Tấn công HTTP Session Sidejacking
Tải các công cụ cần thiết:
1. Wireshark
2. Cain and Abel
3. Trình duyệt Mozilla Firefox (Bắt buộc) và Mozilla Addons (Grease Monkey)
4. Cookie Injector
Thực hiện:
Kết nối vào mạng LAN hoặc Wifi
Bước 1: Cài đặt Wireshark, Cain and Abel, Grease Monkey, Cookie Injector.
Bước này bạn thực hiện cài đặt bình thường như những phần mềm khác, với chú ý yêu cầu chạy dưới quyền administrator và cho phép cài đặt Winpcap.
Cài đặt Cookie Injection, bạn chỉ cần kéo thả file Cookieinjector.user.js vào giao diện của Firefox như hình vẽ.
1. Wireshark
2. Cain and Abel
3. Trình duyệt Mozilla Firefox (Bắt buộc) và Mozilla Addons (Grease Monkey)
4. Cookie Injector
Thực hiện:
Kết nối vào mạng LAN hoặc Wifi
Bước 1: Cài đặt Wireshark, Cain and Abel, Grease Monkey, Cookie Injector.
Bước này bạn thực hiện cài đặt bình thường như những phần mềm khác, với chú ý yêu cầu chạy dưới quyền administrator và cho phép cài đặt Winpcap.
Cài đặt Cookie Injection, bạn chỉ cần kéo thả file Cookieinjector.user.js vào giao diện của Firefox như hình vẽ.
Tai facebook : Cookieinjector.user.js
Bước 2: Bật Wireshark vào menu Capture / Interfaces (Ctrl + I). Chọn card mạng của bạn và nhấn Start để bắt đầu quá trình chụp gói tin (capture packets) qua mạng.
Bạn sẽ thấy các gói tin hiện ra ào ào, trong đó bạn chú ý:
Source: Địa chỉ nguồn, nơi chứa tất cả các địa chỉ mà gói tin xuất phát, bao gồm cả địa chỉ của nạn nhân bị tấn công
Destination: Địa chỉ đích, nơi chứa địa chỉ mà gói tin sẽ tới.
Source: Địa chỉ nguồn, nơi chứa tất cả các địa chỉ mà gói tin xuất phát, bao gồm cả địa chỉ của nạn nhân bị tấn công
Destination: Địa chỉ đích, nơi chứa địa chỉ mà gói tin sẽ tới.
Tai Facebook : Wireshark 2
Bước 3: Chạy Cain&Abel, vào menu configure chọn card mạng (chọn cái nào hiện tại có địa chỉ IP) và cấu hình như hình dưới.
Tai facebook : Cain and Cabble
Chuyển đến tab Sniffer ( trong dãy các tab nằm phía trên ). Click bật biểu tượng Sniffer ( hình card mạng)
Nhấp vào biểu tượng hình dấu + màu xanh, chọn OK để thực hiện quá trình scan địa chỉ MAC và Ip trong mạng.
Nhấp vào biểu tượng hình dấu + màu xanh, chọn OK để thực hiện quá trình scan địa chỉ MAC và Ip trong mạng.
Tai facebook : Sniffer
Bước 4: Sau khi có danh sách các máy tính hiện đang kết nối trong mạng wifi………., ta tiến tới thực hiện ARP Poison Routing.
Bạn chuyển qua tab APR ( nằm ở dãy tab phía dưới màn hình – biểu tượng màu vàng và đen ). Click vào dấu cộng “+” ( chỗ khoanh tròn trong hình ) để mở hộp cấu hình ARP Poison Routing như sau:
Tai facebook : ARP
Việc ARP Poison Routing sẽ được thực hiện giữa máy tính bên trái và “các” máy tính bên phải. Bên trái có thể là router như trường hợp địa chỉ 192.168.1.1 trong hình ( các router thường có địa chỉ là x.x.x.1) và bên phải là tất cả các máy tính có trong mạng ở phía bên. Xong xuôi, click OK.
Bước 5: Click chọn biểu tượng Start/Stop APR ( màu vàng và đen ) nằm ở trên bên trái của cửa sổ Cain&Abel
Bước 5: Click chọn biểu tượng Start/Stop APR ( màu vàng và đen ) nằm ở trên bên trái của cửa sổ Cain&Abel
Sau khi click sẽ thấy các dòng idle trước các địa chỉ IP sẽ đổi thành Poisoning. Bây giờ ta đã có đầy đủ điều kiện để sniff toàn bộ gói tin trong mạng này.
