Hacking&Security Workshop

ตอนนี้ MaYaSeVeN ได้ย้าย Blog ไปที่ http://blog.mayaseven.com


Wednesday, April 13, 2011

How to Sidejacking + Arpspoof

MaYaSeVeN

มาเริ่มกันเลย ในการทดลองนี้ผมได้ทำการทดลองในวง Lan เดียวกัน โดยให้เพื่อนเปิดเครื่องหนึ่ง Login เข้าสู้ระบบ G-Mail ส่วนผมก็เปิดขึ้นมาอีกเครื่องหนึ่งเพื่อที่จะดักจับและขโมย Cookies&Session ID
เริ่มจากทำการติดตั้งเครื่องมือที่จะใช้ Hack ก่อนเลยโดยโปรแกรม Switch Sniffer ติดตั้งแบบติดตั้งโปรแกรมธรรมดาส่วน Ferret กับ Hamster ให้ทำการสร้าง Folder C:\sidejacking และ copy ทั้งสองโปรแกรมนี้ไปใส่ไว้ใน Folder  C:\sidejacking หลังจากนั้นให้เครื่องเพื่อนผม login เข้าสู่ระบบ G-mail หลังจากนั้นเครื่องของผมเปิดโปรแกรม Switch sniffer ขึ้นมาเพื่อทำ ARP Spoof หลังจากผมเปิดโปรแกรม Switch Sniffer แล้วผมก็คลิก Scan เพื่อทำการ Scan หา IP เป้าหมายโดยป้อนค่าใน Start Address และ End Address เพื่อระบุช่วง IP ที่ผมต้องการ Scan และผมก็ติ๊กเครื่องหมายถูกหน้าเครื่องที่ต้องการจะดักจับคุ๊กกี้แล้วคลิก Start เพื่อทำการเริ่มดักจับ Cookies&Session ID




หลังจากนั้นก็เปิดโปรแกรม Ferret เพื่อดักจับ CookieและSession ที่เพื่อนผมเปิด G-mail ที่กำลังใช้งานเว็บไซต์ของ Gmail และผมจะนำ Cookie และ Session ที่ดักจับมาได้ มาแอบอ้างว่าผมเป็นเพื่อนผมที่ใช้ระบบ Gmail อยู่ แต่ก่อนที่เราจะดักจับ Cookie และ Session นั้น เราต้องรู้ก่อนว่าการ์ด Network ที่เราใช้อยู่เลขอะไร ไม่ใช่ MAC Address นะครับ ให้เราเปิดหน้าต่าง Dos ขึ้นมาและเปลี่ยนที่อยู่ไปเป็น C:\sidejacking โดยการเปลี่ยนนั้นให้เราพิม cd C:\sidejacking แล้วกด Enter 1ที มันจะเปลี่ยนมาเป็น C:\sidejacking> ให้พิม Ferret -W  ลงไปแล้วกด Enter 1 ที เพื่อให้มันแสดงหมายเลขประจำการ์ด Network ออกมา



    เมื่อทราบหมายเลขประจำการ์ด Network แล้วเราก็ใช้คำสั่งให้ ferret ทำการดักข้อมูลโดยใช้คำสั่ง
Ferret –I num sniffer.mode=most โดยที่numคือหมายเลขประจำการ์ด Network นั้นเองให้มองหาคำว่า Ethernet ว่าอยู่บรรทัดหมายเลขอะไรเอาครับ ทีนี้เราก็พร้อมที่จะดักจับ Cookie และ Session แล้ว รอให้เพื่อนผมคลิกเข้า Inbox หรือทำการใดๆที่ติดต่อกับ Gmail เพื่อให้เครื่องเพื่อนผมส่ง Cookies&Session ติดต่อกับ Server เราก้อจะได้ Cookies&Session มาจากการดักจับครับ
 

