Arp EMP v1.0 - 点击图片查看高清大图

我这两天在忙着写:Arp EMP v1.0,呵呵,我为什么要写这个呢?

这个说来话长,源于这篇文章:嗅探、劫持 3389 端口、远程桌面、rdp 协议的一些经验技巧总结

这个矛盾的缘由,是由于我在文章底部写了一句话(出于礼貌,这句话已经于几天前去掉了):***************************************。

于是乎,这篇文章被转载,紧接着,当天下午,open 本人就看到了,然后在其博客吐槽(几天后,有人在我博客挑衅时我才看到的),内容如下:


地址:http://hi.baidu.com/0x24/blog/item/602c917ae0f71bf22e73b3fc.html

内容:发发唠叨,2012-02-21 23:38,转来转去转到我这里来了.写文章别引用过多我的语言.那货.你就点评下整个过程哪点技术含量不高就得了.还有.坐等那货也能出一款这样的...

文章底下还有他朋友“cnmoker”的吐槽:2012-02-22 13:32 | 回复:他妈的,叫你不要爆。这下拉的自己跟2B一个智商了吧。会写点VB的货都哇哇叫了。


地址:http://hi.baidu.com/artcracker/blog/item/81f02e191a7e841834fa412e.html

这是一篇转载的文章,底下“cnmoker”吐槽:

cnmoker 2012-02-21 23:16 | 回复:如果这篇文章是你自己写的,不是转载的话,我要说,你从上到下的所谓思路全部是零碎的从open口里的来的。要不就是我们说出去,你从别人哪里听到的。有本事可以写一个出来,没本事不用YY。。。就是你这样的货太多了,我们才不愿意共享。

cnmoker 2012-02-21 23:21 | 回复:看了下,原文出自 https://lcx.cc/post/2257/,会点VB的货也敢出来混!擦。口出狂言。


呵呵,在此事件之前,我从来没有听说过 open 是谁,请问:又是如何“从open口里的来的”呢?

再者,“……要不就是我们说出去,你从别人哪里听到的。……”,哥,你这是国家机密吗?

另外,“……会点VB的货也敢出来混!擦。口出狂言。……”,哥会 VB 又怎么了?怎么就口出狂言了!?跟你又有什么关系?


地址:https://lcx.cc/liuyan/index.asp?Number=2257

内容:见,ID:1112、ID:1113


“……OPEN写出这个花了半个月你也许得半年,不要以为自己多牛B。”


事件前因描述完了,所以我花了两天时间写了这个软件,然后又写了这篇文章。

Arp 攻击的由来,以及原理,就不多说了,网上有可查大把的资料,今天我就在这里简单的讲一下单向、双向 Arp 攻击的原理,以及剖析“hijackport + rdpproxy”这个工具的原理。

Arp 攻击讲解起来十分的绕口,数据包绕来绕去的,我尽量以比较通俗的语言、清晰的思路和逻辑,再次讲解一下,内容如下。

首先,什么是 Arp 攻击?

ARP 攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。

具体原理就不说了,不然又是长篇大论,具体去看:http://baike.baidu.com/view/700129.htm

在这里,大家只需要简单的理解为:通过 Arp 攻击,你可以监听所有通讯数据,或者伪装成另外一台机器,为所欲为。

Arp 欺骗分为两种,一种是双向欺骗,一种是单向欺骗,我都简单的讲一下。

假设现在有三台机器,分别是:

A、网关,IP 地址:192.168.1.1

B、普通客户机,IP 地址:192.168.1.2

C、普通客户机,IP 地址:192.168.1.3

Arp 单向欺骗:

1、掐断 A 与 B 的通讯,实现原理:C 向 A 发送一条 Arp 数据包,内容为:B 的地址是 00:00:00:00:00:00 (一个错误的地址),那么 A 此后向 B 发的数据包都会发到 00,而这个地址是错误的,所以通讯中断了,但是要注意了,这里只是 A --> B 中断了,B --> A 没有中断,所以这个叫单向欺骗。

