打印

[讨论]如何伪造IP？

dingking

我伐克起来谁都挡不住！ ...

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 771
精华: 2
积分: 4819
阅读权限: 100
性别: 男
在线时间: 771 小时
注册时间: 2005-6-17
最后登录: 2008-10-6

发短消息
加为好友
当前离线

楼主大中小发表于 2008-7-6 05:26 只看该作者

[讨论]如何伪造IP？

信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
议题作者：dingking

晚上朋友叫帮忙测试一个站点，好不容易銱下其C段一服务器，SNIFF之拿到其数据库IP用户和密码（WEB和库分离），很激动滴拿出SQL查询分析器连之。

很遗憾，连不上，telnet其1433.....关闭...扫描之，所有端口都关闭，初步判断是指定了IP连接其数据库。

以上此种情况遇到过很多次，想不到办法解决，遂想到伪造IP。

记得DDOS可以伪造随机IP和指定IP，不知道能不能通过此种方法来伪造WEB的IP连接数据库？GOOGLE了一下也没找到什么资料。

期待达人提供点资料参考，万分感谢。~

昨天是明天的前天今天是昨天的明天明天是昨天的后天 ╰o╯╰o╯

TOP

husheng34

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 79
精华: 2
积分: 3544
阅读权限: 100
性别: 男
在线时间: 114 小时
注册时间: 2006-4-30
最后登录: 2008-8-22

发短消息
加为好友
当前离线

沙发大中小发表于 2008-7-6 23:31 只看该作者

公网不可能,

内网不难实现,

1)断开原电脑和真IP之间的连接,(arp,端口欺骗等)

不然,真IP,会返回res包,中断这个会话.

2)建一个转发层,

3)换一下IP和mac头

4)重新计算CRC
转发,

我以前写过,不过只有内网有用,且交换机端口没做MAC绑定,没多大意思.

[ 本帖最后由 husheng34 于 2008-7-6 23:45 编辑 ]

TOP

Helvin

团队决策人

Rank: 9 Rank: 9 Rank: 9

E.S.T顾问团首席顾问

帖子: 665
精华: 22
积分: 5067
阅读权限: 255
在线时间: 1827 小时
注册时间: 2005-1-7
最后登录: 2008-10-6

优秀管理奖运营支持奖核心建议奖

发短消息
加为好友
当前离线

椅子大中小发表于 2008-7-7 01:56 只看该作者

回复的很好，并不是没多大意思，渗透内网必定会用到。

大隐于市

TOP

dingking

我伐克起来谁都挡不住！ ...

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 771
精华: 2
积分: 4819
阅读权限: 100
性别: 男
在线时间: 771 小时
注册时间: 2005-6-17
最后登录: 2008-10-6

发短消息
加为好友
当前离线

板凳大中小发表于 2008-7-7 13:33 只看该作者

内网渗透遇到指定IP的情况就可以用husheng34提供的办法....~不错不错。~

但是公网就郁闷鸟.....

昨天是明天的前天今天是昨天的明天明天是昨天的后天 ╰o╯╰o╯

TOP

28度的冰

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 187
精华: 0
积分: 3676
阅读权限: 100
性别: 男
来自: 浙江
在线时间: 223 小时
注册时间: 2007-1-18
最后登录: 2008-9-23

发短消息
加为好友
当前离线

地板大中小发表于 2008-7-7 18:37 只看该作者

具体怎么弄，有现成代码否？或现成工具

http://www.28ice.com/

TOP

撕碎了的小C

技术核心组

Rank: 8 Rank: 8

E.S.T核心成员

帖子: 130
精华: 4
积分: 3949
阅读权限: 200
性别: 男
来自: 湖南
在线时间: 127 小时
注册时间: 2005-1-28
最后登录: 2008-9-25

原创技术奖

发短消息
加为好友
当前离线

6楼大中小发表于 2008-7-7 21:58 只看该作者

公网是肯定不行的，首先TCP是有连接的协议，序列号无法猜测。而且路由器很可能会丢弃伪造的IP数据包。

我是金子，我要闪光的....!