                 เมื่อดักจับจนได้ค่า Cookies&Session ของเพื่อนผมเสร็จแล้วจะมีไฟล์ชื่อ hamster.txt เกิดขึ้นบนไดเรกเทอรีที่เราให้เราเปิดโปรแกรม ferret (ไดเรกเทอรี่ในที่นี้คือ C:\sidejacking ที่เราได้สร้างไว้ตั้งแต่ตอนแรก)โปรแกรม hamster จะเป็นตัวทำหน้าที่อ่านไฟล์ hamster.txt แล้วสร้าง link เพื่อให้ผมสามารถเข้าไปยังเมลล์บ๊อกของเพื่อนผมได้ต่อจากนี้ผมก็แค่พิมพ์ hamster ลงไปก็เรียบร้อย


โปรแกรม hamster มีหน้าที่จัดการรับส่ง Cookies&Session ที่เราดักจับมาได้โดยมีหน้าที่ดูแลการรับส่ง Cookies ระหว่างเครื่องผมกับ Server G-mail เพื่อปลอมตัวหรือแอบอ้างว่าเป็นเพื่อนผมส่วนวิธีที่จะทำให้เบราเซอร์ทำงานร่วมกับHamster ก็คือเราจะต้องตั้งค่า Proxyโดยโปรแกรม hamster จะเปิด Port 3128 รอเอาไว้ดังนั้นผมจะสามารถเข้าไปดู mailboxของเพื่อนผมได้โดยใช้ hamster ติดต่อกับG-mailโดยใช้คุ๊กกี้ที่ได้ทำการดักจับมา นำผลลัพธ์มาแสดงที่เบราเซอร์ดังนั้นวิธีตั้งค่า Proxy ก็คือให้เราเปิด Internet explorer เข้าไปใน Internet Options>Lan settings ให้ใส่ตามนี้
IP Address = 127.0.0.1 Port 3128


    หลังจากตั้งค่า Proxy แล้วให้เราเปิด Internet Explorer แล้วเรียกไปยัง http://hamster จะมองเห็น IP Address ของเพื่อนผมทางด้านขวามือเมื่อทำการคลิ๊กที่ IP Address ของเพื่อนผมก็จะพบลิงค์ต่างๆทางด้านซ้ายมือที่เพื่อนผมเคยเข้าไปผมสามารถเข้าไปยัง mailbox ของเพื่อนผมโดยเข้าที่ httttp://mail.google.com/mail/ แต่ก็อาจจะมีบาง link ที่เข้าไม่ได้
    หลังจากเปิด link  httttp://mail.google.com/mail ผมสามารถเข้าถึง mailbox ของเพื่อนผมได้ เปิดอ่านเมล์หรือลบเมล์หรือสร้างเมล์ก็สามารถทำได้รวมทั้งสามารถแก้ไขข้อมูลส่วนตัวของเพื่อนผมในระบบG-Mailได้อีกด้วยโดยที่ผมไม่จำเป็นต้องรู้ password ของเพื่อนผมแต่อย่างใด
    หลังจากที่เพื่อนๆได้อ่านมาถึงตอนนี้แล้ว เพื่อนๆที่มีความชำนาญก็จะสามารถหาวิธีป้องกันได้เมื่อรู้หลักการว่ามันทำงานยังไงแต่สำหรับเพื่อนๆที่เป็นมือใหม่ผมก็จะแนะนำวิธีป้องกันให้ วิธีที่ง่ายที่สุดคืออย่าให้เขาทำ ARP Spoof ในวง Lan เราได้ ในที่นี้แนะนำให้ใช้โปรแกรม Anti Arp จะง่ายที่สุดครับ แต่ก็อย่างว่าเวลาเราจะไปเล่นเน็ตที่ไหนคงลำบากแน่ๆที่ต้องคอยพกโปรแกรมไปไหนมาไหนด้วยเดี๋ยวคราวหน้าผมจะมานำเสนอวิธีป้องกัน Arp spoof ด้วยวิธี static arp


