HIJACK SCRIPT

Demonstrasi ini melibatkan tiga host: penyerang, korban, dan target.
• penyerang adalah sistem yang digunakan oleh penyerang untuk membajak.
• korban adalah sistem yang digunakan oleh korban untuk koneksi klien telnet ke sistem target.
• target adalah sistem target penyusup yang ingin berkompromi. Ini adalah di mana daemon telnetd sedang berjalan.
Diagram sederhana dari jaringan menunjukkan host attcker dan korban berada di jaringan yang sama (yang dapat ethernet switched dan serangan itu akan tetap bekerja), sedangkan sistem target dapat di mana saja. (Sebenarnya, baik korban atau target bisa di jaringan yang sama sebagai penyerang: tidak masalah.)

Untuk serangan untuk berhasil, korban harus menggunakan telnet, rlogin, ftp, atau non-dienkripsi lain TCP / IP utilitas. Penggunaan kartu SecurID, atau otentikasi lainnya sekunder tanda berbasis berguna sebagai perlindungan terhadap pembajakan, sebagai penyerang hanya bisa menunggu sampai setelah pengguna mengotentikasi, kemudian membajak sesi.
Skenario serangan dapat yang sederhana seperti:

1.       Penyerang: Menghabiskan waktu menentukan alamat IP target dan sistem korban. Menentukan hubungan kepercayaan dapat dengan mudah dilakukan dengan utilitas seperti SATAN, jari, systat, rwho atau menjalankan yang, ps, atau terakhir dari account sebelumnya dicuri (atau terbuka lebar "tamu" gaya)

2.       Penyerang: Menjalankan berburu sebagai root pada menyerang tuan rumah. Menunggu         berburu untuk menunjukkan sesi telah terdeteksi (berburu akan mencatat sesi baru dengan mengubah promptnya dari "->" untuk "*>").

3.        Penyerang: Memulai ARP estafet daemon, mempersiapkan masuk daemon RST untuk digunakan kemudian, menetapkan pilihan untuk mengaktifkan resolusi nama host (untuk kenyamanan).

4.       Korban: Log in untuk menargetkan menggunakan telnet. Berjalan pinus untuk membaca / menulis email

5.       Penyerang: Melihat koneksi baru; daftar koneksi aktif untuk melihat apakah yang satu ini berpotensi "menarik." Jika ya, penyerang dapat menonton sesi (packet sniffing) atau membajak sesi. Memutuskan untuk membajak.

6.       Korban: Melihat cepat baru yang aneh. Mencoba menekan RETURN dan tidak tahu harus berpikir apa. Mencoba web browser dan pemberitahuan bahwa masih bekerja dengan baik (bukan masalah jaringan). Tidak yakin apa yang harus dipikirkan

7.       Penyerang: Menemukan ini adalah sesi pengguna dan memutuskan untuk memberikannya kembali (resynchronizes TCP / aliran IP).

8.       Korban: Melihat prompt untuk penekanan tombol, berikut permintaan, mendapatkan sesi kembali. Bingung, memutuskan untuk masuk ke akun root untuk melihat lebih dekat.

9.       Penyerang: Menyala daemon RST untuk mencegah koneksi baru, menunggu untuk membajak sesi akar

10.   Korban: Menjalankan SSU untuk mendapatkan shell root SecurID dilindungi.

11.   Penyerang: Selesaikan membajak setelah melihat login root.

12.   Korban: Melihat cepat aneh. Mencoba menekan RETURN lagi. Hasil yang sama seperti sebelumnya. Mencoba web browser lagi. Sama saja. Mencoba mendapatkan sesi telnet baru. Gagal. Mencoba ftp. Gagal.

13.   Penyerang: Mengatur backdoor, menonaktifkan sejarah perintah, sesi reset, mematikan daemon RST.

14.   Korban: Akhirnya mendapat sesi baru. Sesi asli sekarang hilang. Menganggap masalah jaringan atau Windows TCP / IP stack korupsi. Reboot sistem dan semuanya kembali ke "normal").

15.   Penyerang: Menunggu sesi admin untuk semua menghilang (pulang untuk malam), kemudian log in menggunakan backdoor baru. Menginstal rootkit (backdoors lebih, sniffer), membersihkan file log.