Windows 平台下局域网劫持测试工具 – EvilFoca

简介

安全测试工具可能含有攻击性,请谨慎适用于安全教学及学习用途,禁止非法利用!

EvilFoca 是 Windows 环境下基于 .NET FrameWork 的一款轻量级的劫持测试工具。与 BackTrack 和 Kali_Linux 下复杂的命令相比, EvilFoca 更加小巧,轻便,简单,但其效果更加显著高效。

准备工作

Logo:

Logo有点卖萌……

官网: http://www.informatica64.com/evilfoca/

下载: http://www.informatica64.com/evilfoca/download.aspx ( 需要填写邮箱,下载链接会发至邮箱), NET FrameWork

必不可少

下载地址:

http://www.microsoft.com/zh-cn/download/details.aspx?id=21

开始

根据官对 Evil Foca ( Alpha 版本)的介绍

无疑在iPv6网络环境下劫持是最大亮点。 因为网络环境,我们只能在iPv4下进行演示了>_<。

将具体演示局域网内DNS劫持和cookie劫持。

这是新版 EvilFoca 的界面,窗口化带来的是方便,简洁,随之而来的就是因为傻瓜式被喷。

通过菜单 Configuration 下 interface 选择连接类型,以太网或者 wlan 。

这时会自动扫描出局域网内所有的机器 ip 地址和网关,当然你也可以添加 ip ,这里我们以 10.18.43.209 这台机器作为受害者。

以 10.18.43.209 作为受害者, 10.18.43.208 作为攻击者, 10.18.43.254 是网关,10.18.43.204 为本地 Dangerous Page 。

在 MITM iPv4 目录下分别天写网关 GateWay10.18.43.254 和目标 10.18.43.209 ,点击 start, 确定 ARPspoofing 为活动状态。

在 DNS HiJacking 菜单下,填写索要劫持的域名 baidu.com ,和转向的ip10.18.43.204 既是 Dangerous Page , Wildcard 表示劫持所有域名。

此时受害者的机器百度页面已经转向 Dangerous Page , ping 指向 10.18.43.204 。

同样我们也可以只进行 arp 欺骗 , 通过 wireshark 进行抓包分析 , 劫持 cookie 。以上是劫持 qq 数据。

DHCP ACK 污染,可以伪造 DNS 和网关,以本地作为整个局域网网关,需要开启ip 路由,点击 start ,将会截获整个局域网的包,整个局域网将在控制内。

至于 Dos ,只要选择攻击的 ip 即可,所以我们只能呵呵而过。

关于在 iPv6 下测试,作者在 2013 年 Defcon 大会上有所演示

视频: https://www.youtube.com/watch?v=327mt5igHVQ

总结

EvilFoca 虽然图形化操作简单方便,相比较 Linux 下命令式操作,更加适合于初学者,但我们并不局限于单纯的使用,只有配合多种工具才能发挥其最大价值,比如说sslstrip , wireshark , hamster……..

而对于局域网内防御来说,怎么样才能避免被劫持?谨慎连接不安全的局域网,对ssl 证书多加留意,修改正确的 hosts 也可以避免。