精华内容
下载资源
问答
  • TCP会话劫持

    2012-06-24 22:50:16
    广义上说,会话劫持就是在一次正常的通信过程中,黑客作为第三方参与到其中,或者是在数据流(例如基于TCP的会话)里注射额外的信息,或者是将双方的通信模式暗中改变,即从直接联系变成有黑客联系。
  • TCP会话劫持攻击

    千次阅读 2019-06-18 20:11:43
    TCP会话劫持攻击 【目的】 在本实验中,将在中间人攻击的基础上,进行TCP会话劫持攻击,通过实验实现 熟悉基于ARP欺骗的中间人攻击方式; 掌握TCP会话劫持原理。 【环境】 基于本书提供的实验环境,为了获得TCP...

     

    TCP会话劫持攻击

    【目的】

    在本实验中,将在中间人攻击的基础上,进行TCP会话劫持攻击,通过实验实现

    • 熟悉基于ARP欺骗的中间人攻击方式;
    • 掌握TCP会话劫持原理。

    【环境】

    基于本书提供的实验环境,为了获得TCP会话序列号并避免ACK风暴,攻击节点Kali通过ARP欺骗成为中间人,从而通过截获TCP数据包,对SeedUbuntu和OWASP之间的TCP会话进行劫持。

    【原理】

    TCP会话劫持目标是劫持通信双方已建立的TCP会话连接,假冒其中一方(通常是客户端)的身份,与另一方进行进一步通信。

    【步骤】

    注:这里的ip是测试环境的ip,自己做实验时需要替换成实验环境中的ip

    1.Kali节点利用ARP欺骗进行中间人攻击

    在Kali节点下,打开Kali节点的IP转发功能,如下所示:

    root@kali:~# cat /proc/sys/net/ipv4/ip_forward
    0
    root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward
    root@kali:~# cat /proc/sys/net/ipv4/ip_forward
    1
    

    利用Ettercap工具执行以下命令:

    ettercap –G

    进入Ettercap的GTK图形界面方式,并选择“Sniff”菜单中的“Unified Sniff”选项,选择“eth0”作为嗅探监听接口,如下图所示:

    随后在“Hosts”菜单中选择“Scan for hosts”扫描局域网内攻击目标,并随后在菜单“Hosts list”中,选择Seed
    Ubuntu 192.168.200.124和OWASP192.168.200.125分别为target1和target2,如下图所示:

    选择菜单“MITM”中的“ARP poisoning”进行ARP欺骗,并选择“Sniff remote connections”,

    如下图所示:

    检查cat /proc/sys/net/ipv4/ip_forward 已经开启了转发;

    此时,在Seed Ubuntu和OWASP中执行arp –a命令显示MAC地址缓存,将发现ARP欺骗攻击已成功,其输入如下:

    root@ubuntu:/home/seed# arp -a
    ? (192.168.200.125) at 00:0c:29:da:ee:f6 [ether] on eth0
    ? (192.168.200.2) at 00:50:56:fc:e8:4b [ether] on eth0
    kali.local (192.168.200.10) at 00:0c:29:da:ee:f6 [ether] on eth0
    

    2.OWASP节点telnet到SeedUbuntu节点

    SeedUbuntu在默认端口23提供了telnet服务,在OWASP中执行

    telnet 192.168.200.124

    登陆到SeedUbuntu节点,输入用户名seed,密码为h4ndb00k(如果这里出现连接超时的情况,请在kali节点上确认ip转发功能是否开启,参照步骤一)。

    # telnet 192.168.200.124
    Trying 192.168.200.124...
    Connected to 192.168.200.124.
    Escape character is '^]'.
    Ubuntu 12.04.2 LTS
    ubuntu login: seed
    Password: 
    Last login: Sun Jan  3 01:21:43 PST 2016 from 192.168.200.125 on pts/11
    Welcome to Ubuntu 12.04.2 LTS (GNU/Linux 3.5.0-37-generic i686)
     * Documentation:  https://help.ubuntu.com/
    New release '14.04.1 LTS' available.
    Run 'do-release-upgrade' to upgrade to it.
    

