1. 實驗內容
1.1 內容回顧
本週學習內容主要聚焦於Web安全,瞭解了常見的web技術,比如前後端的概念,前端常用語言(如css,html,js等),後端常用語言(c,c++,java,python等等),深入學習了SQL隱碼攻擊的基本原理和實現方式,沒想到透過修改連線提交中的一些看似不起眼的字元,就能對伺服器端造成極大的損害,真的是魔高一尺,道高一丈,攻擊者總能從一些看似不起眼的問題中挖掘出漏洞進行攻擊,所以一定要培養良好的安全意識。
1.2 實驗內容
(1)簡單應用SET工具建立冒名網站
(2)ettercap DNS spoof
(3)結合應用兩種技術,用DNS spoof引導特定訪問到冒名網站。
(4)理解常用網路欺詐背後的原理,提高防範意識,並提出具體防範方法。
2.實驗過程
2.1 任務一:簡單應用SET工具建立冒名網站
攻擊方kali的IP
2.1.1 啟動set工具
SET(Social Engineering Toolkit)是一個基於Python開發的開源社會工程學滲透工具包,主要用於進行社會工程學攻擊。SET工具包提供了一系列的工具和模組,幫助攻擊者透過誘導、說服、恐嚇等方式獲取目標的敏感資訊或執行惡意操作。
首先需要準備開啟可供靶機訪問的網站框架,kali中自帶了Apache2伺服器,首先輸入
sudo vim /etc/apache2/ports.conf
可以看到預設採用80埠,採用Http協議,如果想使用https訪問的話,需要將埠號改為443
下面開啟apache2服務
systemctl start apache2
然後啟動set工具服務
setoolkit
2.1.2 克隆目標網站
啟動set工具之後
可以看到提供瞭如下選擇
(1)Social-Engineering Attacks:社交工程攻擊:建立偽裝成合法網站的釣魚頁面,用於誘騙使用者輸入敏感資訊。
(2)Penetration Testing (Fast-Track):滲透測試(快速通道)
(3)Third Party Modules:第三方模組
(4)Update the Social-Engineer Toolkit:更新社交工程工具包
(5)Update SET configuration:更新SET配置
這裡既然要進行釣魚建立冒名網站,所以選擇 社會工程學攻擊 ,這裡選擇1
可以看到又列出了許多選項
(1)Spear-Phishing Attack Vectors:魚叉式網路釣魚攻擊向量
(2)Website Attack Vectors:網站攻擊向量:網站攻擊向量通常指的是針對網站的攻擊方法,如跨站指令碼攻擊(XSS)、SQL隱碼攻擊、命令注入等,用於竊取資料、篡改網頁內容或執行其他惡意活動。
(3)Infectious Media Generator:感染媒介生成器
(4)Create a Payload and Listener:建立載荷和監聽器
(5)Mass Mailer Attack:批次郵件攻擊
(6)Arduino-Based Attack Vector:基於Arduino的攻擊向量
(7)Wireless Access Point Attack Vector:無線接入點攻擊向量
(8)QRCode Generator Attack Vector:QR碼生成器攻擊向量
(9)Powershell Attack Vectors:PowerShell攻擊向量
(10)Third Party Modules:第三方模組
這裡我們選擇2,進行釣魚網站攻擊向量
可以看到依舊提供了許多選項
(1)Java Applet Attack Method:Java Applet 攻擊方法
(2)Metasploit Browser Exploit Method:Metasploit 瀏覽器漏洞利用方法
(3)Credential Harvester Attack Method:憑據收集器攻擊方法:憑據收集器攻擊方法是一種網路釣魚技術,透過建立偽造的登入頁面或表單來誘騙使用者輸入其使用者名稱和密碼等憑據資訊。攻擊者然後可以使用這些憑據來訪問使用者的賬戶。
(4)Tabnabbing Attack Method:標籤劫持攻擊方法
(5)Web Jacking Attack Method:網站劫持攻擊方法
(6)Multi-Attack Web Method:多重攻擊網頁方法
(7)HTA Attack Method:HTA 攻擊方法
這裡選擇3,選擇克隆一個網站
(1)Web Templates:網頁模板
(2)Site Cloner:網站克隆器:網站克隆器是一種工具,用於複製整個網站的結構、內容和設計,以便進行進一步的分析、修改或作為新網站的起點。
(3)Custom Import:自定義匯入
這裡果斷選擇2,進行網路站點克隆
下來我們需要選擇一個網站進行克隆,這裡我選擇了學校的校園郵箱官網
隨後再目標靶機裡面進入網頁輸入kali的IP
可以看到,成功將學院郵箱官網克隆過來,但注意網址使用的是http,並且IP是kali的IP
在這裡輸入賬號密碼嘗試登入,可以看到Kali端擷取到了資訊,但是密碼是被加密了的,無法看到
至此,任務一完成
2.2 ettercap DNS spoof
Ettercap是一個功能強大的網路嗅探和中間人攻擊工具,主要用於網路安全評估和滲透測試。它支援多種網路攻擊技術,包括ARP欺騙、DNS欺騙、會話劫持等,並且提供了豐富的外掛支援,可以擴充套件其功能。Ettercap可以在多種作業系統上執行,包括Linux、Windows和macOS。
