Session Hijacking
Session Hijacking được ném xung quanh thường xuyên và bao gồm một loạt các cuộc tấn công khác nhau. Nói chung, bất kỳ cuộc tấn công có liên quan đến việc khai thác một phiên giữa các thiết bị là việc ăn cắp dữ liệu. Khi chúng tôi đề cập đến một phiên, chúng ta đang nói về một kết nối giữa các thiết bị trong đó có nhà nước. Đó là, có một cuộc đối thoại thành lập, trong đó một kết nối đã được chính thức thành lập, kết nối được duy trì, và một quá trình được xác định phải được sử dụng để chấm dứt kết nối.Trong bài viết này, chúng ta sẽ nói về việc tấn công thông qua Cookie. trong đó bao gồm phiên HTTP. Nếu bạn nghĩ về một số các trang web phổ biến mà bạn đến thăm mà yêu cầu thông tin đăng nhập, đó là những ví dụ tuyệt vời của các kết nối phiên theo định hướng. Bạn phải có chứng thực của trang web với tên truy cập và mật khẩu của bạn để chính thức thiết lập phiên, các trang web duy trì một số hình thức theo dõi phiên để đảm bảo bạn vẫn còn đăng nhập và được phép truy cập tài nguyên (thường được thực hiện với một cookie), và khi phiên làm việc kết thúc các thông tin được xóa và phiên kết thúc.
Hình 1: Một phiên bình thường
Như chúng ta đã thấy trong các cuộc tấn công trước đó, không có gì mà đi trên mạng là an toàn và phiên dữ liệu là không khác nhau. Các nguyên tắc đằng sau hầu hết các hình thức của việc tấn công là nếu bạn có thể đánh chặn các phần nhất định của cơ sở phiên, bạn có thể sử dụng dữ liệu đó để mạo danh một trong các bên tham gia trong giao tiếp để bạn có thể truy cập thông tin session. Trong trường hợp của ví dụ trước đó của chúng tôi, điều này có nghĩa rằng nếu chúng ta nắm bắt các cookie được sử dụng để duy trì trạng thái phiên giữa trình duyệt và trang web bạn đang đăng nhập vào, chúng ta có thể trình bày cookie đến máy chủ web và mạo nhận kết nối của bạn . Nghe có vẻ quá tốt là đúng từ một quan điểm tấn công.
Hình 2: Session Hijacking
Trộm cắp Cookie với Hamster và Ferret
Trong kịch bản thực tế của chúng tôi, chúng tôi sẽ thực hiện một cuộc tấn công chiếm quyền điều khiển session bằng cách chặn các thông tin liên lạc của một người dùng đăng nhập vào tài khoản Gmail của mình. Sử dụng thông tin liên lạc bị chặn này, chúng tôi sẽ mạo danh người dùng và truy cập tài khoản từ máy tấn công của chúng tôi.Để thực hiện cuộc tấn công này, chúng tôi sẽ sử dụng hai công cụ Hamster và Ferret. Cả hai đều là công cụ dòng lệnh để các thư mục con chuột có thể được dùng để chiết xuất một cách dễ dàng để có được vị trí.
Ngoài ra, bạn có thể tải về và sử dụng Kali Linux. Kali Linux là một phân phối live-CD Linux được thiết kế đặc biệt cho hacking và thử nghiệm thâm nhập mà đi kèm với vô số công cụ cài đặt sẵn và biên dịch sẵn, với Hamster / Ferret là hai trong số họ.Sau đó bạn sẽ tìm thấy Hamster trong / pentest / sniffers / thư mục hamster.
Bước đầu tiên tham gia vào hình thức này của việc cướp quyền là để nắm bắt các lưu lượng của người dùng nạn nhân như duyệt Facebook. Hình thức này thực sự có thể được chụp sử dụng bất kỳ gói sniffing ứng dụng như tcpdump hoặc Wireshark, nhưng để nắm bắt các gói tin phải bạn sẽ cần phải sử dụng một kỹ thuật như giả mạo ARP cache
Hình 3: Chụp giao thông của các trình duyệt người dùng Gmail
Một khi bạn đã nắm bắt các lưu lượng của người dùng duyệt nạn nhân của Gmail, bạn sẽ cần phải lưu các tập tin bị bắt vào thư mục Hamster. Đối với các mục đích của ví dụ này, chúng tôi đã đặt tên victim_gmail.pcap tập tin của chúng tôi. Khi tập tin đó là tại chỗ, chúng tôi sẽ sử dụng Ferret để xử lý các tập tin. Điều này được thực hiện bằng cách duyệt đến thư mục Hamster và chạy lệnh, ferret -r victim_gmail.pcap. Ferret sẽ xử lý các tập tin và tạo ra một tập tin hamster.txt mà có thể được sử dụng bởi Hamster cho cướp thực tế của phiên.
Hình 4: Xử lý các tập tin chụp với Ferret
Với dữ liệu HTTP của chúng tôi chặn và chuẩn bị sẵn sàng để sử dụng, chúng ta có thể sử dụng Hamster để thực sự thực hiện các cuộc tấn công. Hamster chính nó thực sự hoạt động như một proxy đó cung cấp một giao diện cho trình duyệt và sử dụng cookie phiên bị đánh cắp. Để bắt đầu proxy Hamster bạn chỉ có thể thực hiện Hamster không có tùy chọn dòng lệnh.
