0x01 实验准备
实验原理:
DNS欺骗就是攻击者冒充域名服务器欺骗用户。
利用Cobalt Strike搭建“钓鱼”网站,ettercap工具实现DNS欺骗。在同一局域网内,目标用户访问http://www.icloud.com时,会解析到攻击者IP,即目标用户此时访问的是攻击者克隆的网站。
实验工具:
- ettercap
- Cobalt Strike
实验环境:
- 靶机(Windows)
- 攻击机(kali,IP:192.168.233.129)并与靶机处于互能ping通状态。
0x02 实验步骤
一、DNS欺骗
1. 在攻击机上找到etter.dns 文件并创建一个伪造的DNS:
编辑文件命令:vi /etc/ettercap/etter.dns
添加DNS解析,将域名解析到攻击机IP:域名 A 攻击机IP
2. 启动攻击机上的apache服务,为克隆网站做准备。![在这里插入图片描述](https://img-blog.csdnimg.cn/2020092723383122.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0dHX2lpaQ==,size_16,color_FFFFFF,t_70#pic_center)
3. 在攻击机上使用ettercap -G命令以图形模式,打开ettercap工具;并选择网卡接口,默认即可:![在这里插入图片描述](https://img-blog.csdnimg.cn/20200927233846610.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0dHX2lpaQ==,size_16,color_FFFFFF,t_70#pic_center)
4. 启动后,先点击 hosts -> hosts list,再搜索存在的目标:![在这里插入图片描述](https://img-blog.csdnimg.cn/20200927233912527.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0dHX2lpaQ==,size_16,color_FFFFFF,t_70#pic_center)
5. 发现靶机IP在结果列表中,选择攻击对象:![在这里插入图片描述](https://img-blog.csdnimg.cn/202009272339304.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0dHX2lpaQ==,size_16,color_FFFFFF,t_70#pic_center)
6. 添加成功后,Targets的Target1会出现目标IP:![在这里插入图片描述](https://img-blog.csdnimg.cn/2020092723394177.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0dHX2lpaQ==,size_16,color_FFFFFF,t_70#pic_center)
7. 点击Plugins -> Manage the plugins,选择 dns_spoof 嗅探模块:![在这里插入图片描述](https://img-blog.csdnimg.cn/20200927233953888.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0dHX2lpaQ==,size_16,color_FFFFFF,t_70#pic_center)
8. 当靶机ping www.icloud.com时会解析到攻击机IP,访问www.icloud.com时会跳转到攻击者搭建的网站上。![在这里插入图片描述](https://img-blog.csdnimg.cn/20200927234017318.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0dHX2lpaQ==,size_16,color_FFFFFF,t_70#pic_center)
二、搭建 “钓鱼” 网站
与 Cobalt Strike 结合,利用Cobalt Strike 搭建 “钓鱼” 网站,ettercap工具实现DNS欺骗。所以当靶机浏览www.icloud.com时会解析到 192.168.233.129(攻击机)上 Cobalt Strike 克隆的www.icloud.com网站。
1. 关闭apache服务![在这里插入图片描述](https://img-blog.csdnimg.cn/20200927234028202.png#pic_center)
2. 搭建 “钓鱼” 网站,首先需要使用 Cobalt Strike工具搭建团队服务器:
命令:./teamserver 团队服务器IP 团队服务器密码