2、掐断 B 与 A 的通讯,实现原理和第一条一样,如果和第一条一起发,那么 A 和 B 的通讯就完全中断了,即:A <-- × --> B

3、嗅探 A 与 B 的通讯,实现原理:C 向 A 发送一条 Arp 数据包,内容为:B 的地址是 AA:BB:CC:DD:EE:FF (C自己的地址),也就是说,C 对 A 说:我才是 B,于是 A 把向 B 发送的数据都发给 C 了,C 得到数据后就可以为所欲为了,可以直接丢弃,那么通讯中断,也可以再次转发给 B,那么又形成回路,C 当了个中间人,监视 A 和 B 的通讯,此时你就可以用CAIN等任何抓包工具进行本地嗅探了,因为目标机器数据完全从你这你走,任意嗅探。当然你可以不转发所有数据,只转发部分数据,把某些特定协议的数据分离出来,然后单独处理,例如替换、修改(类似 zxarp 等 Arp 工具的插入、劫持数据功能),或者干点其他啥,都行。

4、嗅探 B 与 A 的通讯,同上。

Arp 双向欺骗:

1、将单项欺骗的 1、2 或 3、4 同时做,就是双向欺骗了,很简单。

接下来详细分析 open 的录像内容,内容如下:


没有看过他的录像的朋友,请先去他的网盘下载:http://9780399.ys168.com/ (在:动画演示\hijackportrdpproxy.rar 2,667KB RDP协议安全),以下是他的录像内容详细分析。

首先是测试环境状况:

自己:

IP: 192.168.0.189 --> Mac:00:23:CD:95:17:A1 --> Windows XP (经典主题) 或 Windows 2003

189 在这里是充当一个机房网关的角色,备注中有详细说明。

虚拟机:

IP: 192.168.0.220 --> Mac:00:03:FF:95:17:A1 --> Windows XP

IP: 192.168.0.221 --> Mac:00:03:FF:97:17:A1 --> Windows 2003

第一种:

钓鱼,也就是把要连接方欺骗让其连接到我自己,这时你可以在自己身上安装一个密码记录,记录密码。

命令:hijackport 0 192.168.0.189 192.168.0.221:3389 3389

分析:

1、hijackport 那个 Arp 劫持目标机器,并修改流经数据到本地指定端口的东西。

2、参数 0,这个是网卡编号,指定使用哪个网卡,不解释了……

3、192.168.0.189,被欺骗的“连接方”,到时候会给它发 Arp 欺骗数据包,底下解释。

4、192.168.0.221:3389,要欺骗的机器,底下解释。

5、3389,转发到本地3389端口。

整个功能流程如下:

1、220 对 189 发送 Arp 包,说:我是:221,于是 189 把本来对 221 发送的包都给发到 220 了。

2、220 拿到这些数据包后,将其又转发到本机 3389 端口,形成回路。

3、正常的数据包流程为:189 --> 221

4、被欺骗后的流程为:189 --> 220

5、欺骗完成,实际上这里没有 221 什么事,221 在一边打酱油。

第二种:

基本和第一种一致,只是多了转发、解包的过程,我在这里只写出区别的地方。

命令:hijackport 0 192.168.0.189 192.168.0.221:3389 8080

参数功能一样,不多说了……

区别就在于,这次是转发到本地 8080 端口,然后 8080 端口又监听了一个东西:rdpproxy

rdpproxy 的功能很简单,这个玩意儿就是一个端口转发工具,类似 lcx.exe 的东西,区别就是多了一个解包的过程,解开加密的 rdp 数据包,然后做记录,最后提取密码用。

命令:rdpproxy 8080 192.168.0.221:3389

功能:监听本机 8080 端口,然后把收到的数据全部发到 192.168.0.221:3389,形成回路,完成欺骗。

你也许会问,为什么 221 可以连接,不是被欺骗了吗?