Hình 5: Bắt đầu từ Hamster
Sau khi thực hiện, bạn sẽ cần phải mở trình duyệt của bạn và cấu hình cài đặt proxy của mình để phù hợp với những người cung cấp cho bạn bởi đầu ra Hamster. Theo mặc định, điều này có nghĩa rằng bạn sẽ cấu hình cài đặt proxy của bạn để sử dụng các địa chỉ 127.0.0.1 loopback địa phương trên cổng 1234. Bạn có thể truy cập vào các thiết lập trong Internet Explorer bằng cách chọn Tools, Internet Options, Connections, LAN Settings, và đặt một hộp kiểm trong Sử dụng một máy chủ proxy cho mạng LAN của bạn hộp.
Hình 6: Cấu hình các thiết lập proxy để sử dụng với Hamster
Bây giờ các cài đặt proxy đã được áp dụng, bạn có thể truy cập vào giao diện điều khiển Hamster trong trình duyệt của bạn bằng cách duyệt đến http: // hamster. Hamster sẽ sử dụng các tập tin được tạo bởi Ferret để sản xuất một danh sách các địa chỉ IP cho ai thông tin về phiên đã bị chặn và hiển thị các địa chỉ IP trong khung bên phải của trình duyệt. tập tin của chúng tôi, chúng tôi đã tạo ra chỉ có một địa chỉ IP duy nhất của nạn nhân, vì vậy nếu chúng ta kích vào khung bên trái sẽ được dân cư với các phiên có sẵn cho việc tấn công
Hình 7: GUI Hamster
Chúng tôi thấy rằng facebook.com được liệt kê, và nếu bạn nhấp vào liên kết mà bạn sẽ hài lòng khi được trình bày với một cửa sổ mới đã bạn đăng nhập vào tài khoản Facebook của nạn nhân!
Hình 8: tài khoản Gmail bị tấn thành công!
Chống lại những session Hijacking
Có rất nhiều hình thức khác nhau của việc tấn công phiên. Cũng giống như các cuộc tấn công MITM khác mà chúng tôi đã đánh giá, việc cướp quyền là khó khăn để phát hiện và thậm chí còn khó khăn hơn để bảo vệ chống lại bởi vì đó là một cuộc tấn công chủ yếu là thụ động. Trừ khi người dùng thực hiện một số loại hành động rõ ràng khi anh ta truy cập phiên bị tấn công, bạn có thể không bao giờ biết rằng họ ở đó. Dưới đây là một vài điều bạn có thể làm để bảo vệ tốt hơn chống lại việc cướp quyền:- Lưu Ngân hàng trực tuyến cho Trang chủ - Cơ hội của ai đó chặn giao thông trên mạng gia đình của bạn là ít hơn nhiều so với trên mạng công việc của bạn. Đây không phải là bởi vì máy tính ở nhà của bạn được an toàn hơn (chúng ta hãy đối mặt với nó, có lẽ nó kém an toàn), nhưng vấn đề đơn giản của thực tế là nếu bạn chỉ có một hoặc hai máy tính ở nhà, hầu hết các bạn phải lo lắng về về của việc cướp quyền là nếu con trai 14 tuổi của bạn bắt đầu xem video hacking trên YouTube. Trên một mạng công ty bạn không biết những gì đang xảy ra xuống hội trường hoặc trong các văn phòng chi nhánh, vì vậy các nguồn tấn công là rất tiềm năng. Một trong những mục tiêu lớn nhất cho việc cướp quyền là ngân hàng trực tuyến,
- Cognizant - kẻ tấn công thông minh sẽ không để lại bất cứ bằng chứng rằng họ đã ở trong một trong các tài khoản an toàn của bạn, nhưng ngay cả những hacker dày dạn nhất làm cho những sai lầm. Nhận thức được khi bạn đã đăng nhập vào các dịch vụ dựa trên phiên có thể giúp bạn xác định xem ai đó đang tấn công bạn.
- Bảo vệ mạng máy tính của bạn - Một lần nữa, các cuộc tấn công như thế này được thực hiện phổ biến nhất từ bên trong mạng. Nếu các thiết bị mạng của bạn được an toàn sau đó có ít cơ hội của những máy đã bị đang được sử dụng để khởi động một cuộc tấn công session hijacking.
Kết Luận
Bây giờ chúng ta đã bao phủ ba loại tấn công MITM rất nguy hiểm mà tất cả có thể có hậu quả rất nghiêm trọng nếu thực hiện thành công một nạn nhân. Sử dụng session hijacking với một người nào đó với mục đích xấu có thể truy cập ngân hàng trực tuyến, e-mail của người dùng, hoặc thậm chí một ứng dụng mạng nội bộ nhạy cảm.Hiểu Về Cuộc Tấn Công Man-In-The-Middle - ARP Cache Poisoning (Phần 2)
Hiểu Về Cuộc Tấn Công Man-In-The-Middle - Phần 1: DNS Spoofing
0 nhận xét:
Post a Comment