黑帽大会:用hamster在无线网中通过ferret抓包实现对Gmail的劫持(sidejacking)

“黑帽子大会后传出的一个工具Ferret。作者声称可以利用他截获邮箱登录过程中的cookie信息。进而可以随意侵入他人的信箱。曾在黑帽子大会上当场演示如何破解Gmail,Hotmail等信箱。终于等到作者把代码和工具都发出来了。绝对棒,作者的代码功底很高。”
是吧,挺诱人的吧,随着链接点过去下下来发现就是Ferret,一个嗅探器。
这是工具的截图:

如果单独靠这个工具是可以用来抓包,但是说到破解Gmail Yahoo Hotmail等邮箱,还是有一定的误会的。
首先Robert Graham当时主要是提出cookie安全的重要性,因为在07年的黒帽黑客大会上,现场应用的是Wi-Fi无线网络。
而他使用了一个自己开发的工具叫“Hamster”,配合Ferret工具抓无线网络中的数据包,
在抓到其他人登录Gmail或者其它邮箱的cookie之后,用Hamster方便的进行cookie欺骗。
这种攻击方法被作者叫做“sidejacking”。
其实用Firefox的cookie edit组件或者基于IE内核的Maxthon的cookie Editer都可以修改cookie进行欺骗。
说了一大堆,总之有了Hamster还是方便快捷了太多太多,点击点击就轻松劫持了。
下载最新版本的Hamster,下载的工具包中包含了hamster.exe和最新版本的ferret.exe
好的我们来测试一下。
【下载】
下载hamster:基于无线网络通过ferret抓包实现对Gmail等邮箱的劫持(sidejacking)

插入说明:使用工具之前,一定要先安装Winpcap驱动,否则是无法运行的。
【下载】
WinPcap 4.0.2 最新稳定版本,强大的网络驱动程序

我找了好朋友areone 和我在同一个无线Wi-Fi网络中,然后我进入命令行界面。
1、首先要配置ferret,选择用哪块网卡抓包
运行ferret.exe -W

-W参数貌似帮助里面没有写出来,这用来识别我所用的网卡序号。如上图,我的无线网卡序号是2。
2、运行ferret抓包开始抓包
运行ferret.exe -i 2

看到字符翻滚了吧:)开始抓包了。
3、运行hamster
很简单,命令行直接运行即可或者直接双击

4、打开浏览器,进入代理服务器设置,添加代理服务器,127.0.0.1:3128

5、在浏览器中输入http://hamster
出现管理界面。
我在内网的地址是192.168.0.102
areone在内网的地址是192.168.0.100
这时候areone在他的电脑上登录gmail。很快我这里就出现提示。

6、劫持
我直接点击http://hamster页面上的链接,然后点击左侧列表中的gmail
自动弹出新窗口,并且开始劫持。

等待了一会儿,areone的gmail用户界面已经出现,我已经可以查看他的相关邮件了。
到这里,劫持完毕。
这就是一个典型的对无线网络劫持的案例演示
下载相关软件:
【下载】
下载hamster:基于无线网络通过ferret抓包实现对Gmail等邮箱的劫持(sidejacking)
【下载】
WinPcap 4.0.2 最新稳定版本,强大的网络驱动程序

简单回溯步骤:
1、下载安装Winpcap
2、将打包文件释放到目录中,命令行模式进入该目录
3、ferret.exe -W 参数选择使用哪块网卡进行嗅探
4、ferret.exe -i 网卡序号 开始嗅探
5、启动hamster.exe
6、在浏览器中设置代理服务器 地址为 127.0.0.1:3128
7、用浏览器访问 http://hamster
8、刷新后等抓到内容,点击就可以立即劫持。

This entry was posted in Technology and tagged , , , . Bookmark the permalink. 8,197 views

Related Posts

One Response to 黑帽大会:用hamster在无线网中通过ferret抓包实现对Gmail的劫持(sidejacking)

  1. zhongl says:

    经验证ferret.exe无论使用有线网卡还是无线网卡都无法抓取到局域网中其他主机的数据包,再者据我所知,wincap只支持有线网

    卡,在无线网卡上收取数据会有问题,我用的版本是4.11.
    在使用ferret.exe过程中经查看arp缓存,发现ferret.exe没有使用ARP的MITM,所以不知道ferret.exe到底是通过什么方式来实现

    “局域网中”其他主机的数据包抓取的?
    另外,楼主能说明一下试验具体的环境是什么吗?
    [reply=pop,2010-02-27 07:44 PM]我也只是转载了一下,没有亲自测试,请谅解。[/reply]

Leave a Reply

Your email address will not be published. Required fields are marked *