    3.Ettercap截获TCP会话

    在Kali节点上,此时Ettercap(View-Connections)显示如下图所示,Ettercap已经获取了telnet的登陆用户名和密码。

    双击该会话连接(如果这里无法看到连接列表,依次点击【view -> connections】即可看到,请选择状态为active的一个会话连接进行下一步,如果这里没有,请在OWASP节点命令行随便输入一些内容,这时需要保证telnet连接没有断开,然后敲击回车),可进一步显示截获的数据,如下图所示:

    4.Ettercap 劫持TCP会话

    点击“Inject Data”,Kali节点作为中间人可以向TCP会话两端注入数据,如下图所示:

    此时,在Seed Ubuntu节点192.168.200.124上,通过Tcpdump抓包,可以看到以下数据:

    tcpdump -i eth0 '(tcp) and (host 192.168.200.125) and (not port 3389)' -X
    01:23:35.354602IP (tos 0x0, ttl 64, id 39021, offset 0, flags [none], proto TCP (6), length44)
        192.168.200.125.45991 >ubuntu.local.telnet: Flags [P.], cksum 0x27e2, seq 93:97, ack 409, win 32120,length 4
           0x0000: 4500 002c 986d 0000 4006 d013 c0a8 c87d E..,.m..@......}
           0x0010: c0a8 c87c b3a7 0017 bf79 97e9 698d 1005 ...|.....y..i...
           0x0020: 5018 7d78 0000 0000 6964 0a0a 0000      P.}x....id....
    

    即中间人Kali节点已经将命令注入到SeedUbuntu节点上。

    展开全文
  • tcp会话劫持

    千次阅读 2009-05-19 23:24:00
    可以进行会话劫持的工具很多,比较常用有Juggernaut,它可以进行TCP会话劫持的网络Sniffer程序;TTY Watcher,而它是针对单一主机上的连接进行会话劫持。还有如Dsniff这样的工具包也可以实现会话劫持,只是看你会...


    前言
    通常,大家所说的入侵,都是针对一台主机,在获得管理员权限后,就很是得意;其实,真正的入侵是占领整个内部网络。针对内部网络的攻击方法比较多,但比较有效的方法非ARP欺骗、DNS欺骗莫属了。但是,不管使用什么技术,无非都是抓取目标的数据包,然后分析出敏感数据。如果目标内部采用的是共享式网络(采用HUB集线器连网),那只需要把网卡设置为“混杂模式”,挂上嗅探器(Sniffer),就能简听到你想得到的数据。如果是交换式网络(采用交换机连网),这样方法就行不通了,因为对于嗅探器,有三种网络环境是无法跨越的:“网桥”、“交换机”、“路由器”。可惜,对于ARP欺骗,交换式网络还是无能为力,如果我们借助ARP欺骗,在实现更高一层的“入侵手段”,从而真正的控制内部网络。这也就是本文要叙述的会话劫持攻击……

    一,会话劫持原理
    1,什么是会话劫持
    在现实生活中,比如你去市场买菜,在交完钱后你要求先去干一些别的事情,稍候再来拿菜;如果这个时候某个陌生人要求把菜拿走,卖菜的人会把菜给陌生人吗?!当然,这只是一个比喻,但这恰恰就是会话劫持的喻意。所谓会话,就是两台主机之间的一次通讯。例如你Telnet到某台主机,这就是一次Telnet会话;你浏览某个网站,这就是一次HTTP会话。而会话劫持(Session Hijack),就是结合了嗅探以及欺骗技术在内的攻击手段。例如,在一次正常的会话过程当中,攻击者作为第三方参与到其中,他可以在正常数据包中插入恶意数据,也可以在双方的会话当中进行简听,甚至可以是代替某一方主机接管会话。我们可以把会话劫持攻击分为两种类型:1)中间人攻击(Man In The Middle,简称MITM),2)注射式攻击(Injection);并且还可以把会话劫持攻击分为两种形式:1)被动劫持,2)主动劫持;被动劫持实际上就是在后台监视双方会话的数据流,丛中获得敏感数据;而主动劫持则是将会话当中的某一台主机“踢”下线,然后由攻击者取代并接管会话,这种攻击方法危害非常大,攻击者可以做很多事情,比如“cat etc/master.passwd”(FreeBSD下的Shadow文件)。图1为会话劫持示意图。