TOP

xi4oyu

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 73
精华: 0
积分: 3620
阅读权限: 100
性别: 男
在线时间: 186 小时
注册时间: 2006-6-19
最后登录: 2008-10-4

发短消息
加为好友
当前离线

7楼大中小发表于 2008-7-8 03:08 只看该作者

谁说公网不行？路由路由！

TOP

唐不狐

很黃很暴力

晶莹剔透§烈日灼然

Rank: 1

帖子: 147
精华: 2
积分: 576
阅读权限: 50
性别: 男
来自: china
在线时间: 109 小时
注册时间: 2005-9-27
最后登录: 2008-9-24

发短消息
加为好友
当前离线

8楼大中小发表于 2008-7-8 10:14 只看该作者

呵呵，注意下sniffer得到的1433端口通讯的客户端ip
用hijack的ip欺骗功能，日进去。可以结贴了。

[ 本帖最后由唐不狐于 2008-7-8 10:16 编辑 ]

TOP

撕碎了的小C

技术核心组

Rank: 8 Rank: 8

E.S.T核心成员

帖子: 130
精华: 4
积分: 3949
阅读权限: 200
性别: 男
来自: 湖南
在线时间: 127 小时
注册时间: 2005-1-28
最后登录: 2008-9-25

原创技术奖

发短消息
加为好友
当前离线

9楼大中小发表于 2008-7-8 10:22 只看该作者

TO 7楼
本人所说的是完整的TCP连接，而不是单独的TCP包，这在公网是不可能成功的，除非你控制了关键的路由器。

TO 8楼

HIJACK只能在双方建立连接时才能进行劫持，而且只能在内网，成功几率很小。

我是金子，我要闪光的....!

TOP

唐不狐

很黃很暴力

晶莹剔透§烈日灼然

Rank: 1

帖子: 147
精华: 2
积分: 576
阅读权限: 50
性别: 男
来自: china
在线时间: 109 小时
注册时间: 2005-9-27
最后登录: 2008-9-24

发短消息
加为好友
当前离线

10楼 大中小发表于 2008-7-8 10:32 只看该作者

谁说hijack只能在双方建立连接时才能劫持的？
另外，谁说hijack只能在内网的？
你验证过？可别单凭揣测下断言哦。
hijack的ip欺骗在公网下完全可行，这是经过N久实战证实的

[ 本帖最后由唐不狐于 2008-7-8 10:35 编辑 ]

TOP

撕碎了的小C

技术核心组

Rank: 8 Rank: 8

E.S.T核心成员

帖子: 130
精华: 4
积分: 3949
阅读权限: 200
性别: 男
来自: 湖南
在线时间: 127 小时
注册时间: 2005-1-28
最后登录: 2008-9-25

原创技术奖

发短消息
加为好友
当前离线

11楼 大中小发表于 2008-7-8 12:05 只看该作者

TO 楼上的兄弟
这个完全不用测试就知道不可行，好吧，这里是HIJACK的说明：
----------------------------------------
hijack /zd3 202.108.22.33 202.108.22.1 61.163.83.11 202.102.245.9
实例是在公网上实现的，如果202.108.22.33的21端口做了IP限制，只允许202.102.245.9访问(可以嗅探得到)
攻击者IP是61.163.83.11,则可以通到上面的命令突破IP限制
------------------------------------------
这里说的很明白，必须能够嗅探到202.102.245.9，因为这样才能获取TCP的序列号，因为TCP序列号是无法猜测的，再者，即使你不知道TCP协议的原理，也可以用基本的归谬法：

如果能够用hijack伪造任意IP进行TCP连接，那我们还要用代理隐藏IP干嘛？直接伪造IP进行访问不就可以了？

我是金子，我要闪光的....!

