实验报告
一、实践目标
理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法
二、实践原理
SET工具
-
SET是一个开源的、Python驱动的社会工程学渗透测试工具。
-
利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身存在的弱点。
-
使用SET可以传递攻击载荷到目标系统,收集目标系统数据,创建持久后门,进行中间人攻击等。
功能:
Select from the menu: 1) Social-Engineering Attacks //社会工程学攻击 2) Penetration Testing (Fast-Track) //快速追踪渗透测试 3) Third Party Modules //第三方模块 4) Update the Social-Engineer Toolkit //更新软件 5) Update SET configuration //升级配置 6) Help, Credits, and About //帮助信息
ettercap
-
ettercap是一个基于ARP地址欺骗方式的网络嗅探工具。
-
利用计算机在局域网内进行通信的ARP协议的缺陷进行攻击,在目标与服务器之间充当中间人,嗅探两者之间的数据流量,从中窃取用户的数据资料。
-
具有动态连接嗅探、动态内容过滤和许多其他有趣的技巧。
-
支持对许多协议的主动和被动分析,并包含许多用于网络和主机分析的特性。
-
主要适用于交换局域网络,借助于etterCap嗅探软件,渗透测试人员可以检测网络内明文数据通讯的安全性,及时采取措施,避免敏感的用户名/密码等数据以明文的方式进行传输。
-
ettercap有两种运行方式,
UNIFIED和BRIDGED:-
UNIFIED的方式是以中间人方式嗅探,基本原理是同时欺骗主机A和B,将自己充当一个中间人的角色,数据在A和B之间传输时会通过C,C就可以对数据进行分析,从而完成嗅探。 -
BRIDGED方式是在双网卡情况下,嗅探两块网卡之间的数据包。
-
apache2
systemctl start apache2
systemctl status apache2
systemctl stop apache2
三、基础问题回答
1——通常在什么场景下容易受到DNS spoof攻击
-
同一局域网下
-
各种公共网络
2——在日常生活工作中如何防范以上两攻击方法
-
不要随便使用没有安全保障的公共网络
-
打开网页的时候,注意查看网址是否被篡改
-
使用入侵检测系统,可以检测出大部分的DNS欺骗攻击
-
不连陌生且不设密的公共WiFi,给黑客机会
-
直接使用IP地址访问,对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析
四、实践内容
1——简单应用SET工具建立冒名网站
实验中需要使用http服务,因此需要使用到80端口。在kali中使用 netstat -tupln |grep 80 命令查看80端口是否被占用。如果有,使用 kill+进程号 杀死该进程。
由于要将钓鱼网站挂在本机的http服务下,所以需要将SET工具的访问端口改为默认的80端口。使用 sudo vi /etc/apache2/ports.conf 命令修改Apache的端口文件,将端口改为80,如下图所示:
使用 systemctl start apache2 开启Apache服务,再通过 systemctl status apache2 查看Apache服务的状态,是running:
输入 sudo setoolkit 打开SET工具:
选择 1:Social-Engineering Attacks 即社会工程学攻击
选择 2:Website Attack Vectors 即钓鱼网站攻击向量
选择 3:Credential Harvester Attack Method 即登录密码截取攻击
选择 2:Site Cloner 进行克隆网站
输入攻击机IP:192.168.81.129,即Kali的IP
输入被克隆网站url:https://www.huaweicloud.com/
在提示后输入键盘 enter,提示“Do you want to attempt to disable Apache?”,选择 y
在靶机的浏览器中输入攻击机的IP: 192.168.81.129 ,即可看到被克隆的网页,kali中也可看到相应反馈。
为了起到迷惑靶机的作用,我们将靶机IP伪装成一串地址URL Shortener https://vurl.com/k6VL6
在靶机输入(可能是错误的)用户名zhuyuexin和密码20181234,攻击机可全部获取(改克隆网址为https://www.mosoteach.cn/web/index.php?c=passport&m=index)
2——ettercap DNS spoof
使用 ifconfig eth0 promisc 将kali网卡改为混杂模式
输入命令 vi /etc/ettercap/etter.dns 对DNS缓存表进行修改,如图所示,可以添加几条对网站和IP的DNS记录,图中的IP地址是我的kali主机的IP:
www.mosoteach.cn A 192.168.81.129 www.cnblogs.com A 192.168.81.129
使用 ettercap -G 开启ettercap
在选择好网卡 eth0 后点击 √ 开始监听
在右上角的选择 "Hosts"→"Scan for hosts" 扫描子网
点击 "Hosts"→"Hosts list" 查看存活主机
虚拟机的网关为 192.168.81.2 ,靶机Windows7的IP为 192.168.81.131
将网关的IP添加到target1,将靶机IP添加到target2
点击工具栏中的 "Plugins"→"Manage the plugins"
选择 dns_spoof 即DNS欺骗的插件,双击后即可开启
点击左上角 Start→Start sniffing 开始嗅探,在靶机Win7命令行中输入 ping www.mosoteach.cn 和 ping www.cnblogs.com 会发现解析的地址是攻击机kali的IP(都成功了)
kali端看到反馈信息如下:
3——结合应用两种技术,用DNS spoof引导特定访问到冒名网站
按照任务一的步骤克隆一个登录页面(https://passport2.chaoxing.com/login?loginType=4&fid=1475&newversion=true&refer=http://i.mooc.chaoxing.com),在靶机Win7的浏览器中输入kali的IP http://192.168.81.129/ ,跳转成功
在靶机Win7的浏览器中输入 www.mosoteach.cn ,发现可以成功访问冒名网站,
此时攻击机中ettercap看见一条记录:
靶机在该登录界面输入用户名和密码,发现攻击机这边获取了反馈信息,但不可以看到用户名、密码(显示网页有错)
换一个网址重复上述操作:https://www.zhihu.com/signin?username=&digits=
kali中会看到用户名、密码
五、实践总结与体会
本次实验,学会了使用工具克隆一个假冒网页,还可以将其伪造成一个其他网站来实现欺骗,通过这种方式还可获得账户名密码等信息。
以前经常听到DNS欺骗,却从来没有实践过,没有后门文件,没有访问钓鱼网站,也会被盗取账号密码,就是简简单单的配置一下社会工程工具包和IP清单,这就可以实现制作一个像百度一样的网站映射到你的ip地址,当靶机打开百度的时候就会访问你的IP,之后建立一个远程的会话,真的非常危险
DNS欺骗原理简单,实现起来也很简单。在一些公共场所总是为发现并连接一些免费且不设密的WiFi而高兴,但这样的小便宜不应该去占,因为很容易就被黑客窃取到重要的账户信息。要时刻提高警惕才好!