ArpSpoof


การโจมตีคอมพิวเตอร์ และเครือข่ายด้วยเทคนิค Arp Spoof หรือ Arp Posion


การใช้งานในเครือข่ายคอมพิวเตอร์ ที่ใช้ TCP/IP โดยผ่าน Ethernet หรือสาย Lan ที่เราใช้กันทั่วๆ ไปนั้น ข้อดีของการใช้งานในรูปแบบนี้คือ การ์ด Lan ราคาถูก สายราคาถูก อุปกรณ์ เครือข่ายราคาไม่แพงนัก เทคโนโลยี หลายคนก็เข้าใจ ทำให้ได้รับความนิยมใช้งาน แต่เนื่องจากความสะดวกในการใช้งานนี้เอง ทำให้มีคนหาช่องโหว่ของเครือข่าย และ Protocol ที่เราใช้งานกัน ดังนั้น ผมจึงเอาเรื่องใกล้ๆ ตัวมาเล่าให้ฟัง โดยทดสอบในเครือข่ายของผมเอง เพื่อให้เห็นภาพ หากอยากทราบว่ามีอะไร ตามมาเลยครับ

ก่อนอื่น ขอปูพื้นอีกนิดครั้ง ในเครือข่ายที่เราใช้งานกันผ่านระบบ Lan นั้น เรามีการเชื่อมต่อแบบ Star นั่นคือ เราไปซื้อ Hub, Switch มาแล้วเดินสาย กระจายเหมือนรูปดาว ไปยังเครื่องคอมพิวเตอร์แต่ละเครื่อง ดูแล้วก็เหมือนดาวนะครับ แต่หากเข้าใจหลักการทำงานของ Hub, Switch และโปรโตคอลเครือข่ายที่ใช้คือ CSMA/CD โดยหากท่านใช้ อุปกรณ์เครือข่าย เช่น

* Hub ราคาถูกครับ แต่ไม่แนะนำ เนื่องจากไม่มี CSMA/CD นั่นหมายถึงการส่งข้อมูลก็แย่งกันส่ง หากชนกัน ก็ต้องมา Exponential backoff ซึ่งเสียเวลา เท่ากับเอาจำนวนผู้ส่งไปหารจาก Bandwidth
* Switch ราคาแพงขึ้นมาอีกนิด มี CSMA/CD มี MAC Table สามารถ Forward ไปยัง Port ได้โดยไม่มีการชนกัน (แต่ในความเป็นจริง ยังมีการชนกันอยู่บ้าง)

เล่ามายืดยาว มาดูการโจมตีกันบ้างนะครับ

* Hub อันนี้ไม่ต้องบอกครับ ใครส่งอะไรถึงใคร เครื่องเราเห็นหมด เพียงแต่ว่าไม่เปิดมาอ่านเท่านั้น เพราะฉะนั้น หากผมลงโปรแกรมประเภท Packet Capture ก็เรียบร้อยครับ ผมเห็นทุกคนว่าทำอะไร พิมพ์อะไร หากใครพิมพ์ Username/ Password หรือเลขที่บัตรเครดิต ผมก็เห็นด้วย
* Switch อันนี้ยากหน่อยครับ หากจะจับ Packet แบบ Hub ผมต้องไปเสียบสาย Lan ที่ Mirror Port ก็จะเห็นเหมือน Hub ครับ แต่หากผมไม่ใช่ผู้ดูแบบระบบเครือข่าย ผมจะไปเสียยัง Mirror Port ได้อย่างไร

เพราะฉะนั้น Switch ดูเหมือนจะปลอดภัย แต่ยังครับ เนื่องจากจุดอ่อนของ Protocol ใน Layer ที่ 2 (Datalink Layer) มาดูสิ่งที่ผมจะสาธิตให้ดูก่อนครับ

