来自仿冒万能钥匙的DNS劫持

最新推荐文章于 2022-09-26 16:35:21 发布
最新推荐文章于 2022-09-26 16:35:21 发布
阅读量545 收藏
点赞数
分类专栏: 病毒分析 文章标签: 手机病毒 手机安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37913004/article/details/105579763
版权

1.样本信息

MD5:64490FBECEFA3FCDACD41995887FE510
包名:com.snda.wifi
应用名:万能钥匙
安装图标:
安装图标
关联样本安装图标:
关联样本安装图标

2.样本描述

该样本使用e4a框架进行快速开发,仿冒成热度较高的应用百度wifi万能钥匙诱骗用户进行下载安装,该样本启动运行后会设置静态ip,将网关设置成wifi连接后,获取当前设备的BSSID及SSID等,将网络状态信息上传到http://www.dochtm.com(现已失效),使用之前已保存的密码连接到wifi后,使用js获取当前界面id等信息进行模拟点击登录,同时尝试使用字典对路由器密码进行爆破,当成功登录后,修改dns为恶意dns,这样以来,同网段连入接到wifi的设备都会遭到dns劫持,造成一定的风险性。

3.样本详细分析

基于e4a框架,自行开发wifi万能钥匙部分功能。
在这里插入图片描述
注册广播监视网络变化状态
在这里插入图片描述
当点击开启开关on事件时,执行以下操作
在这里插入图片描述
自定义图标
获取当前网段的BSSID及SSID在这里插入图片描述
设置静态ip,将网关设置成wifi连接。
在这里插入图片描述
使用伪造的数据访问万能钥匙
在这里插入图片描述
当成功将dns设置为101.200.147.153时,尝试用常见的用户名及密码进行破解,将字符串进行切割,得到当前密码并输出,最终跳转到对应的路由器登录界面。
在这里插入图片描述
设置多个时钟事件每隔1000毫秒运行函数,使用js获取当前页面的TagName及密码框提交等按钮的id,模拟点击尝试自动提交用户名,密码登录。
在这里插入图片描述
当dns101.200.147.153时,发送信息到主控地址http://www.dochtm.com/user/dtj.php?mac=当前mac地址。
在这里插入图片描述
登录成功后自动填写dns1为101.200.147.153,dns2为8.8.8.8。后续对流量进行劫持,使得经过该路由器的流量被劫持到了恶意dns服务器。
在这里插入图片描述
现该主控地址已失效,已被修改为球赛竞猜的站点
在这里插入图片描述

4.Pocs

恶意dns:
101.200.147.153
112.33.13.11
120.76.249.59
主控url:
http://www.dochtm.com(现已失效)