    MITM攻击简介
    这也就是我们常说的“中间人攻击”,在网上讨论比较多的就是SMB会话劫持,这也是一个典型的中间人攻击。要想正确的实施中间人攻击,攻击者首先需要使用ARP欺骗或DNS欺骗,将会话双方的通讯流暗中改变,而这种改变对于会话双方来说是完全透明的。关于ARP欺骗黑客防线介绍的比较多,网上的资料也比较多,我就不在多说了,我只简单谈谈DNS欺骗。DNS(Domain Name System),即域名服务器,我们几乎天天都要用到。对于正常的DNS请求,例如在浏览器输入www.hacker.com.cn,然后系统先查看Hosts文件,如果有相对应的IP,就使用这个IP地址访问网站(其实,利用Hosts文件就可以实现DNS欺骗);如果没有,才去请求DNS服务器;DNS服务器在接收到请求之后,解析出其对应的IP地址,返回给我本地,最后你就可以登陆到黑客防线的网站。而DNS欺骗则是,目标将其DNS请求发送到攻击者这里,然后攻击者伪造DNS响应,将正确的IP地址替换为其他IP,之后你就登陆了这个攻击者指定的IP,而攻击者早就在这个IP中安排好了恶意网页,可你却在不知不觉中已经被攻击者下了“套”……DNS欺骗也可以在广域网中进行,比较常见的有“Web服务器重定向”、“邮件服务器重定向”等等。但不管是ARP欺骗,还是DNS欺骗,中间人攻击都改变正常的通讯流,它就相当于会话双方之间的一个透明代理,可以得到一切想知道的信息,甚至是利用一些有缺陷的加密协议来实现。

    注射式攻击简介
    这种方式的会话劫持比中间人攻击实现起来简单一些,它不会改变会话双方的通讯流,而是在双方正常的通讯流插入恶意数据。在注射式攻击中,需要实现两种技术:1)IP欺骗,2)预测TCP序列号。如果是UDP协议,只需伪造IP地址,然后发送过去就可以了,因为UDP没有所谓的TCP三次握手,但基于UDP的应用协议有流控机制,所以也要做一些额外的工作。对于IP欺骗,有两种情况需要用到:1)隐藏自己的IP地址;2)利用两台机器之间的信任关系实施入侵。在Unix/Linux平台上,可以直接使用Socket构造IP包,在IP头中填上虚假的IP地址,但需要root权限;在Windows平台上,不能使用Winsock,需要使用Winpacp(也可以使用Libnet)。例如在Linux系统,首先打开一个Raw Socket(原始套接字),然后自己编写IP头及其他数据。可以参考下面的实例代码:
    sockfd = socket(AF_INET, SOCK_RAW, 255);
    setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on));

    struct ip *ip;
    struct tcphdr *tcp;
    struct pseudohdr pseudoheader;
    ip->ip_src.s_addr = xxx;
    pseudoheader.saddr.s_addr = ip->ip_src.s_addr;
    tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr));    
    sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in));

    对于基于TCP协议的注射式会话劫持,攻击者应先采用嗅探技术对目标进行简听,然后从简听到的信息中构造出正确的序列号,如果不这样,你就必须先猜测目标的ISN(初始序列号),这样无形中对会话劫持加大了难度。那为什么要猜测会话双方的序列号呢?请继续往下看。

    2,TCP会话劫持
    本文主要叙述基于TCP协议的会话劫持。如果劫持一些不可靠的协议,那将轻而易举,因为它们没有提供一些认证措施;而TCP协议被欲为是可靠的传输协议,所以要重点讨论它。
    根据TCP/IP中的规定,使用TCP协议进行通讯需要提供两段序列号,TCP协议使用这两段序列号确保连接同步以及安全通讯,系统的TCP/IP协议栈依据时间或线性的产生这些值。在通讯过程中,双方的序列号是相互依赖的,这也就是为什么称TCP协议是可靠的传输协议(具体可参见RFC 793)。如果攻击者在这个时候进行会话劫持,结果肯定是失败,因为会话双方“不认识”攻击者,攻击者不能提供合法的序列号;所以,会话劫持的关键是预测正确的序列号,攻击者可以采取嗅探技术获得这些信息。

    TCP协议的序列号
    现在来讨论一下有关TCP协议的序列号的相关问题。在每一个数据包中,都有两段序列号,它们分别为:
    SEQ:当前数据包中的第一个字节的序号
    ACK:期望收到对方数据包中第一个字节的序号

