尝试分析 linux 下渗透嗅探术( 二 )


我们来与IP192.168.0.5进行通信,通信后arp缓存表就会有这样一条MAC地址和IP对应的记录 。
在本机多了条缓存中的IP和MAC的对应纪录 。
Dsniff是一个著名的网络嗅探工具包,其开发者是Dug Song,其开发的本意是用来揭示网络通信的不安全性,方便网络管理员对自己网络的审计,当然也包括渗透测试,其安装包里某此工具,充分揭示了协议的不安全性 。作为一个工具集,Dsniff包括的工具大致分为四类:
一、
纯粹被动地进行网络活动监视的工具,包括:dsniff、filesnarf、mailsnaf、msgsnarf、urlsnarf、webspy
二、
针对SSH和SSL的MITM攻击“工具,包括sshmitm和webmitm
三、
发起主动欺骗的工具,包括:arpspoof、dnsspof、macof
四、
其它工具,包括tcpkill、tcpnice
Dsniff的官方下载:www.monkey.org/~dugsong/dsniff/ 这个是源码包,解压后可以看下README,提示需要五个软件的支持:openssl、Berkeley_db、libnet、libpca、libnids
下载地址如下:
Berkeley_db: http://www.oracle.com/technology/software/products/berkeley-db/index.html
libpcap: http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz
linux/epel/5/i386/dsniff-2.4-0.3.b1.el5.i386.rpm">ftp://rpmfind.net/linux/epel/5/i386/dsniff-2.4-0.3.b1.el5.i386.rpm
ftp://rpmfind.net/linux/epel/5/i386/libnet-1.1.4-1.el5.i386.rpm
ftp://rpmfind.net/linux/epel/5/i386/libnids-1.23-1.el5.i386.rpm
系统一般默认都有安装openssl、libpcap 。
一、 Tar包安装
如果下载的是源包,文件如下:openssl-0.9.7i.tar.gz、libnids-1.18.tar.gz、libpcap-0.7.2.tar.gz、libnet-1.0.2a.tar.gz、Berkeley db-4.7.25.tar.gz
a) 安装openssl
用tar解压软件包手,执行三条命令
#./config
#make
#make install
b) 安装libpcap
#./config
#make
#make install
c) 安装libnet
#./config
#make
#make install
d) 安装libnids
#./config
#make
#make install
e) 安装libnids
#./config
#make
#make install
f) 安装Berkeley DB
#.cd build_unix
#../dist/configure
#make
#make install
g) 安装dsniff
#./configure
#make
#make install
程序安装好后,先查看一下网卡信息,然后开启服务器IP转发,命令如下:
# echo “1″ > /proc/sys/net/ipv4/ip_forward
先来双向欺骗,用到arpspoof,其命令是:
#arp –t 网关
欺骗主机IP
arpspoof已经开始工作了,可以用tcpdump查看一下被攻击主机是否有数据经过
命令如下:
#tcpdump –I eth0 host 61.67.x.115
有数据交换,说明欺骗的比较成功,然后用Dsniff开始嗅探目标主机,命令如下 。
#Dsniff –c –f /etc/dsniff/dsniff.services
这个dsniff.services自然就是保存端口和服务对应关系的文件,如需要保存到文件,需加-w filename数据全是明文传送的 。所以数据分析完全能用肉眼发现 。
从这条数据可以看到HTTP登录和FTP登录信息,帐号和密码全是明文的 。而经过测试,通过FTP上传的目录正是WEB目录,获取WEBShell权限,继续提权即可控制主机 。Linux下的嗅探,其实更容易一些,在最近爆出的高危本地提权,不知道有多少台主机沦陷呢?在攻与防的游戏里,系统管理员往往显得如此的无助 。

推荐阅读