中间人攻击

最具有代表性的中间人攻击:ARP欺骗、DNS欺骗。

在真实实战环境中，严禁使用此方法，现在的年代，已经完全不适合了！！因为动静实在是太大！！

内网渗透最重要的两点：1、流量动静尽可能小 2、尽可能无文件落地！

0x00 概念

中间人攻击是一种间接的入侵攻击方式，这种攻击模式是将一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”

攻击者利用这台“中间人”计算机模拟相互通信的一端或者两端，使“中间人”能够与通信计算机建立活动连接并允许其读取或修改通信两端所传递的信息。

就像BP一样，抓包之后完全可以得到两边计算机通信的信息

0x01 ARP欺骗

一个局域网中，主机相互通信是根据MAC地址，而不是IP地址

每台主机上都有ARP缓存表

arp -a

攻击方式

首先要知道DHCP服务里面，是先到先得；ARP是后到后得。

原理漏洞一：ARP协议中，是后到后得。也就是后面说的为对。来一个我更新一个。可以通过抓包看到，当有一个新的IP进入局域网，就会有一个自我介绍

原理漏洞二：ARP欺骗与攻击的最大漏洞：ARP无验证

ARP攻击原理一：构造出一个虚假的MAC地址

正常情况下，A与C正常交流。

当A发送ARP广播请求解析数据包到局域网时，会对大家说我是10.1.1.1，我的MAC是MAC-A，谁是10.1.1.3？请把你的MAC地址告诉我！

这时，B使用工具不断地发送大量单播应答数据包对A说：我是10.1.1.3，我的MAC为MAC-E（E是伪造的），因为局域网中靠的是MAC地址通信，我说我是10.1.1.3，MAC-A就会认为它是10.1.1.3

MAC-A因为ARP协议存在原理漏洞一和二，会不断更新arp缓存表，认为B就是10.1.1.3，MAC-E。

于是原本发送给C的数据包都发送给了B。

过了会儿，C发现A长时间没有回包，于是也发送ARP广播请求说：我是10.1.1.3，我的MAC是MAC-A，谁是10.1.1.1？请把你的MAC地址告诉我！

这时，B又使用工具不断地发送大量单播应答数据包对C说：我是10.1.1.1，我的MAC为MAC-E（E是伪造的）

MAC-C因为存在原理漏洞一和二，会不断更新arp缓存表，认为B就是10.1.1.1，MAC-E。

于是原本发送给A的数据包都发送给了B。

B的攻击导致双方无法正常通信，此为ARP攻击。目的为：中断两者之间的数据传输，让两者无法正常交流。

ARP攻击二：B伪装自己为此网段的网关

当主机判断对方IP和自己在同一个网段上时，会直接发送ARP广播报文询问对方的MAC地址

而当主机判断对方IP和自己不在同一个网段上时，还会发送广播报文，但是是在问：我是10.1，我的MAC是A；谁是10.1.1.254(网关)，请把你的MAC地址告诉我！

所以当A尝试访问百度等外网时，会判断百度IP不会和自己在同一个网段，这时候它就会去询问网关，于是就会说发送广播报文请求网关的IP和MAC。

这时，B开始使用工具伪造成网关10.1.1.254和虚假MAC-E发送单播应答报文给A。

这时A根本就无法上网，直接断网。

以上都是单播攻击。

接下来是广播攻击：

B上来就发送一个ARP广播请求包：我是10.1.1.254，我的MAC为MAC-E，谁是10.1.1.10？（这个IP可以在局域网存在，也可以是伪造的）请把你的MAC地址告诉我！

这时A和C的ARP协议听到了，会将IP和MAC地址记下来，导致A和C都认为B为网关，直接就连不上网了。

而B还是可以上网的，所以谁还可以上网谁就是坏蛋。

总结：

攻击者和受害者在同一个局域网
受害者有两大漏洞：ARP协议无法验证身份、ARP协议“后到后得”
攻击者伪造局域网成员IP和虚假MAC发送单播应答报文，造成中断通信；伪造虚假网关IP地址和MAC地址单播或者广播，造成受害者断网。

老师的总结：

攻击者通过局域网内的一台主机（IP不是10.1.1.3），冒充主机B，向主机A发送自己的MAC地址
主机A接到消息以后，无法识别信息是否来自主机B，还是来自一个冒充的人
只能照样把接收到的新MAC地址存入ARP缓存表中，取代原先的记录

ARP欺骗：过滤信息，继续发送，不断网

攻击者通过局域网内的一台主机(IP不是10.1.1.3)，冒充主机B，向主机A发送自己的MAC地址
主机A接到消息以后，无法识别消息是否来自主机B还是来自一个冒充的人
只能照样把接收到的新MAC地址存入ARP缓存表中，取代原先的记录

APR欺骗影响

当下一次，主机A想要向主机B发送请求的时候，会先查询自己的ARP缓存表，查到主机B的MAC地址是CC（本来应该是BB）
结果把请求发送给了主机D，从而让攻击者拦截到请求信息
实现ARP欺骗，攻击者可以监听、窃取、篡改、控制流量，但是不会中断通信

Cain工具

卡珊德拉该隐是美国DC漫画旗下超级英雄，初次登场于《蝙蝠侠》

在内网攻击中，不要轻易使用内网嗅探！很容易将服务器搞崩，流量太大了

0x02 ARP攻击实验（看看就可以了，过时）

1、远程连接172.16.12.2，远程桌面登录。发现是一台windows XP系统，这个操作系统在windows2001年10月25日正式发布。

2、桌面上有个ca_setup.exe，安装一下。注意这个软件很老了，只能适用于一些老版本的系统。一路安装就可以了。所以我们只需要通过实验明白原理即可。

3、第一步，选择configure即可，然后选择内网的网卡，点击确定。

4、点击sniffer，然后左上角有一个开启嗅探，然后再右键点击Scan MAC Address扫描MAC地址，默认选择Allow hosts in my subnet。

当我点击开启嗅探后，就开启了网络的混杂模式。这个操作在内网中用得比较多，毕竟流量比较小。

混杂模式是一种被动的监听模式，不会主动将其他流量引入给它，只是被动地监听，你发过来，我就接收，这种方式就是嗅探。

我们使用arp、ping进行扫描的时候，比如MSF的run arp_scanner -r 10.10.10.0/24，这就是一种主动地扫描；而嗅探都是被动地，我被动收到这个数据包，那么你就是存活的。所以有时候有些内网你一扫就报警了，这时候只能被动地扫描。设置成混杂模式，一天两天甚至一周才能看到所有网段的结果。所以有些项目周期是很长的，要考虑的因素很多。

我们现在扫目录、内网环境等直接就是主动扫描；而在一些安全性比较高的内网环境，你只要一扫，虽然快，5-10秒就扫完了，但是你也很容易造成报警

混杂模式：电脑网络中的术语。. 是指一台机器的网卡能够接收所有经过它的数据流，而不论其目的地址是否是它。. 一般计算机网卡都工作在非混杂模式下，此时网卡只接受来自网络端口的目的地址指向自己的数据。. 当网卡工作在混杂模式下时，网卡将来自接口的所有数据都捕获并交给相应的驱动程序。. 网卡的混杂模式一般在网络管理员分析网络数据作为网络故障诊断手段时用到，同时这个模式也被网络黑客利用来作为网络数据窃听的入口