渗透测试--实验二
实验二 网络嗅探与身份认证
实验目的:
1、通过使用Wireshark软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。
2、研究交换环境下的网络嗅探实现及防范方法,研究并利用ARP协议的安全漏洞,通过Arpspoof实现ARP欺骗以捕获内网其他用户数据。
3、能利用BrupSuite实现网站登录暴力破解获得登录密码。
4、能实现ZIP密码破解,理解安全密码的概念和设置。
系统环境:Kali Linux 2、Windows
网络环境:交换网络结构
实验工具:Arpspoof、WireShark、BurpSuite、fcrackzip(用于zip密码破解)。
实验原理:
网络嗅探
1、网络嗅探概述
Sniffer(嗅探器)工作在OSI模型的第二层,利用计算机的网卡截获网络数据报文的一种工具,可用来监听网络中的数据,分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器确定不同网络协议、不同用户的通信流量,相互主机的报文传送间隔时间等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。
在正常情况下,一个合法的网络接口应该只响应这样的两种数据帧:帧的目标区域具有和本地网络接口相匹配的硬件地址;帧的目标区域具有“广播地址”。
如果网卡处于混杂(promiscuous)模式,那么它就可以捕获网络上所有的数据帧,处于对网络的“监听”状态,如果一台机器被配置成这样的方式,它(包括其软件)就是一个嗅探器。
在交换型以太网中,上述条件2是不满足的。所有的主机连接到SWITCH,SWITCH比HUB更聪明,它知道每台计算机的MAC地址信息和与之相连的特定端口,发给某个主机的数据包会被SWITCH从特定的端口送出,而不是象HUB那样,广播给网络上所有的机器。这种传输形式使交换型以太网的性能大大提高,同时还有一个附加的作用:使传统的嗅探器无法工作。
交换型网络环境嗅探的核心问题是:如何使本不应到达的数据包到达本地。通常的方法有MAC洪水包和ARP欺骗。其中MAC洪水包是向交换机发送大量含有虚构MAC地址和IP地址的IP包,使交换机无法处理如此多的信息,致使交换机就进入了所谓的"打开失效"模式,也就是开始了类似于集线器的工作方式,向网络上所有的机器广播数据包。
2、ARP欺骗
本实验中,我们将要详细分析ARP欺骗模式,并通过ARP欺骗达到交换网络嗅探的目的。
每一个主机都有一个ARP高速缓存,此缓存中记录了最近一段时间内其它IP地址与其MAC地址的对应关系。如果本机想与某台主机通信,则首先在ARP高速缓存中查找此台主机的IP和MAC信息,如果存在,则直接利用此MAC地址构造以太帧;如果不存在,则向本网络上每一个主机广播一个ARP请求报文,其意义是"如果你有此IP地址,请告诉我你的MAC地址",目的主机收到此请求包后,发送一个ARP响应报文,本机收到此响应后,把相关信息记录在ARP高速缓存中,以下的步骤同上。
ARP报文格式
可以看出,ARP协议是有缺点的,第三方主机可以构造一个ARP欺骗报文,而源主机却无法分辨真假。如果发送者硬件地址字段填入攻击者的硬件地址,而发送者IP地址填入被假冒者的IP地址,那么就构造出了一个用于欺骗的ARP请求报文。那么被欺骗主机的ARP高速缓存,被假冒者的IP地址与其MAC地址的对应关系就会更改为欺骗者的,从而达到ARP欺骗的目的。特别的,如果攻击者冒充网关,将转发子网内到外网的所有通信量,以达到捕获其他主机的通信量,从而破坏数据传输的保密性。
3、密码(口令,Password)安全
在现实网络中,攻击事件发生的频率越来越高,其中相当多的都是由于网站密码泄露的缘故,或是人为因素导致,或是口令遭到破解,所以从某种角度而言,密码的安全问题不仅仅是技术上的问题,更主要的是人的安全意识问题。
3.1、口令破解方法
口令破解主要有两种方法:字典破解和暴力破解。
