终极会话劫持工具SSClone

文/图 刘志生
         继httphijack以来，cncert又一巨作终于面世，它就是Switch Session Clone。SSClone是基于无MAC欺骗的会话复制软件，可完全无痕迹实现会话劫持，可过任何ARP防火墙，亦可工作于IP/MAC双向绑定的交换环境中。它是一款绿色软件，需要.net Framework2.0的运行环境，没有安装.net2.0的，请先安装.net环境，或者使用集成.net版本的SSClone。
下面我就演示一下如何用它来劫持Gmail和QQ两大邮箱，当然，它的功能不仅仅是进入别人的邮箱，而是可以复制任何的HTTP会话。
         启动SSClone之后，我们先进行如下的简单设置。
1）设置网卡。如果本机含有多块网卡或者IP的话，需要选择主机的网卡和子网掩码。程序会自动探测出相应的主机IP和网关IP以及MAC地址。
2）选择数据Sniffer模式。SSClone共有两种模式，大于5台主机可使用passive模式，小型网络和测试建议使用active模式。两种模式的主要区别就是passive模式在劫持到数据之后不主动恢复链路，网络会自动恢复，这样可以减少本机的发包量。
3）设置Packet/s，此参数为发包率。设置越大，监听到的信息越多，同时也会造成网络流量的增加。此参数也可不设置，因为在一次会话过程中，会有很多次的请求，只要截获其中的一次请求的数据，就可获得被劫持者的身份，所以，我们不需要设置过大的发包率。
4）设置Proxy Host。也可不设置。如果选择Proxy Host可进一步提高隐藏性（本功能为高级功能，即使不选，任何防火墙也无法监控到）。首先点击Scan按钮，扫描出网络中的主机，然后选择相应的主机，即可成功设置proxy。
5）设置Use Pcap。在SSClone的右下角有个API Mode，双击可以修改为pcap模式。pcap模式依赖选择的网卡，该模式可将session设置到外部浏览器，推荐使用默认的API模式，当API模式拾取session失败时可尝试pcap模式。
全部设置完成后，结果如图1所示，之后点击“Start”按钮即可开始监听。注意观察下方的Console窗口，操作的每一步都会有详细的提示。当局域网有人登录Gmail或者QQmail时，会在左方的DomainList列表中以方式显示结果。在URL列表中选择相应的监听到的连接，下方会给出详细的信息，包括Cookie等信息。双击连接即可以相应的身份进入被攻击者的访问页面。至于SSClone更多的高级功能，大家可以查阅软件帮助，自己细细体会即可。

图1