Bước 6: Chuyển sang tab Passwords, ta sẽ thấy một vài điều thú vị ở đây.
Bạn chú ý tiếp tới cột URL, danh sách này sẽ liên tục được cập nhật, mỗi khi người dùng trong mạng wifi truy cập một website nào đó, Cain&Abel sẽ ghi lại chi tiết: người dùng có IP nào truy cập website nào, URL là gì, địa chỉ IP của website, username & password (nếu có).
Bước 6: Chuyển sang tab Passwords, ta sẽ thấy một vài điều thú vị ở đây.
Bạn chú ý tiếp tới cột URL, danh sách này sẽ liên tục được cập nhật, mỗi khi người dùng trong mạng wifi truy cập một website nào đó, Cain&Abel sẽ ghi lại chi tiết: người dùng có IP nào truy cập website nào, URL là gì, địa chỉ IP của website, username & password (nếu có).
Tai facebook : Password
Bạn cứ liên tục theo dõi danh sách này, đến khi nào xuất hiện địa chỉ web bạn mong muốn. Ví dụ: http://www.facebook.com/***** và chú ý tới một số thông tin sau:
IP của HTTP Server: đây chính là IP của facebook
IP của client: đây chính là IP của người dùng đang truy cập facebook
Ngay lập tức bạn hãy chuyển trở lại Wireshark, click nút stop trên thanh công cụ.
Trong ô Filter bạn gõ: http.cookie contains datr
Sau đó thực hiện việc lấy Cookie bằng cách, chọn địa chỉ IP trong mục Source trùng với IP của client mà bạn đã ghi nhớ bên Cain&Abel (trong hình là 192.168.1.6)
Chuột phải vào đó, chọn Copy / Bytes / Printable Text Only.
IP của HTTP Server: đây chính là IP của facebook
IP của client: đây chính là IP của người dùng đang truy cập facebook
Ngay lập tức bạn hãy chuyển trở lại Wireshark, click nút stop trên thanh công cụ.
Trong ô Filter bạn gõ: http.cookie contains datr
Sau đó thực hiện việc lấy Cookie bằng cách, chọn địa chỉ IP trong mục Source trùng với IP của client mà bạn đã ghi nhớ bên Cain&Abel (trong hình là 192.168.1.6)
Chuột phải vào đó, chọn Copy / Bytes / Printable Text Only.
Tai facebook : Captune
Lúc này Cookies của nạn nhân mà bạn lấy được đã được lưu vào bộ nhớ đệm của máy tính.
Bước 7: Phục dựng Session – Cookie injection
Trước hết, bạn mở Firefox và truy cập vào địa chỉ http://www.facebook.com
Chú ý: Ban phải logout ra khỏi tài khoản facebook hiện tại.
Bây giờ thì bấm tổ hợp phím Alt+C ( phím Alt và phím C đồng thời ), nó sẽ hiện ra cái khung nhỏ nhỏ như trong hình dưới (Wireshark Cookie Dump). Bạn paste cái chuỗi cookies đã copy ở bước trên vào ô textbox của cái khung nhỏ nhỏ này rồi bấm Ok. (Với chú ý add-on Grease Monkey đã được Enable)
Bước 7: Phục dựng Session – Cookie injection
Trước hết, bạn mở Firefox và truy cập vào địa chỉ http://www.facebook.com
Chú ý: Ban phải logout ra khỏi tài khoản facebook hiện tại.
Bây giờ thì bấm tổ hợp phím Alt+C ( phím Alt và phím C đồng thời ), nó sẽ hiện ra cái khung nhỏ nhỏ như trong hình dưới (Wireshark Cookie Dump). Bạn paste cái chuỗi cookies đã copy ở bước trên vào ô textbox của cái khung nhỏ nhỏ này rồi bấm Ok. (Với chú ý add-on Grease Monkey đã được Enable)
Tai facebook : Log in
Sau khi nhấn OK, hộp thoại thông báo quá trình ghi nhớ Cookies thành công
Tai facebook : add cokies
Click vào thanh address và nhấn Enter để trang được load lại. Và đây là thành quả của chúng ta.
Tai facebook : ket qua
Các phương thức bảo mật
Khởi nguồn của vấn đề ARP Poisoning Routing ( APR), là việc các thiết bị trong mạng LAN không biết địa chỉ IP nào hiện đang được gán cho thiết bị có địa chỉ MAC nào. Như ta đã biết, địa chỉ MAC là duy nhất đối với mỗi thiết bị mạng.