這裡由於特殊原因,重新安裝了一個kali,詳細見 問題與解決 部分
攻擊方kali的IP和資訊
目標靶機的IP和系統資訊
2.2.1 修改kali相關配置
首先這個任務需要接受其他主機的資料包,所以這裡需要把kali的網路卡改為混雜模式
sudo ifconfig eth0 promisc
隨後進入ettercap的DNS表,需要進行一些編輯
vi /etc/ettercap/etter.dns
在檔案末尾新增下面的內容
這裡將百度和B站的域名和攻擊機的IP做了對映,注意這裡填入的IP是kali的IP
2.2.2 啟動並使用ettercap軟體
檢視一下閘道器
route -n
隨後啟動ettercap軟體
ettercap -G
隨後點選右上角的√,進入後選擇三個點,找到Scan for hosts,掃描同一網段下存活的主機,然後點選Hosts List 檢視存活的主機有哪些
可以看目標靶機WIN7 的IP
在之前透過檢視閘道器,直到當前閘道器為192.168.116.2
將閘道器新增至Target 1,將目標靶機新增到Target 2
然後點選MITM,選擇ARP poisoning,點選OK
然後找到工具欄Plugins
選擇Manage plugins
開啟dns_spoof
2.2.3 測試驗證
下面測試在靶機ping 百度和B站的域名
隨後在kali端的日誌是可以看到靶機Ping目標域名的相關資訊的
至此,任務二完成
2.3 結合應用兩種技術,用DNS spoof引導特定訪問到冒名網站
注意,這裡還是需要將網路卡修改為混雜模式的,命令在2.2部分就有
這裡為了方便檢視資訊,選擇較為容易盜取資訊的網站,這裡選擇天翼快遞官網(信安概論課程上曾經使用其進行過抓包)
還是進入ettetcap,修改快取表
vi /etc/ettercap/etter.dns
將天翼快遞官網域名新增到裡面
由於我們需要假冒網站,這裡的域名進行了稍微修改,多新增了一個k,也就是假冒成了www.tykkd.com
然後按照2.1 克隆網站的步驟,克隆天翼快遞官網
隨後按照2.2的步驟,開啟dns欺騙
配置完後,在目標靶機,嘗試ping一下錯誤的域名,www.tykkd.com
可以看哪到,得到的IP地址反而是攻擊機kali的IP
而kali端也能在日誌中看到對應的訊息
隨後嘗試在靶機輸入欺詐的錯誤域名
可以看到返回的結果和原本網站幾乎一模一樣,幾乎做到了以假亂真,但是注意這裡的域名是欺騙域名
看一下源官網是什麼樣子
基本一模一樣,只不過欺詐域名相對於官網多了一個k
有了這樣的經驗,下來可以將克隆的頁面換成天翼快遞官網的登入頁面,來盜取使用者的資訊
使用set工具克隆天翼快遞官網登入介面http://www.tykd.com/User/login/
然後啟動ettercap工具,啟動dns欺騙的步驟和之前一樣
然後輸入使用者資訊,嘗試登入
可以看到Kali端成功獲取到使用者輸入的賬號密碼,竊密成功
2.4 如何防範網路欺詐,提出具體防範方法
連結千萬條,安全第一條
上網不規範,錢包兩行淚
透過此次實驗,不難看出網路詐騙攻擊常常使用以下手段進行釣魚欺騙
-
(1)ARP欺騙:攻擊者透過偽造ARP訊息,將自己的MAC地址與目標IP地址關聯,從而截獲目標裝置的網路流量
-
(2)DNS欺騙:攻擊者透過篡改DNS記錄,將域名解析到惡意的IP地址,從而引導使用者訪問虛假網站。
-
(3)Web欺騙:攻擊者透過建立虛假的網站或篡改現有網站的內容,誘使使用者輸入敏感資訊或下載惡意軟體
當然還有社會工程學攻擊,釣魚郵件簡訊欺騙等等,防不勝防,這更需要我們提高安全意識,保護個人隱私。
-
1.謹慎對待不明連結:不輕易點選不明連結或下載未知來源的附件,尤其是在郵件、社交媒體或簡訊中收到的內容,以防隱私洩露,遭受攻擊。
-
2.注意網站安全:在訪問一些敏感網站(如銀行官網等)時,確保網站的URL以“https”開頭,使用的是安全連線,並檢查網站的證書是否有效,確保網站是得到權威認證的官方網站。
-
3.使用安全工具:使用專業的網路安全工具,如入侵檢測系統(IDS)、反病毒軟體等,可以有效地防範網路詐騙攻擊。這些工具可以監控網路流量,檢測並阻止惡意軟體和網路攻擊。
-
4.提高安全意識:時刻保持警惕,在上網瀏覽的時候儘量不要將個人資訊透露態度,在進行登入等操作的時候,使用強口令,並且不定時需要更換就口令。
-
5.個人教育和培訓:積極參加社會上開展的網路安全培訓和教育活動,瞭解最新的網路詐騙手段和防範方法,鍛鍊“火眼金睛”
-
6.及時更新:及時安裝作業系統和應用程式的安全更新和補丁,可以修復已知的安全漏洞,防止攻擊者利用這些漏洞進行攻擊。
-
7.定期安全審計和漏洞掃描:進行定期的安全審計和漏洞掃描,以檢測系統中的漏洞和安全隱患,並及時修復
-
8.做好檢測管理:建立安全監控和日誌記錄機制,以便及時發現異常活動或潛在攻擊,以便做出及時的反應和應對
3.問題及解決
-
問題1:ettercap中掃描主機後,Host List中不顯示閘道器ip
這個問題我估計使用VMWARE的同學應該不會有,問題主要出在 Virtual box的設定上
在使用virtual box的時候,本來檢視閘道器,結果出現下面的情況
結果出現沒有閘道器!!
