DNS欺騙並與Cobalt Strike結合構建釣魚網站實驗

GoKing1發表於2020-09-27
DNS網站

0x01 實驗準備

實驗原理:

DNS欺騙就是攻擊者冒充域名伺服器欺騙使用者。
利用Cobalt Strike搭建“釣魚”網站,ettercap工具實現DNS欺騙。在同一區域網內,目標使用者訪問http://www.icloud.com時,會解析到攻擊者IP,即目標使用者此時訪問的是攻擊者克隆的網站。

實驗工具:

  1. ettercap
  2. Cobalt Strike

實驗環境:

  1. 靶機(Windows)
  2. 攻擊機(kali,IP:192.168.233.129)並與靶機處於互能ping通狀態。

0x02 實驗步驟

一、DNS欺騙

1. 在攻擊機上找到etter.dns 檔案並建立一個偽造的DNS:

編輯檔案命令:vi /etc/ettercap/etter.dns
新增DNS解析,將域名解析到攻擊機IP:域名 A 攻擊機IP
在這裡插入圖片描述

2. 啟動攻擊機上的apache服務,為克隆網站做準備。在這裡插入圖片描述
3. 在攻擊機上使用ettercap -G命令以圖形模式,開啟ettercap工具;並選擇網路卡介面,預設即可:在這裡插入圖片描述
4. 啟動後,先點選 hosts -> hosts list,再搜尋存在的目標:在這裡插入圖片描述
5. 發現靶機IP在結果列表中,選擇攻擊物件:在這裡插入圖片描述
6. 新增成功後,Targets的Target1會出現目標IP:在這裡插入圖片描述
7. 點選Plugins -> Manage the plugins,選擇 dns_spoof 嗅探模組:在這裡插入圖片描述

在這裡插入圖片描述

8. 當靶機ping www.icloud.com時會解析到攻擊機IP,訪問www.icloud.com時會跳轉到攻擊者搭建的網站上。在這裡插入圖片描述

二、搭建 “釣魚” 網站

與 Cobalt Strike 結合,利用Cobalt Strike 搭建 “釣魚” 網站,ettercap工具實現DNS欺騙。所以當靶機瀏覽www.icloud.com時會解析到 192.168.233.129(攻擊機)上 Cobalt Strike 克隆的www.icloud.com網站。

1. 關閉apache服務在這裡插入圖片描述
2. 搭建 “釣魚” 網站,首先需要使用 Cobalt Strike工具搭建團隊伺服器:

命令:./teamserver 團隊伺服器IP 團隊伺服器密碼
在這裡插入圖片描述

3. 連線 Cobalt Strike 客戶端,設定Host、Port、User及Password:在這裡插入圖片描述
4. 選擇Attacks -> Web Drive-by -> Clone Site(克隆網站-可記錄受害者提交的資料):在這裡插入圖片描述
5. 設定克隆的www.icloud.com網站作為“釣魚”網站:在這裡插入圖片描述
6. 實驗成功,當目標使用者訪問192.168.233.129(攻擊者IP)或者www.icloud.com時,都顯示為克隆頁面:在這裡插入圖片描述

相關文章