呵呵,这就是关键所在,整个流程压根没 221 什么事,221 只是在打酱油,欺骗的是网关,所以目标机器的 Arp 防火墙是没有任何反应的,因为根本和他无关。

而局域网数据发送是不经过网关的,所以即使网关被欺骗,也不影响局域网内机器互相访问,所以完全是可以连接的,没有任何异常。

PS:这里引申一下,如果是双向欺骗的话,局域网互相访问是需要修改数据包中的源 MAC 地址,然后再发出去的,这个比较复杂抽象,就不多说了。

备注:

为什么说 189 在这里充当一个网关的角色?

以为从外网发来的所有数据,都是从网关处中转,再发给目标机器的,目标向外网发的数据,也是通过网关处中转,再发到外网。

他在这里直接把自己“充当为”网关,向目标机器发数据,实际上和外网发送是一样的,只是为了方便测试。

这个单向 Arp 欺骗的目的就是为了欺骗网关处,让网管把本来从外网发到 221 的数据,发到 220,也就是 220 对网关说:我是 221。

220 拿到 221 的数据后,就可以为所欲为了……


录像内容分析完了,这个工具没有完全发挥单项欺骗的魅力,其实是这样的:

“2、220 拿到这些数据包后,将其又转发到本机 3389 端口,形成回路。”

在这一步中,根本不用转发到本机 3389 端口,直接把原始数据包中的 MAC 地址改成正确的,再发出去,形成回路,你直接就成了中间人了,监视通讯,不需要再转发到本机了。

而且他的方法2中,还单独写了个转发工具进行转发,这其实是完全不需要的……

就到这里吧,不写了,文章也够长了,底下附上“Arp EMP v1.0”的演示录像和下载地址。

Arp EMP v1.0:

单向 Arp 攻击可以突破 Arp 防火墙,只要网关与目标中任何一方没有绑定 MAC,就可以攻击成功!在大多数机房中,网关都是没有绑定 MAC 地址的,可以无视目标防火墙!

而双向 Arp 攻击,需要网关与目标都没有绑定MAC的情况下,才可以成功。这种情况比较少,常见于家庭或公司局域网中。

只要没双绑,横扫局域网!

演示录像:

http://115.com/file/c2xzm5ig

下载地址:

出于尊敬别人,也给自己留后路,我不打算公开发布,本人的好友,可以私下找我要,多谢大家捧场!


2012-2-27 14:53:49 补充:

哈哈,此事就此打住,互相攻击没好处,握手交友,和为贵!

留言评论(旧系统):

【匿名者】 @ 2012-02-27 10:52:20

这个工具碉堡了。。

本站回复:

\(^o^)/

【匿名者】 @ 2012-02-27 13:19:18

会VB,更会装B!写个壳子谁不会,有能耐写出来。一张嘴没人说得过你!! 下次装B前请务必把工具完全写出来了!

本站回复:

看完教程再喷,我最喜欢你这种“只看标题”的喷子了。。 open 姐姐在她博客也承认了,O(∩_∩)O

Open @ 2012-02-27 14:07:54

好吧.你赢了.放工具吧.

本站回复:

哈哈哈,不管你是不是真的 open 姐,我昨晚三、四点才睡觉,刚刚起来,迟了点,不好意思。 昨天比较愤怒,文章带有攻击性的语言,在这里道歉了,等一会我去掉(昨晚有去掉一部分)。 呵呵,大家握手言和,就再好不过了,大家还是朋友,互相学习进步!

鬼哥 @ 2012-02-27 19:29:16

老大就是牛呀,什么都可以搞出来。支持。强烈鄙视opE?

本站回复:

囧rz,木有鄙视的意思。。,

伟大娃娃 @ 2012-02-28 09:34:40

楼上那些攻击VB的,我替我们小组的御用程序员骂你一句傻逼.

本站回复:

娃娃好久不见撒……

鬼哥 @ 2012-02-28 19:44:43

昨天下了演示教程,好象解压包出问题了。无法解压?

