כל הזכויות שמורות לטל בן שושן – Shushan.co.il
שימוש ב ARPSpoof לביצוע התקפת MITM וגניבת שם משתמש וסיסמא בFTP לא מוצפן
על מנת לבצע את המאמר, יש לעבור תחילה על המאמרים הבאים:
Kali & Metasploit
התקנת Kali 2017.3
הגדרה ראשונית של Kali והוספת Repository
הסבר הגדרה והפעלת Metasploit
פקודות ושימוש ב Metasploit
שימוש ב ARPSpoof להתקפת Man in the Middle (אם אינכם זוכרים מהו MITM לחצו כאן), אתם בטח זוכרים מהו ARP? אם לא כנסו להסבר כאן אבל נחסוף לכם ואסביר בקצרה:
כאשר מחשב מתחבר לרשת הוא בעצם מודיע לכל הרשת מה הכתובת IP שלו ומה ה MAC Address שלו, באותו הרגע המחשבים ברשת והסוויצ’ רושמים זאת בטבלת ה ARP שלהם בכדי לדעת מה הMac Address וה IP של כל מחשב ברשת.
אבל תחשבו שאתם יכולים לנצל את השיטה הזו, נסביר זאת בצורה שונה, אתם בכניסה למועדון וסלקטורית לא מכניסה אותכם כי אתם לא ברשימות שלה (והסלקטורית לא בודקת ת.ז), עכשיו תארו לכם מצב בו אתם הולכים לכיוון כניסה אחרת ושם כתוב על הקיר את שמות כל המוזמנים, אתם לוקחים שם נאמר ג’ון ג’ון וכאשר אתם חוזרים לסלקטורית אתם אומרים לה שאתם ג’ון ג’ון, באותו הרגע היא מכניסה אותכם.
ב ARPSpoofing אתם יוצרים מצב שאתם מתחזים ל Router – ה Default Gateway שלכם, המחשב שלכם יודע מה כתובת ה Default Gateway וגם מה הכתובת MAC Address של אותו Default Gateway
את כל זה הוא יודע באופן דיי פשוט, ברגע שהRouter שלכם חובר לרשת הוא הודיע לכולם מה כתובת ה IP שלו וה MAC שלו.
כעת אתם תשתמשו ב ARPSpoofing על מנת לצעוק לרשת שהMAC Address שלכם (של המחשב שלכם ה KALI) הוא הכתובת IP של הראוטר.
אם עדיין לא הבנתם המשיכו במדריך ואסביר זאת שוב בהמשך,
על מנת לבצע את המעבדה יש צורך ב:
- Windows 10/7/8/XP – מותקן בו FileZilla Client מוגדר 192.168.1.175
- Windows 10/7/8/XP – מותקן בו FileZilla Server מוגדר (על מנת שהלקוח יתחבר אליו ונוכל לקלוט את הסיסמא) 192.168.1.160
- KALI – 192.168.1.135
בדקו את כתובת ה IP שלכם ב KALI על ידי הפקודה
root@kali:~# ifconfig
כתובת ה IP שלכם 192.168.1.135
כעת נקיש את הפקודה, על מנת לבדוק אם ה KALI מוגדר לבצע העברה של Packets אל הראוטר, במידה ומוגדר לו להעביר את החבילה קדימה
sudo cat /proc/sys/net/ipv4/ip_forward
נקבל את התשובה 0 – זאת אומרת שלא
לכן נגדיר לו 1 על ידי הפקודה
sudo echo 1 > /proc/sys/net/ipv4/ip_forward
ונבדוק אם עכשיו יש 1
sudo cat /proc/sys/net/ipv4/ip_forward
נקיש את הפקודה
sudo arp
זאת על מנת לבדוק מה הכתובת של המחשב בו אנחנו נגדיר לו שהכתובת MAC שלנו זה ה Default Gateway, ניקח את שרת ה FTP שכתובתו 192.168.1.160
כעת נבדוק, נפעיל במחשב 192.168.1.175 את ה CMD ונקיש
arp -a
*אם אינכם רואים את המחשב בצעו אליו פינג
נוכל לראות שהוא הבחין ב2 המחשבים ברשת: ה KALI והשרת FTP
192.168.1.1 60-e3-27-6c-93-32
192.168.1.135 00-0c-29-b6-5b-f6
192.168.1.1 הוא ה Default gateway האמיתי זה הכתובת שלו וה MAC שלו
192.168.1.135 זה הKALI שלנו, המחשב 192.168.1.175 רושם לנו את הכתובת IP והMAC של השרת FTP וה KALI שלנו
נחזור ל KALI ונקיש
sudo arpspoof -i eth0 -t 192.168.1.160 192.168.1.1
נבדוק את הפקודה, הפקודה אומרת שarpspoof יתחייס לכרטיס הרשת eth0 ואז אנחנו מגדירים לו שיגדיר ל 192.168.1.160 שהכתובת 192.168.1.1 היא בעצם אנחנו (הוא ישנה את ה MAC של 192.168.1.1 לMAC של ה KALI שלנו (זה יחול בכל הרשת ולא רק על האייפי הספציפי הזה)
כעת נלך למחשב 192.168.1.175 ונפתח את ה CMD ונקיש
arp -a
כעת ניתן לראות שהטבלה נראית כך
192.168.1.1 00-0c-29-b6-5b-f6
192.168.1.135 00-0c-29-b6-5b-f6
מדוע? ה ARPSoofing בעצם שינה במחשב 192.168.1.160 את הטבלת ARP ובכך גרם לו לחשוב ש 192.168.1.1 הוא בעצם 192.168.1.135
ניתן להבחין זאת בתמונה
נפעיל Wireshark בתוך ה KALI ונפעיל אותו על מצב האזנה
כעת נעבור למחשב 192.168.1.175 ונפתח את ה Filezilla ונזין את פרטי ההתחברות לשרת ה FTP שלנו הלוא הוא 192.168.1.160
ונלחץ על Connect
התחברתם?
מעולה, כעת נחזור ל KALI ובחיפוש נרשום ftp, ממש כמו בתמונה
ואם נבחין באמצע , יש שם את השם משתמש והסיסמא של ההתחברות FTP, שכן כל המידע שמחשב 192.168.1.175 העביר לשרת 192.168.1.160 עבר דרכנו וה Wireshark האזין ותפס