字典破解是指通过破解者对管理员的了解,猜测其可能使用某些信息作为密码,例如其姓名、生日、电话号码等,同时结合对密码长度的猜测,利用工具来生成密码破解字典。如果相关信息设置准确,字典破解的成功率很高,并且其速度快,因此字典破解是密码破解的首选。
而暴力破解是指对密码可能使用的字符和长度进行设定后(例如限定为所有英文字母和所有数字,长度不超过8),对所有可能的密码组合逐个实验。随着可能字符和可能长度的增加,存在的密码组合数量也会变得非常庞大,因此暴力破解往往需要花费很长的时间,尤其是在密码长度大于10,并且包含各种字符(英文字母、数字和标点符号)的情况下。
3.2、口令破解方式
口令破解主要有两种方式:离线破解和在线破解。
离线破解攻击者得到目标主机存放密码的文件后,就可以脱离目标主机,在其他计算机上通过口令破解程序穷举各种可能的口令,如果计算出的新密码与密码文件存放的密码相同,则口令已被破解。
3.3 候选口令产生器
候选口令产生器的作用是不断生成可能的口令。有几种方法产生候选口令,一种是用枚举法来构造候选口令(暴力破解),另一种方法是从一个字典文件里读取候选口令(字典破解)。
3.4 口令加密
口令加密过程就是用加密算法对从口令候选器送来的候选口令进行加密运算而得到密码。这要求加密算法要采用和目标主机一致的加密算法。加密算法有很多种,通常与操作系统或应用程序的类型和版本相关。
Burp Suite是一个用于测试Web应用程序安全性的图形工具。该工具使用Java编写,由PortSwigger Security开发。该工具有两个版本。可免费下载的免费版(免费版)和试用期后可购买的完整版(专业版)。免费版本功能显着降低。它的开发旨在为Web应用程序安全检查提供全面的解决方案,Burp Suite是进行Web应用安全测试集成平台。它将各种安全工具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分析,到发现和利用安全漏洞。
实验步骤和内容:
网络嗅探部分:
网络嗅探:Wireshark 监听网络流量,抓包。
ARP欺骗: ArpSpoof,实施ARP欺骗。
防范: 防范arp欺骗。
实验网络拓扑
1、A主机上外网,B运行sinffer(Wireshark)选定只抓源为A的数据)。
1.1 写出以上过滤语句。
Ip.src==A(A的ip地址)
1.2 B是否能看到A和外网的通信(A刚输入的帐户和口令)?为什么?
不能,A和B所处的环境是在交换型以太网中,B并不满足网卡在混杂模式下,所有的主机连接到SWITCH,SWITCH比HUB更聪明,它知道每台计算机的MAC地址信息和与之
相连的特定端口,发给某个主机的数据包会被SWITCH从特定的端口送出,而不是象HUB那样,广播给网络上所有的机器。
2.1 为了捕获A到外网的数据,B实施ARP欺骗攻击,B将冒充该子网的什么实体?
A的网关
2.2 写出arpspoof命令格式。
arpspoof -t B(B的ip) A(A的ip) -i eth0
2.3 B是否能看到A和外网的通信(A刚输入的帐户和口令)?
可以
2.4 在互联网上找到任意一个以明文方式传递用户帐号、密码的网站,截图Wireshark中显示的明文信息。
解:从网上找到“桂林生活网”这一个用明文密码登录的网页。
先进行注册:
然后打开wireshark,进入捕获选项:
在这我现在是WLAN,因为我用的是WiFi联网。
点击开始后就进入网站登录,登录成功后就点击停止捕获,用过滤器过滤出用POST方式发送的数据包,语句:http.request.method==POST
看到只有两个数据包,逐一查看,发现明文密码
3. FTP数据还原部分:利用WireShark打开实验实验数据data.pcapng。
3.1 FTP服务器的IP地址是多少?你是如何发现其为FTP服务器的?
192.168.182.1用过滤器过滤出FTP协议的数据包,为什么不是192.168.182.1呢,原因是response是回应的意思。
3.2客户端登录FTP服务器的账号和密码分别是什么?
