参考:
https://blog.csdn.net/qq_40650378/article/details/86768844
https://blog.csdn.net/weixin_43940853/article/details/100670974
克隆网站:
使用kail中的httrack可以克隆任何网站
命令为:
httrack 目标网址 -O(大写o) 存放文件路径
比如克隆百度:
在我指定的文件夹下就已经出现百度的相关文件:
当然,也可以直接在命令行里输入httrack,根据向导来进行下一步
1镜像网站
2带有向导的镜像网站
3只需显示文件
4镜像URL中的所有链接(多个镜像)
5.URL中的5个测试链接(书签测试)
回车即可
当然,对于一些加了防火墙或者某些专业工具的网站,我们无法克隆,并且还有可能被记录攻击者ip
定义:
dns欺骗:
dns解析采取就近原则,意思是说谁能先帮我解析我就听谁的。给你解析一个假的ip就是欺骗。例如本来www.baidu.com 对应ip是202.16.25.78 ,你在本地架设一个dns服务器将www.baidu.com 解析为192.168.100.2 ,。
dns解析先通过本机的host文件解析,如果不能解析,就让最近的dns服务器解析 。
arp欺骗:
主机C的arp表没有网关A的信息时就会广播问谁的地址是A,这时候所有的局域网主机都会收到这条广播,此时B回应说自己是主机A,并将自己的mac地址回应给主机C,这样就刷新了C的arp表,C的qrp表中的信息就变成了A的ip,B的mac地址;
而交换机根据mac地址发送数据,将原本发给A的数据,发给了B;所以,此时的主机B不仅欺骗自己是A,还欺骗C说自己是B;
arp协议:
主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行
通过在终端输入netdiscover获取到当前目标IP
当然也可以直接使用ettercap来获取:
ettercap -G
打开ettercap,当然也可以手动打开
记得先开启apache:/etc/init.d/apache2 start
进行arp欺骗和dns拦截,命令如下
ettercap -Tq -i eth0 -M arp:remote -P dns_spoof /192.168.91.144// /192.168.91.2//
当然也可以用图形化界面:
sniff—>unified sniff—>hosts—>scan for hosts—>hosts list
192.168.91.141为被攻击机
192.168.91.2为被攻击机的网关
192.168.91.136为攻击者主机
首先,被攻击机ping www.anquanke.com是ping不通的
这说明正常,还未被攻击
访问也是正常的
在进行攻击前,先打开攻击机的终端
输入:vi /etc/ettercap/etter.dns
添加:域名 A 攻击者ip
通过克隆网页克隆下来后,放到/var/www/html里面
启动apache服务:
/etc/init.d/apache2 start
在host list将网关添加到target2,target1添加攻击机ip;也可不添加,默认攻击所有网段内符合条件的ip;
之后选择Mitm—>ARP poisoning
再:Plugin->Manege the plugins ----> dns_spoof
一定要在dns劫持前启动apache2,开始dns劫持
然后点击开始嗅探,被攻击机再访问www.anquanke.com时网页变成了我们克隆的网页
由于克隆得不完整,容易看出异常,但是如果克隆得完整,就几乎看不出什么异常,就会很轻易得被arp欺骗
smirking师傅说的:(win7恢复访问的话要使用 ipconfig /flushdns 更新缓存)