23 小时 注册时间2008-1-1 最后登录2008-7-5 查看详细资料引用 报告 回复 TOP 赚更多的钱


laowan
晶莹剔透§烈日灼然

L咪I咪SA

确实实验过几次
没成功一次
看来RP有待提高
帖子18 精华0 积分46 阅读权限40 性别男 在线时间32 小时 注册时间2007-12-26 最后登录2008-4-5 查看详细资料引用 报告 回复 TOP 软件项目外包

撕碎了的小C
技术核心组

lusheep

如果是ARP软件防火墙的话可以通过增加ARP包的发送速度来解决，这个网上有资料。
如果是双向绑定基本上就没办法了。我是金子，我要闪光的....!
帖子128 精华4 积分3748 阅读权限200 性别男 来自湖南 在线时间124 小时 注册时间2005-1-28 最后登录2008-7-8 查看详细资料引用 报告 回复 TOP 爱要怎么说出口

小拳头
荣誉会员

ROCKY

本来打算测试下玫瑰的方法，听2楼这么一说还是算了。搞不好两个服务器都挂掉我就哭死了
帖子20 精华0 积分2953 阅读权限100 在线时间23 小时 注册时间2008-1-1 最后登录2008-7-5 查看详细资料引用 报告 回复 TOP

babyz
晶莹剔透§烈日灼然

虎儿

也是刚看到：
http://groups.google.com/group/p ... ad/62ef34de7d39d14b
在neeao那看到个分析：
http://neeao.com/blog/article-4874.html
软件说明：
首先这是一个演示版本，与完全版本的唯一不同是不具备流量探测功能，因为网络中如果存在多个这样东西造成网络混乱是难免的，所以在发行上会做一些限制。
无arp的sniffer
可在有arp防火墙，双向绑定环境下有效控制对方流量
完全隐藏，过任何arp防火墙。
需要.net支持，管理员权限运行。
不支持无线网卡
使用方法：
设置网卡，ip,攻击强度
手动添加或自动扫描主机到主机列表
勾上一个主机，开始吧。
演示动画地址：http://www.cncert.net/labs/Skiller.swf
软件下载地址：http://www.cncert.net/labs/Skiller.rar
cncert....@gmail.com，cncert....@gmail.com
2008-01-10人海茫茫，过客匆匆！
帖子2 精华0 积分6 阅读权限40 在线时间36 小时 注册时间2005-5-15 最后登录2008-7-3 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

remax
晶莹剔透§烈日灼然

小小夏

arp表搞起静态的话

毛线办法都木了20字节够写什么？

帖子325 精华2 积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13 查看个人网站
查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