จากภาพทางด้านบน ครับ เครื่องเหยื่อ (Victim) เวลาทำงานจะมี Arp table เป็น mac ของ Gateway วิธีคือพิมพ์คำสั่งใน Command คือ arp -a จะได้ดังภาพ



ซึ่ง ก็จะพบว่า IP กับ MAC ของ Gateway นั้นถูกต้อง

หลังจากนั้น เครื่อง Ejeepss ซึ่งเป็นเครื่อง Client เครื่องข้าง ๆ อยู่ใน Network เดียวกัน ต้องการโจมตีโดยใช้เทคนิค Arp Spoof โดยการโจมตีแบบนี้ คือการหลอกให้เครื่องเหยื่อย (Victim) เปลี่ยน Mac ของ Gateway ไปเป็น Mac ของเครื่อง ejeepss เพื่อให้เครื่องเหยื่อ หลงเชื่อว่าเป็น Gateway และส่งข้อมูลต่างๆ มายังเครื่อง Ejeepss โดยโปรแกรมที่ผมลองใช้ชื่อ Switch Sniff รุ่นทดลองใช้ ซึ่งยังมีความสามารถน้อยหน่อย แต่ก็พอให้เห็นภาพนะครับ โดยเปิดโปรแกรม Switch Sniff ตามภาพนะครับ



โดยเลือก IP เครื่องเหยื่อ (192.168.100.19) แล้วกด Start เท่านั้นครับ ไปดูผลลัพท์ ที่เครื่องเหยื่อนะครับ ให้ arp -a ดูความแรกต่างครับ



ให้สังเกตุบรรทัดแรกครับ ว่า IP ของ Gateway ถูกเปลี่ยน Mac ไปเป็น 00-0A-E4-2D-AB-CE ซึ่งก็คือ IP ของเครื่อง ejeepss เพียงเท่านี้ครับไม่ว่าเครื่องเหยื่อจะทำอะไร Packet จะถูกส่งไปยังเครื่อง ejeepss ทั้งหมด เครื่องเหยื่อก็เล่น NET ได้ตามปกติ โดยที่ยังไม่รู้ตัวเลยว่าตัวเองถูก Arp Spoof เรียบร้อยแล้ว …

มาดูภาพสรุปกันนะครับ



เพราะฉะนั้น หากใครกำลังจะคีย์เลขบัตรเครดิต กำลังจะคีย์ Username / Password เพื่อเข้าธนาคารออนไลน์ อย่าลืมตรวจสอบก่อนนะครับ ว่าเครื่องท่านถูกโจมตีแบบ Arp Spoof หรือเปล่านะครับ นี่ขนาดเป็น Software Trial Version นะครับ ยังมีความสามารถขนาดนี้ ยังมีโปรแกรมตัวเด็ด ๆ กว่านี้ครับ ในโลกนี้ ทางป้องกัน ก่อนจะคีย์บัตรเครดิต หรืออะไรสำคัญ อาจต้องหาโปรแกรมพวก Anti Sniff มาลง เพื่อป้องกันอีกชั้นนะครับ

สามารถอ่านสรุปวิธีป้องกัน+บทความที่อ่านง่ายกว่าได้ที่
http://mayaseven.blogspot.com/2011/04/lan-hacker-firesheepsidejackingnetcutre.html

#เขียนโดย MaYaSeVeN (เฉพาะ Sidejacking) http://mayaseven.blogspot.com
#อนุญาติให้ Copy ไปโพสที่ไหนก็ได้แต่ต้องแนบเครดิตด้วยนะครับ

Arpspoof By http://catadmin.cattelecom.com/km/blog/kittichonm/category/web-security/arp-spoof-technique/
Reference:
Arp Spoof Wiki : http://en.wikipedia.org/wiki/ARP_poisoning
ERRATA SECURITY
http://erratasec.blogspot.com/2007/08/side...hamster_05.html

Download : Ferret&hamster
http://file.citec.us/download.php?id=DF019C2E