    假设双方现在需要进行一次连接:
    S_SEQ:将要发送的下一个字节的序号
    S_ACK:将要接收的下一个字节的序号
    S_WIND:接收窗口
    //以上为服务器(Server)
    C_SEQ:将要发送的下一个字节的序号
    C_ACK:将要接收的下一个字节的序号
    C_WIND:接收窗口
    //以上为客户端(Client)

    它们之间必须符合下面的逻辑关系,否则该数据包会被丢弃,并且返回一个ACK包(包含期望的序列号)。
    C_ACK <= C_SEQ <= C_ACK + C_WIND
    S_ACK <= S_SEQ <= S_ACK + S_WIND

    如果不符合上边的逻辑关系,就会引申出一个“致命弱点”,具体请接着往下看。

    致命弱点
    这个致命的弱点就是ACK风暴(Storm)。当会话双方接收到一个不期望的数据包后,就会用自己期望的序列号返回ACK包;而在另一端,这个数据包也不是所期望的,就会再次以自己期望的序列号返回ACK包……于是,就这样来回往返,形成了恶性循环,最终导致ACK风暴。比较好的解决办法是先进行ARP欺骗,使双方的数据包“正常”的发送到攻击者这里,然后设置包转发,最后就可以进行会话劫持了,而且不必担心会有ACK风暴出现。当然,并不是所有系统都会出现ACK风暴。比如Linux系统的TCP/IP协议栈就与RFC中的描述略有不同。注意,ACK风暴仅存在于注射式会话劫持。

    TCP会话劫持过程
    假设现在主机A和主机B进行一次TCP会话,C为攻击者(如图2),劫持过程如下:
    A向B发送一个数据包
    SEQ (hex): X ACK (hex): Y
    FLAGS: -AP--- Window: ZZZZ,包大小为:60

    B回应A一个数据包
    SEQ (hex): Y ACK (hex): X+60
    FLAGS: -AP--- Window: ZZZZ,包大小为:50

    A向B回应一个数据包
    SEQ (hex): X+60 ACK (hex): Y+50
    FLAGS: -AP--- Window: ZZZZ,包大小为:40

    B向A回应一个数据包
    SEQ (hex): Y+50 ACK (hex): X+100
    FLAGS: -AP--- Window: ZZZZ,包大小为:30

    攻击者C冒充主机A给主机B发送一个数据包
    SEQ (hex): X+100 ACK (hex): Y+80
    FLAGS: -AP--- Window: ZZZZ,包大小为:20

    B向A回应一个数据包
    SEQ (hex): Y+80 ACK (hex): X+120
    FLAGS: -AP--- Window: ZZZZ,包大小为:10

    现在,主机B执行了攻击者C冒充主机A发送过来的命令,并且返回给主机A一个数据包;但是,主机A并不能识别主机B发送过来的数据包,所以主机A会以期望的序列号返回给主机B一个数据包,随即形成ACK风暴。如果成功的解决了ACK风暴(例如前边提到的ARP欺骗),就可以成功进行会话劫持了。

    关于理论知识就说到这里,下面我以具体的实例演示一次会话劫持。

    二,会话劫持实践
    1,唠叨几句
    可以进行会话劫持的工具很多,比较常用有Juggernaut,它可以进行TCP会话劫持的网络Sniffer程序;TTY Watcher,而它是针对单一主机上的连接进行会话劫持。还有如Dsniff这样的工具包也可以实现会话劫持,只是看你会不会使用了。但,能将会话劫持发挥得淋漓尽致的,还要算Hunt这个工具了。它的作者是Pavel Krauz,可以工作在Linux和一些Unix平台下。它的功能非常强大,首先,无论是在共享式网络还是交换式网络,它都可以正常工作;其次,可以进行中间人攻击和注射式攻击。还可以进行嗅探、查看会话、监视会话、重置会话。通过前面的叙述,我们知道在注射式攻击中,容易出现ACK风暴,解决办法是先进行ARP欺骗;而使用Hunt进行注射式攻击时,它并不进行ARP欺骗,而是在会话劫持之后,向会话双方发送带RST标志位的TCP包以中断会话,避免ACK风暴继续下去。而中间人攻击是先进行ARP欺骗,然后进行会话劫持。Hunt目前最新版本是1.5,可以到Pavel Krauz网站下载源代码包和二进制文件:http://lin.fsid.cvut.cz/~kra/#hunt。

