欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

终极会话劫持工具SSClone

程序员文章站 2022-07-01 08:48:09
文/图 刘志生         继httphijack以来,cncert又一巨作终于面世,它就是Switch S...

文/图 刘志生
         继httphijack以来,cncert又一巨作终于面世,它就是Switch Session Clone。SSClone是基于无MAC欺骗的会话复制软件,可完全无痕迹实现会话劫持,可过任何ARP防火墙,亦可工作于IP/MAC双向绑定的交换环境中。它是一款绿色软件,需要.net Framework2.0的运行环境,没有安装.net2.0的,请先安装.net环境,或者使用集成.net版本的SSClone。
下面我就演示一下如何用它来劫持Gmail和QQ两大邮箱,当然,它的功能不仅仅是进入别人的邮箱,而是可以复制任何的HTTP会话。
         启动SSClone之后,我们先进行如下的简单设置。
1)设置网卡。如果本机含有多块网卡或者IP的话,需要选择主机的网卡和子网掩码。程序会自动探测出相应的主机IP和网关IP以及MAC地址。
2)选择数据Sniffer模式。SSClone共有两种模式,大于5台主机可使用passive模式,小型网络和测试建议使用active模式。两种模式的主要区别就是passive模式在劫持到数据之后不主动恢复链路,网络会自动恢复,这样可以减少本机的发包量。
3)设置Packet/s,此参数为发包率。设置越大,监听到的信息越多,同时也会造成网络流量的增加。此参数也可不设置,因为在一次会话过程中,会有很多次的请求,只要截获其中的一次请求的数据,就可获得被劫持者的身份,所以,我们不需要设置过大的发包率。
4)设置Proxy Host。也可不设置。如果选择Proxy Host可进一步提高隐藏性(本功能为高级功能,即使不选,任何防火墙也无法监控到)。首先点击Scan按钮,扫描出网络中的主机,然后选择相应的主机,即可成功设置proxy。
5)设置Use Pcap。在SSClone的右下角有个API Mode,双击可以修改为pcap模式。pcap模式依赖选择的网卡,该模式可将session设置到外部浏览器,推荐使用默认的API模式,当API模式拾取session失败时可尝试pcap模式。
全部设置完成后,结果如图1所示,之后点击“Start”按钮即可开始监听。注意观察下方的Console窗口,操作的每一步都会有详细的提示。当局域网有人登录Gmail或者QQmail时,会在左方的DomainList列表中以方式显示结果。在URL列表中选择相应的监听到的连接,下方会给出详细的信息,包括Cookie等信息。双击连接即可以相应的身份进入被攻击者的访问页面。至于SSClone更多的高级功能,大家可以查阅软件帮助,自己细细体会即可。

终极会话劫持工具SSClone

图1