出品|MS08067實驗室(www.ms08067.com)
本文作者:BlackCat(Ms08067內網安全小組成員)
首先學習DNS劫持之前,務必要了解下DNS是個什么玩意。
DNS(域名系統)
他可以將網站的域名轉換為ip地址。nternet 上的每個設備都被分配了一個 IP 地址,必須有該地址才能找到相應的 Internet 設備 - 就像使用街道地址來查找特定住所一樣。當用戶想要加載網頁時,用戶在 Web 瀏覽器中鍵入的內容(example.com)與查找 example.com 網頁所需的機器友好地址之間必須進行轉換。
DNS劫持:
DNS劫持又稱域名劫持,是指在劫持的網絡范圍內攔截域名解析的請求,分析請求的域名,把審查范圍以外的請求放行,否則返回假的IP地址或者什么都不做使請求失去響應,其效果就是對特定的網絡不能訪問或訪問的是假網址。這里如果不懂的話,可以自己搭建一個DNS服務器,配置一個屬於自己的域名。
A類解析是在告訴域名系統,“xxx.xxxx.xxx ”的IP地址是“xxx.xx.xx.xxx”
A事件是綁定IP的,一般的DNS劫持,都是被修改的這個位置,所以 當你搜索百度的域名,
會跳轉到其他的頁面,就是這里A事件被修改,解析頁面被指向其他的頁面。
首先 我們需要寫好我們的惡意網站,一般都結合CS或者MSF捆綁馬使用,提示更新軟件或者下載安全更新,這里用我之前搭建的flash釣魚頁面 :
當dns劫持后,無論他打開什么頁面都會提示這個頁面。下面配置開始。
下面要用到一個新的工具:Ettercap
Ettercap
EtterCap是一個基於ARP地址欺騙方式的網絡嗅探工具,主要適用於交換局域網絡。借助於EtterCap嗅探軟件,滲透測試人員可以檢測網絡內明文數據通訊的安全性,及時采取措施,避免敏感的用戶名/密碼等數據以明文的方式進行傳輸。ettercap幾乎是每個滲透測試人員必備的工具之一(就下面的這個蟲子)。
首先第一步就是要配置 Ettercap的DNS解析,把 A記錄更改為我們偽造頁面的IP上
位置為:/etc/ettercap/etter.dns
然后 啟動 Ettercap
ettercap -G #- G 是圖形化頁面。
然后先選擇網卡,怎么選擇根據你當前的網絡連接狀態去選擇,如果你的當前網絡是是通過網線連接那么就選擇你的物理網卡,如果是通過Wi-Fi那就選擇你的無線網卡,這里是虛擬機環境,所以我選擇我的eth0 網卡。
列出主機列表:
然后下一步是掃描當前網絡的地址:
這里我開了一台win10虛擬機當靶機,地址為 192.168.93.4
接着我們把受害者的機器加入到target1中,將網關加入到target2中,用於對這兩台機器進行arp欺騙。
如果想復查target的設置,快捷鍵 ctrl + T,可以進行更改刪除操作。
下一步開啟arp欺騙,Mitm-> poisoning ,彈出框選擇,Sniff Remote Connections,嗅探遠程的連接,將目標主機的流量都欺騙過來。
此時我們已經冒充好了網關,冒充的方式就是arp欺騙,接下來我們要冒充dns
Plugins -> Manage the plugins列出所有插件。然后選擇 dns_spoof
選擇后 右鍵 activate 開啟攻擊,開啟后模塊左側會多出來個*
然后去靶機上測試 ,輸入百度。
實驗初步成功,然后就等待他下載flash自解馬即可,他要是不下載窗口就不關閉,所以這里我們可以隨時觀測下CS的上線情況,一旦發現他上線,我們這邊就關閉dns劫持和arp欺騙,進行CS上線后的操作。
轉載請聯系作者並注明出處!
Ms08067安全實驗室專注於網絡安全知識的普及和培訓。團隊已出版《Web安全攻防:滲透測試實戰指南》,《內網安全攻防:滲透測試實戰指南》,《Python安全攻防:滲透測試實戰指南》,《Java代碼安全審計(入門篇)》等書籍。
團隊公眾號定期分享關於CTF靶場、內網滲透、APT方面技術干貨,從零開始、以實戰落地為主,致力於做一個實用的干貨分享型公眾號。
官方網站:https://www.ms08067.com/
掃描下方二維碼加入實驗室VIP社區
加入后邀請加入內部VIP群,內部微信群永久有效!