    现在来看看如果使用Hunt,首先是下载并编译源代码:
    [root@dahubaobao hunt]#wget http://www.ringz.org/hunt-1.5.tgz
    [root@dahubaobao hunt]#tar zxvf hunt-1.5.tgz
    [root@dahubaobao hunt]#cd hunt-1.5
    [root@dahubaobao hunt-1.5]#make
    [root@dahubaobao hunt-1.5]#./hunt
    //Hunt是完全交互试的操作,具体如图3所示
    解释一下各个选项的含义
    l/w/r) list/watch/reset connections
    //l(字母l)为查看当前网络上的会话;w为监视当前网络上的某个会话;r为重置当前网络上的某个会话。
    a) arp/simple hijack (avoids ack storm if arp used)
    //中间人攻击(会话劫持),Hunt先进行ARP欺骗,然后进行会话劫持。使用此方法可以避免出现ACK风暴。
    s) simple hijack
    //简单的会话劫持,也就是注射式攻击。会出现ACK风暴。
    d) daemons rst/arp/sniff/mac
    //该选项共实现四个功能,分别为:终止会话,自动发送带RST标志位的TCP包;ARP欺骗后进行数据包转发;不用说了,嗅探功能;在当前网络上收集MAC地址。
    其他的选项很简单,不在多说了。还是来看看具体的例子吧,我想大家都等不及了!^_^

    2,应用实例
    测试环境:
    攻击者:Red Hat Linux 9.0 IP:192.168.0.10
    主机A:Windows Advanced Server IP:192.168.0.1
    主机B:FreeBSD 4.9 STABLE IP:192.168.0.20

    [root@dahubaobao hunt-1.5]#./hunt
    /*
    * hunt 1.5
    * multipurpose connection intruder / sniffer for Linux
    * (c) 1998-2000 by kra
    */
    starting hunt
    --- Main Menu --- rcvpkt 0, free/alloc 63/64 ------
    l/w/r) list/watch/reset connections
    u) host up tests
    a) arp/simple hijack (avoids ack storm if arp used)
    s) simple hijack
    d) daemons rst/arp/sniff/mac
    o) options
    x) exit
    *> l //查看当前网络上的会话
    0)192.168.0.1 [3465] ?192.168.0.20 [23]
    //主机A正在Telnet到主机B

    --- Main Menu --- rcvpkt 0, free/alloc 63/64 ------
    l/w/r) list/watch/reset connections
    u) host up tests
    a) arp/simple hijack (avoids ack storm if arp used)
    s) simple hijack
    d) daemons rst/arp/sniff/mac
    o) options
    x) exit
    *> w //监视当前网络上的会话
    0)192.168.0.1 [3465] ?192.168.0.20 [23]
    Choose conn>0 //选择打算监视的会话。由于我的条件有限,不能模拟多个会话,请多见量。
    Dump [s]rc/[d]st/[b]oth [b]> //回车
    Print sec/dst same charactes y/n [n]> //回车

    现在就可以监视会话了。主机A输入的一切内容,我们都可以看到,如图4。主机A在Telnet并登陆之后,直接su root,password:后边的就是root的密码。现在这个系统已经完全由你所控制了,自由发挥吧!

    --- Main Menu --- rcvpkt 0, free/alloc 63/64 ------
    l/w/r) list/watch/reset connections
    u) host up tests
    a) arp/simple hijack (avoids ack storm if arp used)
    s) simple hijack
    d) daemons rst/arp/sniff/mac
    o) options
    x) exit
    *> s //进行注射式会话劫持
    0)192.168.0.1 [3465] ?192.168.0.20 [23]
    choose conn> 0
    dump connection y/n [n]>
    Enter the command string you wish executed or [cr]> cat /etc/passwd
    攻击者的意图是获取主机B的passwd文件的内容,但由于注射式会话劫持缺陷,导致了ACK风暴,所以Hunt向会话双方发送了一个带RST标志位的TCP包来阻止ACK风暴。具体如图5所示。