Các thiết bị trong mạng LAN khi cần biết địa chỉ IP của nhau thì chúng cần kiểm tra trong bộ nhớ của chúng (bảng ARP) nếu không thấy chúng sẽ gửi đi một gói tin broadcast ARP Request. Khi này thiết bị nào hiện có IP là 192.168.1.1 phản hồi trở lại với cái thiết bị vừa hỏi kia rằng nó hiện đang sở hữu IP 192.168.1.1 và địa chỉ MAC của nó.
Vấn đề rắc rối phát sinh từ chỗ các client con không có cách nào để kiểm tra xem địa chỉ IP 192.168.1.1 của thiết bị kia có phải là thật không. Nên lúc này nếu có một thiết bị giả mạo nào đó, đưa ra nhiều gói tin chứng tỏ nó có địa chỉ 192.168.1.1 hơn thì client sẽ nghe theo và gửi gói tin qua cho nó ( ARP Reply flood ).
Vậy trong trường hợp này, chúng tôi đưa ra cho bạn 2 giải pháp:
Sử dụng giao thức HTTPS để truy cập các trang web
Khởi nguồn của vấn đề ARP Poisoning Routing ( APR), là việc các thiết bị trong mạng LAN không biết địa chỉ IP nào hiện đang được gán cho thiết bị có địa chỉ MAC nào. Như ta đã biết, địa chỉ MAC là duy nhất đối với mỗi thiết bị mạng.
Các thiết bị trong mạng LAN khi cần biết địa chỉ IP của nhau thì chúng cần kiểm tra trong bộ nhớ của chúng (bảng ARP) nếu không thấy chúng sẽ gửi đi một gói tin broadcast ARP Request. Khi này thiết bị nào hiện có IP là 192.168.1.1 phản hồi trở lại với cái thiết bị vừa hỏi kia rằng nó hiện đang sở hữu IP 192.168.1.1 và địa chỉ MAC của nó.
Vấn đề rắc rối phát sinh từ chỗ các client con không có cách nào để kiểm tra xem địa chỉ IP 192.168.1.1 của thiết bị kia có phải là thật không. Nên lúc này nếu có một thiết bị giả mạo nào đó, đưa ra nhiều gói tin chứng tỏ nó có địa chỉ 192.168.1.1 hơn thì client sẽ nghe theo và gửi gói tin qua cho nó ( ARP Reply flood ).
Vậy trong trường hợp này, chúng tôi đưa ra cho bạn 2 giải pháp:
Sử dụng giao thức HTTPS để truy cập các trang web
Việc này sẽ giúp gói tin của bạn được mã hóa trước khi gửi đi, nhằm tránh việc nghe lén trong mạng.
Gán địa chỉ IP tĩnh và áp dụng Static ARP
Điều này giống như bạn ghi tên mình vào sổ danh bạ của router, tức là bạn sẽ luôn luôn biết được địa chỉ 192.168.1.1 ở đâu, và gửi thẳng dữ liệu tới đó, tránh được việc gửi nhầm gói tin tới các địa chỉ mạo danh.
Trước hết bạn đặt địa chỉ IP tĩnh cho máy tính của mình, sau đó vào Command Dos và thực hiện câu lệnh sau:
arp –s X.X.X.X Y.Y.Y.Y
Trong đó:
X.X.X.X là địa chỉ IP tĩnh mà bạn vừa gán cho máy tính của mình
Y.Y.Y.Y là địa chỉ MAC của máy tính của bạn.
Điều này giống như bạn ghi tên mình vào sổ danh bạ của router, tức là bạn sẽ luôn luôn biết được địa chỉ 192.168.1.1 ở đâu, và gửi thẳng dữ liệu tới đó, tránh được việc gửi nhầm gói tin tới các địa chỉ mạo danh.
Trước hết bạn đặt địa chỉ IP tĩnh cho máy tính của mình, sau đó vào Command Dos và thực hiện câu lệnh sau:
arp –s X.X.X.X Y.Y.Y.Y
Trong đó:
X.X.X.X là địa chỉ IP tĩnh mà bạn vừa gán cho máy tính của mình
Y.Y.Y.Y là địa chỉ MAC của máy tính của bạn.
Tai facebook : Bảo mật
Chúc các bạn thành công!
Không có nhận xét nào:
Đăng nhận xét