furrr_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DNS劫持如何处理?
m0_62063669的博客
08-04 6649
DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。转,接着DNS将域名解析成IP,找到服务器后服务器会发送内容给用户,接着再由路由。DNS一旦出现了差错,就会无法把域名解析成为正确的IP地址,我们自然也无法访问到。从用户点击鼠标、敲下回车,到网页显示,信息首先会通过浏览器发送,然后经路由中。正确的页面,打开的目标网站不是原来的内容,反而跳转到了未知的页面,即使终端用。...
最全国内13家DNS分享 解决网页被恶意跳转或无法打开问题
最新发布
wing_77的博客
07-27 1764
Yeti DNS 是由 WIDE、TISF 和 BII 发起的一个针对 IPv6 的互联网公益 DNS 项目。该项目目前主要提供 IPv6 服务。腾讯 DNS 是由 DNSPod 提供的公共免费 DNS 服务。百度 DNS 是由中国最大的搜索引擎百度提供的公共 DNS 服务。CNNIC DNS 是由中国互联网信息中心提供的免费公共 DNS 服务,同时支持 IPv4 和 IPv6。阿里 DNS 是由阿里巴巴提供的 DNS 服务。阿里 DNS 提供了 IPv4、IPv6 DNS 和 DoT/DoH 服务。
免费公共DNS的IP地址
xingyunqi7的博客
08-31 1万+
1、114DNS: 114.114.114.114 114.114.115.115 2、腾讯(DNSPOD)DNS: 119.29.29.29 119.28.28.28 3、百度DNS: 180.76.76.76 4、阿里DNS: 223.5.5.5 223.6.6.6 5、SDNS(CNNIC) DNS: 1.2.4.8 210.2.4.8 6、360(DNS派)DNS: 电信、移动、...
路由器显示DNS服务器异常,路由器dns异常怎么办
热门推荐
weixin_36450434的博客
08-05 2万+
路由器能将不同网络或者网段之间的数据信息根据路由选择协议进行选择而实现转发,成为了最重要的网络互连设备之一。那么你知道路由器dns异常怎么办吗?下面是学习啦小编整理的一些关于路由器dns异常的相关资料,供你参考。路由器dns异常的解决方法一:设置固定的DNS1,首先我们需要打开电脑中的控制面板功能,然后在里面找到网络和intetnet选项这个分类,然后在这个分类下点击进入,选择查看网络连接。2,打...
DNS欺骗的艺术 | 域名劫持和网页挂马
尼泊罗河伯的博客
09-26 1808
DNS 全称 Domain Name System ,中文名称为域名系统。DNS 欺骗是攻击方篡改域名解析结果,将指向到此域名的IP地址修改为攻击方指定的 IP 地址。因为 DNS 协议存在设计缺陷,在 DNS 报文中只使用一个序列号来进行有效性鉴别,并未提供其它的认证和保护手段,这使得攻击者可以轻松监听到查询请求数据,并伪造 DNS 应答包给 DNS 客户端,从而实现 DNS 欺骗攻击。
【Hackintosh】IVY CPU仿冒Haswell方法
12-21
【Hackintosh】 IVY CPU仿冒Haswell方法; 以及测试方法。
搜索引擎在仿冒网站检测中的应用
05-24
本文是本人在研究生课程《搜索引擎技术详解》中的课程报告,临近毕业在整理学业资料的时候将报告整理出来,希望给对于需要的人提供一个参考。
Attacking the DNS Protocol
04-28
攻击DNS可以达到多种目的,如分布式拒绝服务(DDoS)、数据篡改、流量劫持等。 典型的DNS攻击手段包括缓存投毒(Cache Poisoning),其原理是利用DNS解析过程中的信任机制,向DNS服务器发送伪造的域名解析记录,使...
仿冒声卡Config data vba 生成工具
08-25
在IT领域,尤其是在硬件驱动程序开发和音频系统配置中,"仿冒声卡Config data vba 生成工具"是一个特定的实用程序,主要用于处理非原厂或非标准的声卡设备。这个工具利用VBA(Visual Basic for Applications)编程...
网页仿冒
03-03
【网页仿冒】是一种网络欺诈行为,通常涉及创建与合法网站相似的虚假页面,目的是诱骗用户泄露个人信息,如登录凭据、信用卡信息或其他敏感数据。这种攻击方式被称为"网络钓鱼",因为攻击者像钓鱼者一样,用虚假的...
全国电信通用DNS地址
04-27
全国电信通用DNS地址,各各省的通用DNS地址,很详细,很方便。
目前可用的通用DNS
云上
08-31 1万+