因为FTP是明文形式传输数据包的,所有我们在InFo列里能看到登录FTP服务器的用户名、密码和传输文件等
3.3 客户端从FTP下载或查看了2个文件,一个为ZIP文件,一个为TXT文件,文件名分别是什么?提示:文件名有可能是中文。
这是TXT文件的内容
打开TCP流,找到以PK开头的帧数,这是zip文件的标志
直接这样保存是解压不出来的(这是我踩得坑),在网上查看不能解压的原因,解决方法是
3.4 还原ZIP文件并打开(ZIP有解压密码,试图破解,提示:密码全为数字,并为6位)。截图破解过程。
用工具ziperello暴力破解
3.5 TXT文件的内容是什么?
网站密码破解部分:
利用人们平时常用的词、句破译,如果说暴力破解是一个一个的尝试那么字典破译就是利用人们习惯用人名、地名或者常见的词语设置成密码的习惯进行破译。字典破译速度比暴力破译更快但是有时候密码设置中包含了没有字典库中的词句就无法破解出来了,因此有好的字典是关键。
以*****为目标网站,构造字典(wordlist),其中包含你的正确密码,利用burpsuite进行字典攻击,实施字典攻击,你是如何判断某个密码为破解得到的正确密码,截图。
这里以pikalur靶场为目标网站
已知用户名为admin,爆破出密码(123456)
开好代理,打开burpsuite,输入正确的用户名(admin),在密码栏里随便输入,点击login。将抓到的数据包发送到intruder,
做好注入点
爆破结束后看长度
不一样的可能就是正确密码
查看返回的数据包,发现登录成功,那么就是正确密码了
4、MD5破解
SqlMap得到某数据库用户表信息,用户口令的MD5值为7282C5050CFE7DF5E09A33CA456B94AE
那么,口令的明文是什么?(提示:MD5值破解)
iampotato
5、John the Ripper的作用是什么?
John the Ripper免费的开源软件,是一个快速的密码破解工具,用于在已知密文的情况下尝试破解出明文的破解密码软件,支持大多数的加密算法,如DES、MD4、MD5等。它支持多种不同类型的系统架构,
包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS,主要目的是破解不够牢固的Unix/Linux系统密码。
思考问题:
1、谈谈如何防止ARP攻击。
(1)不浏览不安全网址。
现在很多网站本身都有挂马,浏览该网站就有“中标”的风险,因此对于不熟悉,不正规的网站要做到尽量不浏览!
(2)及时修补系统漏洞。
对于微软修复系统漏洞,有好的一面也有坏的一面,每次微软发布漏洞补丁都等于告诉人们系统存在哪些不安全的因素,如果你没有及时修复漏洞,那么你就有可能成为被攻击者!
(3)安装防火墙和杀毒软件。
很多人的电脑都在“裸奔”,不安装杀毒软件也不装防火墙,这种情况是最容易被成功入侵的。因此建议把杀毒软件和防火墙全部安装并且定时更新杀毒。
2、安全的密码(口令)应遵循的原则。
严禁使用空口令和与用户名相同的口令;
不要选择可以在任何字典或语言中找到的口令;
不要选择简单字母组成的口令;
不要选择任何和个人信息有关的口令;
不要选择短于6个字符或仅包含字母或数字;
不要选择作为口令范例公布的口令;
采取数字混合并且易于记忆
3、谈谈字典攻击中字典的重要性。
字典攻击是在破解密码或密钥时,逐一尝试用户自定义词典中的可能密码的攻击方式,其核心便是字典中的口令集,口令集越全面,破解成功的可能性就越大。