    --- Main Menu --- rcvpkt 0, free/alloc 63/64 ------
    l/w/r) list/watch/reset connections
    u) host up tests
    a) arp/simple hijack (avoids ack storm if arp used)
    s) simple hijack
    d) daemons rst/arp/sniff/mac
    o) options
    x) exit
    *> a //进行中间人会话劫持
    0)192.168.0.1 [3862] ?192.168.0.20 [23]
    choose conn> 0
    arp spoof src in dst y/n [y]>
    src MAC [XX:XX:XX:XX:XX:XX]>
    arp spoof dst in src y/n [y]>
    dst MAC [XX:XX:XX:XX:XX:XX]>
    input mode [r]aw, [l]ine+echo+/r, line+[e]cho [r]>
    dump connectin y/n [y]> n
    press key to take voer of connection
    ARP spoof of 192.168.0.20 with fake mac XX:XX:XX:XX:XX:XX in host 192.168.0.1 FA
    ILED
    do you want to force arp spoof nutil successed y/n [y]>
    CTRL-C to break
    CTRL+C //手工输入CTRL+C中断,不需等待
    -- operation canceled - press any key>
    ARP spoof failed
    ARP spoof of 192.168.0.20 in host 192.168.0.1 FAILED
    you took over the connection
    CTRL-] to break
    -bash-2.05b$id
    ....................

    现在,攻击者已经成功的劫持了主机A和B之间的Telnet会话。主机A输入的一切命令攻击者都可以看到,并且攻击者也可以自行插入命令,比如图6所示的例子。正如前边所说的,这种会话劫持方式先进行ARP欺骗,然后才劫持,所以,ACK风暴是不会出现的;而且,这种方式要比注射式会话劫持危害更大,从上文中我想就能看出来,我就不必在多说什么了。还有一些如Sniffer等功能,都很简单,由于已不在本文范畴,故不在多说。

    三,会话劫持防范
    防范会话劫持是一个比较大的工程。首先应该使用交换式网络替代共享式网络,虽然像Hunt这样的工具可以在交换环境中实现会话劫持,但还是应该使用交换式网络替代共享式网络,因为这样可以防范最基本的嗅探攻击。然而,最根本的解决办法是采用加密通讯,使用SSH代替Telnet、使用SSL代替HTTP,或者干脆使用IPSec/VPN,这样会话劫持就无用武之地了。其次,监视网络流量,如发现网络中出现大量的ACK包,则有可能已被进行了会话劫持攻击。

    还有一点是比较重要的,就是防范ARP欺骗。实现中间人攻击的前提是ARP欺骗,如能阻止攻击者进行ARP欺骗,中间人攻击还怎样进行?!如何防范ARP欺骗,黑客防线有过详细的介绍,可以参考2003年第9期杂志。

    总结
    对于渗透内部网络,会话劫持确实是一种比较有效的方法,我们应该掌握。本文的实践性很强,请大家务必动手试试,并希望能掌握此技术。Hunt这个强悍的工具使用方法很简单,但却可以把会话劫持发挥淋漓尽致,真佩服作者的编程功底。

    展开全文
  • 基于hunt工具的TCP会话劫持攻击实验

    千次阅读 2017-04-10 21:24:03
    TCP会话劫持攻击,是劫持通信双方已建立的TCP会话连接,假冒其中一方的身份与另一方进行进一步通信。通常一些网络服务会建立在TCP会话之后进行应用层的身份认证,客户端在通过身份认证之后,就可以通过TCP会话连接对...

    TCP会话劫持攻击,是劫持通信双方已建立的TCP会话连接,假冒其中一方的身份与另一方进行进一步通信。通常一些网络服务会建立在TCP会话之后进行应用层的身份认证,客户端在通过身份认证之后,就可以通过TCP会话连接对服务器索取资源。且期间不用再次进行身份认证。而TCP会话劫持为 攻击者提供了一种绕过应用层身份认证的技术途径,因此得到较高水平攻击者的青睐。

    实验环境:
    A:攻击机kali
    这里写图片描述

    B:TCP会话一方,ubuntu
    这里写图片描述

    C:TCP会话一方,win2000
    这里写图片描述

    注意:这里我们使用hunt工具来完成tcp会话劫持,下载地址:http://download.csdn.net/detail/qq_26802417/9382279,我们在后面会进行一些该工具的功能演示
    在kali中安装成功hunt-1.5之后,我们直接启动,hunt界面如下:
    这里写图片描述

