首页 电脑 电脑学堂 查看内容

利用HOSTS文件进行会话劫持

2004-10-15 05:14 498 0

摘要: Windows下利用HOSTS(没有扩展名)作为本地DNS记录文件。存放在:  Windows9X/ME:C:Windows  Windows2000:C:WinntSystem32Driv...
关键词: Windows 111.111 碎片 消息 攻击者 记忆 服务器 一个 foolbank HOSTS

Windows下利用HOSTS(没有扩展名)作为本地DNS记录文件。存放在:  Windows9X/ME:C:\Windows\  Windows2000:C:\Winnt\System32\Drivers\etc\  WindowsXP:C:\Windows\ (有SAM扩展名)  一般格式如下:  主机名(代号) IP地址 #注解 (个部分之间可以使用任意多的间隔符)  在Windows中HOSTS文件的优先级高于DNS服务器,也就是说任何命令在使用某个主机名时,都会先检测HOSTS文件,然后再查询DNS服务器。  这就导致了一个问题,如果攻击者能够修改受害者本地机器上的HOSTS文件(方法很多),那么他就完全可以劫持A与B的会话,而且不会像传统的会话劫持那样导致ACK风暴.   例:  假如记忆碎片(攻击者)知道常诚(受害者,我GF的名字,我想她不会反对的)经常使用foolbank的网站进行现金操作。由于常诚从不给记忆碎片零用钱,所以记忆碎片打算转一部分钱到自己的账号上。  攻击开始,记忆碎片给常诚发了一个"情书"(她的回复是"无聊!"),在这个"情书"里内嵌了恶意脚本,它修改了常诚电脑的注册表,在RunOnce下写了:  echo http://www.foolbank.com/ 111.111.111.111>>C:\Windows\HOSTS  111.111.111.111是记忆碎片的一台有固定IP的肉鸡,上面运行了一个简单的中间人程序,它的功能是监听本地某个端口并把得到的信息显示出来,然后再发往真正的服务器,在此期攻击者可以修改发往服务器的和从服务器传回的消息.  好了,等到常诚的电脑重新启动后,她又登陆到www.foolbank.com了,实际上她没有这么幸运,她的会话并没有发送到www.foolbank.com,而是发送到了111.111.111.111,并被拦截下来,我看到了......一大堆HTTP请求乱码,还有明显被加密过的密码,我也不打算破解了.这个消息是一个转账消息,划一部分钱到Jason的账号(这是谁,难道...),我只要把Jason一改就行了,然后再截获银行的返回消息,修改她,说已经转移到Jason.   这是一个简单了的事例,与银行的通信肯定不会如此简单,所有消息都应该是秘文的,而且会有麻烦的数字签名.不过截获一般的消息也就够了. 工具下载:http://www.leothreads.com/usr/26/26_832.zip
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部