目前可用的DNS有 Google DNS 8.8.8.8 8.8.4.4 诺顿 DNS 198.153.194.1 198.153.192.1 Open DNS 208.67.222.222 208.67.220.220 教育网段IP
Ettercap实现局域网dns劫持
chaojixiaojingang
08-10 7448
      今天无意中看到一个同学写的关于Ettercap实现局域网dns劫持,感觉写的很好玩,也想学学,接下来我就把学习的成果展现出来。 环境准备: 1.kali2.0操作系统; 2.用到的软件:kali中的Ettercap,一个集成工具,里面包括了局域网主机扫描,arp欺骗,DNS劫持等功能; 3.受害PC:自己的虚拟机中的系统centos。 原理 DNS,全称为域名解析协议,是一种将域名...
DNS扫盲系列之一:有关公网DNS
charleslei的专栏
11-15 8246
公网DNS服务器是直接服务于广大上网用户的,负责域名(域名记录)到IP地址之间的翻译工作。公网DNS通常是各个网络运营商按照自己的网络分布规划DNS的分布,一般做法是按行政区域放置,如按省份放置。每个省份内也有细分在各地区放置的情况。    近几年来细心的网友会发现上网时如果打错了URL地址(或干脆莫名其妙)会访问到114网站或百度等网站。今天我画了一个简单的图表简要说明一下原因。
伪造WiFi如何欺骗你的手机
weixin_34417814的博客
08-23 1313
经常有白帽子跟宅客君说,只要你开着WiFi,我就有办法拿到你手机的敏感信息。作为演示,他们经常可以(在未见过的情况下)直接说出手机品牌,并给出一些敏感文件的信息。 他们利用的是一种“伪造WiFi”的技术,也可以称之为“蜜罐网络”。 简单来说,就是搭建一个手机曾经连过的WiFi,比如无密码的“CMCC”、密码是“pass”的“WiFi”。手机发现...
给你个万能的DNS
weixin_33728268的博客
11-28 761
现在很多地方的电信都在你打开网页的时候,页面请求DNS域名解析那一步,给你解析出来一个广告页面(比如网通、电信、移动或者你所在地门户网站之类大站点的广告),特别是使用了各种广告间谍软件甚至手动检查都没有发现问题,而且你使用任何浏览器(IE核心的或者FireFox、Opera)都是一样,然后过几秒重定向到你访问的页面(访问论坛而且又使用cookies就比较麻烦了,这个时候会显示你没...
dns劫持如何完美修复?dns劫持如何解决如何完美修复
douya0012的博客
01-06 1992
dns劫持怎么办 有必要修正路由器设置。 1、首要登陆路由器的设置页面,办法是翻开浏览器,然后在网址栏里输入192.168.1.1,然后按回车键,承认翻开,之后会弹出登录界面,输入用户名和暗码,(默许用户名和暗码均为admin,如果之前有修正,请以修正的为准)。 2、输入完路由器用户名与暗码,点击底部的承认,即可登录路由器管理界面了,然后咱们再点击左边“网络参数”展开更多设置,之后即可看到“WAN口设置”选项了,咱们再点击左边的WAN口设置能够显现当时拨号衔接的状况 3、如上图,咱们再点击路由器WAN口设置
dns劫持了怎么处理 5种方法教你处理
douya0012的博客
12-29 2万+
域名dns劫持怎么办?应该怎么处理呢?域名DNS劫持,第一时间联系服务商,查询DNS是否正确,其次检查网站是否被挂马,导致出现劫持问题等。域名dns劫持怎么办?下面有简单的5钟方法,你可以试试。 首先我们来说下什么是域名DNS劫持? 我们在上网过程中都有遇到过网页莫名跳转这些情况,打开的目标网站不是原来的内容,反而跳转到了未知的页面,即使终端用户输入正确的网址也会被指向跳转至那些恶意网站,或者本来能正常访问的页面,突然就打不开了,这就是DNS劫持,亦可称域名劫持。 1、肯定优先联系自己服务商,确认DN
Android动态View(仿万能钥匙信号检测View)的实现
yuchenfw的博客
06-08 578
实现类似万能钥匙信号检测View,主要在于图片旋转的控制,而图片的旋转等操作则离不开Matrix。 本篇充分利用的Matrx的各种变换,以实现动态旋转的view。 先上效果图: 一、 实现动态旋转指示的主要过程如下: (1)计算缩放倍数、旋转角度,使相关图片调整到设置大小 注意:指针、背景、指示表的中心 其中主要涉及到的Matrix的使用: //缩...
网络私接仿冒检测如何做的
03-22
网络私接仿冒检测可以通过以下几种方式实现: 1. 基于特征的检测:通过对网络流量、应用程序、文件等进行特征提取,来检测是否存在私接仿冒行为。 2. 基于行为的检测:通过对网络中的行为进行分析,来检测是否存在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值