    接下来,我们令C去telnetB主机的23端口。界面如下,连接成功
    这里写图片描述

    此时回到kali
    命令l是查看当前局域网内的连接
    命令w是监控当前局域网内的连接
    命令r是终结连接
    有关劫持更多的操作的两个命令是a,s命令,都是进行arp劫持,但是a命令会防止ack风暴。

    1.我们输入l,界面如下
    这里写图片描述
    可以看到0)号连接为两台进行TCP会话的主机。

    2.我们再输入a,按照如下方式填写,进入一个监控界面
    这里写图片描述
    在这个界面中,无论B做了什么,都可以监控到,如下图所示:
    B执行了两个简单的命令

    我们在A中看到就是如下界面
    这里写图片描述
    该方式是中间人欺骗,就是被动劫持,使得数据包通过你来传达,所以连接不会终止,而你只能查看其操作结果并不能进行命令的插入。

    从上图中我们注意到CTRL-C to break这句话,此时按下CTRL-C,然后hunt就会呈现如下界面:
    这里写图片描述
    其中的绿颜色的命令是我在B主机中输入的命令,而此时B主机无论如何输入命令,都不能起任何作用了
    这里写图片描述
    在kali中按下回车键,就完全接管了B主机和C主机的通信,如下图所示
    这里写图片描述

    3.我们还可以测试r命令。r命令是一个终结连接的命令,如下
    这里写图片描述

    此时我们的win2000机器就断了
    这里写图片描述

    PS:发现这个工具比netwox用着要爽的多啊哈哈!!关于hunt工具的使用,有心得的可以与我交流!!

    展开全文
  • 基于hunt的TCP会话劫持 TCP会话劫持攻击,是劫持通信双方已建立的TCP会话连接,假冒其中一方身 份与另一方进行进一步通信。攻击者通过ARP欺骗、ICMP路由重定向攻击等 方法实现中间人攻击,嗅探到客户端和telnet...

    基于hunt的TCP会话劫持

     	TCP会话劫持攻击,是劫持通信双方已建立的TCP会话连接,假冒其中一方身
    份与另一方进行进一步通信。攻击者通过ARP欺骗、ICMP路由重定向攻击等
    方法实现中间人攻击,嗅探到客户端和telnet服务器之间的通信内容。通常一些网
    络服务会建立在TCP会话之后进行应用层的身份认证,客户端在通过身份认证之
    后,就可以通过TCP会话连接对服务器 索取资源。且期间不用再次进行身份认
    证。而TCP会话劫持为攻击者提供了一种绕过应用层身份认证的技术途径。
    	会话被攻击者劫持之后,客户端仍然与服务器还会保持会话,一直向服务器发送
    数据包,服务器发现接收的数据的ACK确认号不正确,服务器会以自己期待的确
    认号返回ACK,期待重新建立起同步信息,而客户端收到服务器的ACK包,发现
    不符合自己接收的条件,因此它再返回一个ACK,一直如此 ,形成ACK风暴,攻
    击者往往向客户端发送RST重置客户端与Telent服务器的会话。
    

    实验环境

    一、 WinSCP上传hunt到kali文件操作:
    首次登入需要新建站点,文件协议默认选择为SFTP,主机名填写Linux ip,端口号默认为22,用户名填写登入Linux系统的用户名,密码为Linux主机密码,然后点击保存,后面再次登入就无需重复填写,如下图所示:
    在这里插入图片描述

    发现报错

    在这里插入图片描述

    解决方案如下:

    在kali命令行开启ssh服务:

    service ssh restart ssh
    

    默认不会开启,下次开机的时候还需要手动操作,设置默认开机自动启动命令:

    update-rc.d ssh enable
    
    1. 然后点击登入即可,登入后的界面如下,即可在Windows和Linux之间互拖文件:

    kali作为攻击机:
    在这里插入图片描述

    Ubuntu(Metasploitable)作为服务器:
    在这里插入图片描述

    本机windows客户端(TCP会话一方):
    在这里插入图片描述

    Window telnet客户端开启操作 1.打开控制面板 2.程序和功能 3.启动或关闭Windows功能 启用TelnetClient(Telnet客户端)等待几分钟 详情如下图:
    在这里插入图片描述