這下ettercap工具使用部分的實驗沒法正常進行了。。。
下來就不得不吐槽Virtual box的設定了
在最初virtual box給每個虛擬機器的預設網路卡配置使用 (網路地址轉換“NAT”) ,但是問題就出在這個NAT設定太死板了,每個虛擬機器分配的IP全是10.0.2.15,這就出現虛擬機器能夠正常上網但是虛擬機器之間根本無法互Ping,更別提實施欺騙了。
後來針對這個問題我的解決方案是網路卡使用 _(僅主機網路(Host-only)),這才讓每個虛擬機器之間有了不同的ip
虛擬機器kali的IP
虛擬機器win10的IP
互Ping通的問題解決了,但是對於此次實驗又有一個大問題,就是沒有閘道器。。。
那ettercap工具就無法正常使用了
最初我的結局方案是直接在VMWARE重新安裝一個kali,才有了前面 2.2 部分提出的換了虛擬機器
後來我搜尋了大量資料,發現Virtual box其實也可以手動配置Nat網路,透過這個可以解決IP一樣和沒有閘道器的問題
- 首先在Virtual box的全域性設定找到“網路”選項
- 然後找到“Nat網路”的選項,新建一個新的區域網段NatNetWork
這裡我設定網段為192.168.10.0/24,虛擬機器會預設將地址+1作為閘道器,也是就是現在的閘道器變成了192.168.10.1
然後儲存,將虛擬機器的網路卡設定改為Nat注意不是網路地址轉換(Nat)
然後儲存,並且重啟虛擬機器,然後測試分配是否成功
攻擊機kali的IP
靶機win10的IP
可以看到kali確實被分配了該網段下的一個IP,然後測試是否會出現閘道器
可以看到成功出現了閘道器,而且經測試,各個虛擬機器之間都可以互ping通
然後再使用ettercap工具,掃描網段,看看是否會出現目標靶機(Win10)以及閘道器
很好,這下就可以正常實現dns欺騙了!
注意修改dns快取表
可以看到這下就可以成功實現dns欺騙,繼續進行後面的實驗了!
問題解決
-
問題2:dns欺騙不成功,靶機ping的時候顯示是正常的網站IP
有些同學可能發現在ettercap中開啟了dns_spoof後,靶機解析的域名卻還是正常網站的IP
這個問題也很好解決,這是由於在開啟dns_spoof前就ping過實施欺騙的目標域名,導致靶機將官網正確域名儲存在了本地dns快取之中,所以後面即使開啟dns_spoof後訪問的還是正常的IP,畢竟快取之中已經有了解析出來的IP,就不用再次去解析域名,固然就不會在得到攻擊機的ip
所以我們需要在靶機清空一下dns快取
ipconfig /flushdns
然後再測試是否欺騙成功
可以看到成功欺騙,至此問題解決
4.學習感悟思考等
-
透過此次實驗,讓我深入理解了常見網路欺詐背後的原理,透過實踐製作了假冒釣魚網站,並引誘目標主機輸入個人資訊,從而獲取到個人資訊,確實沒想到實現一個網站欺騙的步驟並不算複雜(準確說是因為有現成的工具使用,才大大簡化了流程),這也反而讓我更加意識到更應該重視上網安全,未知或者可能有安全隱患的連線不能隨便點選,同時上網的時候一定要注意網頁url是否使用安全連線(如https),並且認證網站的證書是否有效,儘可能不要在網頁洩露過多的個人資訊。
-
整體上整個實驗不太複雜,最大的問題也只是在虛擬機器平臺出現的,也算是知道為什麼推薦使用Vmware安全虛擬機器了。。總而言之也是一次透過攻擊反過來提高個人安全意識的實驗,針對網路詐騙一定要鍛鍊“火眼金睛”,保護個人隱私安全。
5. 參考文獻
-
VirtualBox7.0的“網路地址轉換(NAT)
-
使用ettercap進行ARP欺騙攻擊實驗