knlve
晶莹剔透§烈日灼然

阿翠

会话劫持...!!!

``````但是需要双网卡.(因为中间会断开一下..搞不好获取不到IP地址..)...

我曾经搞目标的时候..就是ARP不到.但是肉鸡是双网卡..我就改了一张网卡和mac跟目标的一样


然后3389就断开了.从另一个IP再进入肉鸡服务器 向网关发包...然后cain本机数据!!!

呵呵.. 这个局限性也大.

``‘.黒皕甡萿.…

帖子10 精华0 积分37 阅读权限40 性别男 在线时间15 小时 注册时间2007-5-5 最后登录2008-2-13 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

hack4521
晶莹剔透§烈日灼然

凡人

引用:
引用第4楼babyz于2008-01-31 15:29发表的 :
也是刚看到：
http://groups.google.com/group/p ... ad/62ef34de7d39d14b
在neeao那看到个分析：
http://neeao.com/blog/article-4874.html
软件说明：
.......
这个软件我今天刚下了.
可以控制对方的流量..但是不能做太多的事情..
要是对方的源程序公开的话.
大家可以研究一下他是是怎以突破arp的.
不过你可以拿他让对方的服务器挂一会儿.
实验:你不攻击了.对方的主机一会儿就没有事了.
本人测试环境:内网!
帖子8 精华0 积分30 阅读权限40 在线时间13 小时 注册时间2007-3-9 最后登录2008-5-21 查看详细资料引用 报告 回复 TOP

evascz
晶莹剔透§烈日灼然

wwgywl

引用:
原帖由 hack4521 于 2008-2-1 11:47 发表

这个软件我今天刚下了.
可以控制对方的流量..但是不能做太多的事情..
要是对方的源程序公开的话.
大家可以研究一下他是是怎以突破arp的.
不过你可以拿他让对方的服务器挂一会儿.
实验:你不攻击了.对方的主机一会儿 ...
能否把文件发给我一下?
我现在下不到那个文件了....
evascz@w.cn
这个是我的邮箱地址,请发一下,谢谢~~
帖子1 精华0 积分3 阅读权限40 在线时间2 小时 注册时间2007-2-1 最后登录2008-3-24 查看详细资料引用 报告 回复 TOP

g0ug0u
晶莹剔透§烈日灼然

马路福星

那个程序开源与否影响不大，稍微分析一下就知道了其工作方式，问题是要对交换机，路由器等网络设备有一定了解，才能知道其原理
帖子36 精华0 积分126 阅读权限40 在线时间107 小时 注册时间2005-11-30 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

evzlsy
坠落是雨

晶莹剔透§烈日灼然

betty

我来说说啊啊啊啊啊啊啊啊
那你就想办法突破ARP防火墙的限制，呵呵答非所问。

帖子2 精华0 积分4 阅读权限40 性别男 来自湖南 在线时间0 小时 注册时间2008-1-12 最后登录2008-2-15 查看详细资料引用 报告 回复 TOP

fornothing
晶莹剔透§烈日灼然

网飞鸿

回复 椅子 撕碎了的小C 的帖子
你够狠
但是那只能嗅到一部分包，有些包是不完整的
有什么其他的好的思路吗？？
帖子9 精华0 积分21 阅读权限40 性别男 在线时间8 小时 注册时间2008-2-2 最后登录2008-3-12 查看详细资料引用 报告 回复 TOP

fornothing
晶莹剔透§烈日灼然

马自达

回复 9楼 hack4521 的帖子
大哥 不是挂了
是撕碎了的小C 说的 服务器处于无连接状态
帖子9 精华0 积分21 阅读权限40 性别男 在线时间8 小时 注册时间2008-2-2 最后登录2008-3-12 查看详细资料引用 报告 回复 TOP

消失再消失
荣誉会员

5000564

貌似前段时间星和我说过可以修改网关进行嗅探.. 不知道他用的是什么方法...谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男 在线时间191 小时 注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

小拳头
荣誉会员

dghgs

楼上的
想法很新颖你的意思是伪造网关？就算我们肉鸡能够为造问题是目标机器不可能去伪照，伪造的话人家有ARP墙也没办法
帖子20 精华0 积分2953 阅读权限100 在线时间23 小时 注册时间2008-1-1 最后登录2008-7-5 查看详细资料引用 报告 回复 TOP

小拳头
荣誉会员

小树

网关2B处理不过来哪么多数据包呗
昨天试了下改子网掩码发现能嗅N多机器 ，有兴趣的兄弟也去改下看看！
帖子20 精华0 积分2953 阅读权限100 在线时间23 小时 注册时间2008-1-1 最后登录2008-7-5 查看详细资料引用 报告 回复 TOP

jjzj8
晶莹剔透§烈日灼然

凯旋归来

引用:
原帖由 knlve 于 2008-1-31 20:40 发表
会话劫持...!!!

``````但是需要双网卡.(因为中间会断开一下..搞不好获取不到IP地址..)...

我曾经搞目标的时候..就是ARP不到.但是肉鸡是双网卡..我就改了一张网卡和mac跟目标的一样


然后3389就断开了.从另一个IP ...
        不知道你的QQ是多少。我QQ是77424251，看到了加我吧。我以经拿到了同一网断的二台服务器权限。
目标机是LINUX系统，以前是可以嗅，还能进行插马的。但现在却嗅不到了，还有一个问题。我用zxarps对目标机进行插入代码，一连串回显示是插入代码成功。但代码没有挂上去。因为我根本没统计到，但有时候又能插入统计到一二个。不知道怎么回事。你说的改地址是改一张网卡的IP地址和目标机一样。还是改MAC地址，我怕一改。服务器就断开了
。。请回复。我是水晶。

callach

！！
改了下MAC和目标机一样。然后用zxarps，就这样我的二台服务器都飞走了。。。！！去年烟花特别多

帖子15 精华0 积分42 阅读权限40 来自水晶黑客信息同盟 在线时间10 小时 注册时间2006-5-5 最后登录2008-3-10 查看个人网站
查看详细资料引用 报告 回复 TOP

25202831
晶莹剔透§烈日灼然

飞翔吧

现在也在研究这个问题...很难解决///谁要是研究出来了...或者有什么想法不防说出来大家讨论.研究研究..
帖子1 精华0 积分3 阅读权限40 性别男 在线时间2 小时 注册时间2005-4-2 最后登录2008-6-27 查看详细资料引用 报告 回复 TOP

小拳头
荣誉会员

fulu

爷们儿们还再这儿讨论那
说下这几天ARP的一次经历，某天SHADOW同学给了我一个超级无敌net fukeVIP版，我拿着上去就嗅某点卡网站结果导致对方服务器拒绝服务，我也没有管他，第2天ping了下主机IP发现其换了IP2话不说直接通过某人的DV7.1的0DAY搞了个机器开NETFUKE继续嗅，运气不错搞到了SQL密码，DB权限，迅速写启动提权拿到了该卡站数据库服务器权限，本地新建数据库下载数据库卖库收钱。哈哈，没有啦，搞到权限就闪人了，有贼心怕被抓啊，最后搞了几个QB了事！
帖子20 精华0 积分2953 阅读权限100 在线时间23 小时 注册时间2008-1-1 最后登录2008-7-5 查看详细资料引用 报告 回复 TOP

撕碎了的小C
技术核心组