本站回复:

你的 WinRar 可能是旧版,我是用的“WinRAR 4.01 简体中文版”打包的,如果还出问题的话,就不知道了。

【匿名者】 @ 2012-03-01 13:10:46

太给力了。。

本站回复:

- -

【匿名者】 @ 2012-03-02 04:00:35

看起来很强大呀

本站回复:

晕,一般的东西,Arp 攻击技术非常古老了,2006 - 2007 年盛行的东西。

404 @ 2012-03-02 13:21:17

不支持2008

本站回复:

本软件支持:Windows XP、Windows 2003、Windows Vista、Windows 2008、Windows 7,等 32 位操作系统,你的可能是64位的2008或系统环境问题,要看具体报什么错误。

【匿名者】 @ 2012-04-10 11:21:36

“下载地址: 出于尊敬别人,也给自己留后路,我不打算公开发布,本人的好友,可以私下找我要,多谢大家捧场”老大,等了你很久了,结果今天看到这句话,不知道能不能跟我分享一分?邮箱:liufeng097#gmail.com

本站回复:

我记得三月几号网上就有下载地址了,很明显你根本没关心,那个公开版的我早删掉了,你搜下“Arp EMP v1.0”,还有下载的,自己找找……

【匿名者】 @ 2012-04-22 12:28:06

Nuclear'Atk 大大,能否发一份Arp EMP v1.0本人研究研究 本人保证未经过你同意,绝不外传。E:178481998@qq.com

本站回复:

早有人发到网上了,你搜一下就有下载了。

日月 @ 2012-05-21 15:46:48

4月份下了个,但不知道核老大你的这个软件的md5值是多少,网络上下的暂时还没用

本站回复:

不知道,没保留软件,MD5不清楚。不过,加了 VMP 壳,无法修改。

【匿名者】 @ 2012-05-31 17:11:22

用了2次 一启动肉鸡就断线了 你看是不是该升下级

本站回复:

掉线是因为一个Bug,当时忘记写绑定本机Mac功能了,不绑定的话,欺骗目标的时候,把本机也欺骗了,导致本机掉线了。 要解决这个问题,你只需要手动在本机绑定目标、网关的 Mac 地址就可以了,例如: arp -s 192.168.1.1 01-02-03-04-05-06 本软件不会再升级了……

佚名 @ 2012-11-14 19:16:37

象hijackport 那样劫持3389怎么弄 试了一下没搞明白啊

本站回复:

慢慢看,会明白的。

佚名 @ 2013-01-18 23:18:39

" rdpproxy 的功能很简单,这个玩意儿就是一个端口转发工具,类似 lcx.exe 的东西,区别就是多了一个解包的过程," 核总 rdpproxy这个工具,解包的方法是替换证书吗?那里还能找到?

本站回复:

没有解包功能。

寻 @ 2013-02-22 18:26:16

核总,确定网上有流传的吗?貌似只有测试版,貌似网上下的木有3389转发功能,双向等功能。

本站回复:

公开版的无此功能。

佚名 @ 2013-02-23 07:36:12

大神,一嗅探。马上断网。啥问题哦?怎么解决呢?? 一开始用你的ARP EMP 断网。后来换个CAIN 也断网。换了NetFuke也是

本站回复:

检查你网络环境。

佚名 @ 2013-03-06 11:35:31

求下载 求包养啊 网上基本都帮马 这社会,求推荐几本arp方面的书籍,不胜感激

本站回复:

Arp只是一种简单的网络基础通讯协议,任何一本讲底层网络协议的书都会提到。

finder @ 2013-03-06 15:28:34

核总,如果是网关上绑定了服务器的mac为啥不行啊。 cain嗅探的时只能嗅到服务器返回网关的数据,这种情况下怎么用呢

本站回复:

文中已写过,自己参阅单向欺骗。

佚名 @ 2013-03-22 17:52:03

如果获取不到mac怎么办 是arp防火墙的原因么

本站回复:

1、非同网关;2、防火墙拦截;3、其他原因

佚名 @ 2013-03-25 09:05:32

核总 arp EMP 单向欺骗可以像hijackport一样解决无法获取mac的问题么

本站回复:

造成无法获取MAC有很多原因,对症下药即可解决。

佚名 @ 2013-03-25 15:13:13

不好意思 多问一句 防火墙拦截 应当如何对症下药

本站回复:

金山贝壳 Arp 防火墙 v2.0、等其他 Arp 防火墙的破墙方法以及原理: http://lcx.cc/?i=2395

佚名 @ 2013-04-09 07:40:30

现在ARP成功率感觉都爆低..要吗就是放火墙.楼下那个连接办法也不行.要吗就一嗅探马上断网. 要吗就嗅探可以.嗅不到任何数据.x.x.x.2-x.x.x.254 随便嗅一台都嗅不到. 总不会254台都装放火墙吧?核总.求思路...