    远程连接服务器:
    在window cmd命令行:telnet 192.168.3.128(服务器的IP地址)
    输入服务器的账号密码登录,操作成功如下图:

    在这里插入图片描述

    w

    kali攻击机对客户端进行会话劫持
    cd进入到 hunt  ./hunt启动hunt服务 w开启监听局域网内的连接会话为了保证攻击者(Kali)能嗅探到客户端和Telnet服务器会话的内容,需要注意的是:客户端、服务端、攻击者必须处于共享网络当中也就是同一个网络当中,才能实现以下的所有操作:
    

    在这里插入图片描述
    在这里插入图片描述

    s

    kali攻击机对服务器进行会话劫持

    在这里插入图片描述

    在最后补充一个操作 kali root权限获取知识操作
     sudo passwd root
    

    设置root权限密码
    su 切换到root模式

    本篇不针对理论展开过多的讨论 只针对操作而言。

    展开全文
  • TCP会话劫持_转

    2017-06-18 10:48:00
    可以进行会话劫持的工具很多,比较常用有Juggernaut,它可以进行TCP会话劫持的网络Sniffer程序;TTY Watcher,而它是针对单一主机上的连接进行会话劫持。还有如Dsniff这样的工具包也可以实现会话劫持,只是看你会...
  • hunt,TCP会话劫持

    2010-05-05 22:30:25
    LINUX 上一牛人写的代码, 供linux爱好者学习用 谢谢
  • RST攻击和TCP会话劫持攻击实验

    千次阅读 2020-03-18 20:53:49
    一、RST攻击 RST表示复位。用来异常的关闭连接。...此时攻击者伪造了一个TCP包发给客户端,使客户端异常的断开了与服务端之间的TCP连接,这就是RST攻击。 实验: 首先,kali作为攻击机(192.16...
  • 过滤策略来精心构造会话劫持报文, 以旁路方式发回给校园网内主机, 来达到干预有问题的用户到外网的T C P会话的目的. 干预的结果可以是立即中断T C P连接, 也可以是将用户的所有HT T P访问请求重定向到指定的安全...
  • 一、实验背景由于TCP/IP协议是Internet的基础协议,从开始设计的时候并没有考虑到现在网络上如此多的威胁,由此导致了许多形形色色的攻击方法,一般如果是针对协议原理的攻击,尤其DDOS,我们将无能为力。...
  • 攻击机为kali IP为192.168.43.195 客户机为centos7 IP为192.168.43.138 服务器为centos7 IP为192.168.43.153 实验前请确定这三台主机在同一网段 TCP会话劫持 首先在kali主机上打开wireshark(kali自带wireshark) sudo...
  • 会话劫持

    2017-05-04 17:17:00
    4、TCP会话劫持 5、参考文献 回到顶部 1、简介  在现实生活中,比如你去市场买菜,在交完钱后你要求先去干一些别的事情,稍候再来拿菜;如果这个时候某个陌生人要求把菜拿走,卖菜的人会把菜给陌生人吗?!...
  • TCP三次握手及会话劫持原理与实例 TCP三次握手及会话劫持原理与实例
  • 由于 TCP 协议并没有对 TCP 的传输包进行身份验证,所以在我们知道一个 TCP 连接中的 seq 和 ack 的信息后就可以很容易的伪造传输包,假装任意一方与另一方进行通信,我们将这一过程称为 TCP 会话劫持TCP Session ...
  • 会话劫持发生在一个攻击者试图控制两台计算机之间建立的一个TCP会话的时候。会话劫持的基本步骤包括: 1.找到一个有主动会话的目标。 2.猜测这个序列号码。 3.把一个用户的连接断开。 4.接管这个会话。 会话...
  • 会话劫持是通过利用活动的Web会话进行的Web攻击。会话是两个计算机系统之间进行通信的时间段。Web服务器需要身份验证,因为通过网站进行的每个用户通信都使用多个TCP / IP通道。 身份验证的一种常见形式始终是使用...
  • 这是一种劫持tcp协议的方法,所以几乎所有的局域网,都存在被劫持可能。 服务端和客户端之间是通过session(会话)来连接沟通。当客户端的浏览器连接到服务器后,服务器就会建立一个该用户的session。每个用 户的...

空空如也

空空如也

1 2 3 4 5 ... 7
收藏数 128
精华内容 51
关键字:

tcp会话劫持