DNS欺騙並與Cobalt Strike結合構建釣魚網站實驗

0x01 實驗準備

實驗原理：

DNS欺騙就是攻擊者冒充域名伺服器欺騙使用者。
利用Cobalt Strike搭建“釣魚”網站，ettercap工具實現DNS欺騙。在同一區域網內，目標使用者訪問http://www.icloud.com時，會解析到攻擊者IP，即目標使用者此時訪問的是攻擊者克隆的網站。

實驗工具：

1. ettercap
2. Cobalt Strike

實驗環境：

1. 靶機（Windows）
2. 攻擊機（kali，IP：192.168.233.129）並與靶機處於互能ping通狀態。

0x02 實驗步驟

一、DNS欺騙

1. 在攻擊機上找到etter.dns 檔案並建立一個偽造的DNS：

編輯檔案命令：vi /etc/ettercap/etter.dns
新增DNS解析，將域名解析到攻擊機IP：域名 A 攻擊機IP

2. 啟動攻擊機上的apache服務，為克隆網站做準備。

3. 在攻擊機上使用ettercap -G命令以圖形模式，開啟ettercap工具；並選擇網路卡介面，預設即可：

4. 啟動後，先點選 hosts -> hosts list，再搜尋存在的目標：

5. 發現靶機IP在結果列表中，選擇攻擊物件：

6. 新增成功後，Targets的Target1會出現目標IP：

7. 點選Plugins -> Manage the plugins，選擇 dns_spoof 嗅探模組：

8. 當靶機ping www.icloud.com時會解析到攻擊機IP，訪問www.icloud.com時會跳轉到攻擊者搭建的網站上。

二、搭建 “釣魚” 網站

與 Cobalt Strike 結合，利用Cobalt Strike 搭建 “釣魚” 網站，ettercap工具實現DNS欺騙。所以當靶機瀏覽www.icloud.com時會解析到 192.168.233.129（攻擊機）上 Cobalt Strike 克隆的www.icloud.com網站。

1. 關閉apache服務

2. 搭建 “釣魚” 網站，首先需要使用 Cobalt Strike工具搭建團隊伺服器：

命令：./teamserver 團隊伺服器IP 團隊伺服器密碼

3. 連線 Cobalt Strike 客戶端，設定Host、Port、User及Password：

4. 選擇Attacks -> Web Drive-by -> Clone Site(克隆網站-可記錄受害者提交的資料)：

5. 設定克隆的www.icloud.com網站作為“釣魚”網站：

6. 實驗成功，當目標使用者訪問192.168.233.129（攻擊者IP）或者www.icloud.com時，都顯示為克隆頁面：