本站回复:

呵呵

lag @ 2013-04-13 14:48:08

核总。我是来吐槽的。今天用了下1.0。本地一会十几万的数据量。分了4个小时。找不到目标的关键数据。头都大了。有啥好方法木有撒。

本站回复:

木有 ╮(╯_╰)╭

scan_z @ 2013-04-15 00:35:36

核老总啊。。。网上公布的版本没有3389劫持功能啊。。。 都一年了。。还是没找到rdpproxy 或者你的这个3389劫持功能类似的东西。。 能不能提供下rdpproxy或者你这个未阉割3389劫持功能的版本。。 谢谢啦。

本站回复:

哦,这东西不公开。不过,有很多替代品,各种支持单向arp的工具都可以。

佚名 @ 2013-04-24 15:52:40

你好 我是新手 也在研究arp单向欺骗 捕获rdp数据包 然后详解析其中的内容 但是rdp协议太麻烦了 看到你说的rdpproxy工具 我网上下载了源码 可是是Linux的 我要Win的 改了好长时间 可是也没解析出什么可用的内容 用户名和密码都没有 怎么办啊?能说一下原理或是问题所在吗?QQ 1908642811 不胜感激!

本站回复:

呵呵,片面描述,不知你问题在何处。

佚名 @ 2013-05-10 14:15:09

open姐姐的博客是多少?求学习

本站回复:

http://hi.baidu.com/0x24/,不过,貌似已经关了。

佚名 @ 2013-06-17 12:51:28

有个问题,cain截获的HTTP数据,只能是已知的比如username、password这样的字段,而未知的字段,cain是无能为力的,只有全数据捕获才可以,不知道本工具,有全数据捕获的功能吗,不需要类似CAIN的字段分析功能。

本站回复:

目测你不清楚arp原理,所有的arp工具都是拦截目标机的所有数据,至于“字段”那只是不同工具的数据包过滤规则(无视无用数据)。 举个例子,arp欺骗成功后你可以使用任何一个本地抓包工具,然后就可以看到目标机的所有数据(本机转发的数据包)。

佚名 @ 2013-06-17 16:24:20

我是ID:4282的朋友,我懂ARP的原理,我就是想知道什么工具可以查看所有的数据包,因为CAIN没有这样的功能。

本站回复:

看你问题,就知道你还是不懂,前边提到了“可以使用任何一个本地抓包工具”……

佚名 @ 2013-06-17 16:36:34

我知道,所有的数据包都会经过我,然后转发,抓包工具很多,因为你的经验比我丰富的多,就是想问您有没有推荐给我的,好用些的抓包工具。我是这个意思。不好意思呀。O(∩_∩)O

本站回复:

很多呀,HTTP Analyzer,Wireshark,科来网络分析系统……

入门菜鸟 @ 2013-07-24 15:54:22

mountaisea@outlook.com 这个工具很厉害啊,很好奇。能不能把它发给我?谢谢了。

本站回复:

该工具暂不公开,谢谢!

黑客菜鸟 @ 2013-10-13 09:02:16

这软件我有了,但不太会用,好像漏洞有点多啊

本站回复:

额,你拿的应该是最初的演示版……

佚名 @ 2014-03-20 16:27:48

核总!不同交换机下,为什么cain不能截获服务器的3389密码?

本站回复:

原因很多,建议你了解一下局域网通讯原理。

@我爱这个世界 @ 2014-04-01 00:58:35

为什么端口转发的那个不开发了啊T_T这个功能别的软件很少有的

本站回复:

嗯,这是一个演示版的,不具备该功能。