Windows 平台下區域網路劫持測試載入器 – EvilFoca

標籤：ssl   src   視頻   dos   mitm   frame   wlan   png   tps   

簡介

安全性測試工具可能含有攻擊性，請謹慎適用於安全教學及學慣用途，禁止非法利用！

EvilFoca是Windows環境下基於.NET FrameWork的一款輕量級的劫持測試載入器。與BackTrack和Kali_Linux下複雜的命令相比，EvilFoca更加小巧，輕便，簡單，但其效果更加顯著高效。

準備工作

Logo:

Logo有點賣萌……

官網：http://www.informatica64.com/evilfoca/
下載：http://www.informatica64.com/evilfoca/download.aspx （需要填寫郵箱，下載連結會發至郵箱），NET FrameWork必不可少
：http://www.microsoft.com/zh-cn/download/details.aspx?id=21

開始

根據官對Evil Foca（Alpha版本）的介紹

1.    在iPv4環境下，通過ARP欺騙和DHCP ACK注入進行中間人攻擊2.    在iPv6環境下，通過鄰網欺騙，SLAAC攻擊，偽造DHCPv6進行中間人攻擊3.    iPv4下，通過ARP欺騙進行Dos攻擊4.    iPv6下，通過SLLAAC攻擊進行Dos5.    DNS劫持

無疑在iPv6網路環境下劫持是最大亮點。
因為網路環境，我們只能在iPv4下進行示範了>_<。

將具體示範區域網路內DNS劫持和cookie劫持。

這是新版EvilFoca的介面，視窗化帶來的是方便，簡潔，隨之而來的就是因為傻瓜式被噴。 

通過菜單Configuration下interface 選擇連線類型，乙太網路或者wlan。

這時會自動掃描出區域網路內所有的機器ip地址和網關，當然你也可以添加ip，這裡我們以10.18.43.209這台機器作為受害者。

以10.18.43.209作為受害者，10.18.43.208作為攻擊者，10.18.43.254是網關，10.18.43.204為本地Dangerous Page。 

在MITM iPv4目錄下分別填寫網關GateWay10.18.43.254和目標10.18.43.209，點擊start,確定ARPspoofing為活動狀態。

在DNS HiJacking菜單下，填寫索要劫持的網域名稱baidu.com，和轉向的ip10.18.43.204既是Dangerous Page，Wildcard表示劫持所有網域名稱。

此時受害者的機器百度頁面已經轉向 Dangerous Page，ping指向10.18.43.204。

同樣我們也可以只進行arp欺騙,通過wireshark進行抓包分析,劫持cookie。以上是劫持qq 資料。 

DHCP ACK汙染，可以偽造DNS和網關，以本地作為整個區域網路網關，需要開啟ip路由，點擊start，將會截獲整個區域網路的包，整個區域網路將在控制內。

 

至於Dos，只要選擇攻擊的ip即可，所以我們只能呵呵而過。

關於在iPv6下測試，作者在2013年Defcon大會上有所示範

視頻：https://www.youtube.com/watch?v=327mt5igHVQ

總結

EvilFoca雖然圖形化操作簡單方便，相比較Linux下命令式操作，更加適合於初學者，但我們並不局限於單純的使用，只有配合多種工具才能發揮其最大價值，比如說sslstrip，wireshark，hamster……..

而對於區域網路內防禦來說，怎麼樣才能避免被劫持？謹慎串連不安全的區域網路，對ssl認證多加留意，修改正確的hosts也可以避免。

Windows 平台下區域網路劫持測試載入器 – EvilFoca