TOP

唐不狐

很黃很暴力

晶莹剔透§烈日灼然

Rank: 1

帖子: 147
精华: 2
积分: 576
阅读权限: 50
性别: 男
来自: china
在线时间: 109 小时
注册时间: 2005-9-27
最后登录: 2008-9-24

发短消息
加为好友
当前离线

12楼 大中小发表于 2008-7-8 20:53 只看该作者

那么针对这个讨论，很明显，楼主已经嗅探得到目标1433的通讯（目标与信任客户端ip的通讯）。条件已经满足了。

hijack的ip欺骗是基于arp欺骗的基础的。我似乎并没有说能够没有条件的任意欺骗。
楼主已经日下C段一个机器，且能够嗅探得到目标sql的帐号密码，不是已经满足条件了吗？

[ 本帖最后由唐不狐于 2008-7-8 21:02 编辑 ]

TOP

dingking

我伐克起来谁都挡不住！ ...

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 771
精华: 2
积分: 4819
阅读权限: 100
性别: 男
在线时间: 771 小时
注册时间: 2005-6-17
最后登录: 2008-10-6

发短消息
加为好友
当前离线

13楼 大中小发表于 2008-7-9 14:10 只看该作者

非常感谢以上几位~~~
hijack确实是可以在某些情况之下欺骗伪装IP的。~

很遗憾的是，我遇到的这个情况又稍微特殊一点点，就是WEB和数据库的IP不在同一段，相隔10W8000里。~

要欺骗连接数据库的话就必要銱下数据库服务器那个段的一个服务器来进行欺骗，而我拿到的是WEB那个段的服务器。

所以用hijack没办法欺骗数据库服务器。~

再次感谢以上几位精彩的讨论~非常感谢。。。。~~

昨天是明天的前天今天是昨天的明天明天是昨天的后天 ╰o╯╰o╯

TOP

remax

晶莹剔透§烈日灼然

Rank: 1

帖子: 324
精华: 2
积分: 907
阅读权限: 50
在线时间: 79 小时
注册时间: 2005-10-25
最后登录: 2008-7-13

发短消息
加为好友
当前离线

14楼 大中小发表于 2008-7-10 23:04 只看该作者

8楼和9楼的讨论的核心原因就是他们对公网私网的认识不同一。
另外我建议把c端这个词换成同一子网。

附加一句/*DingKing猥琐照片出售，贱卖，赠送。*/

20字节够写什么？

TOP

静默者

静水

晶莹剔透§烈日灼然

Rank: 1

帖子: 10
精华: 0
积分: 35
阅读权限: 40
性别: 男
来自: 四川宜宾
在线时间: 3 小时
注册时间: 2008-5-10
最后登录: 2008-10-3

发短消息
加为好友
当前离线

15楼 大中小发表于 2008-7-15 13:18 只看该作者

不是可以用代理服务器吗？！

TOP

落叶树

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 910
精华: 42
积分: 5712
阅读权限: 100
性别: 男
在线时间: 553 小时
注册时间: 2004-8-21
最后登录: 2008-10-6

发短消息
加为好友
当前离线

16楼 大中小发表于 2008-7-17 01:09 只看该作者

引用:

原帖由 唐不狐 于 2008-7-8 20:53 发表
那么针对这个讨论，很明显，楼主已经嗅探得到目标1433的通讯（目标与信任客户端ip的通讯）。条件已经满足了。

hijack的ip欺骗是基于arp欺骗的基础的。我似乎并没有说能够没有条件的任意欺骗。
楼主已经日下C段一个机器，且能够嗅探得到目标sql的帐号密码，不是已经满足条件了吗？
[ 本帖最后由唐不狐于 2008-7-8 21:02 编辑 ]

这可不一定，例如大家处在C段IP不同的子网内中间相隔了路由器或者三层交换机，此时完全有可能你所连的1433只是NAT转换后的本地全局地址而不是本地内网地址。

BLOG: http://blog.csdn.net/hkbyest

TOP