1.实验内容
本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有
(1)简单应用SET工具建立冒名网站
(2)ettercap DNS spoof
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
2.实验过程
(1)简单应用SET工具建立冒名网站
cat /etc/apache2/ports.conf查看apache工具的默认端口,发现是80端口,于是就不用修改了:
netstat -tupln |grep 80查看本机的80端口是否被其他进程占用。
输入systemctl start apache2命令打开apache2服务,然后输入 setoolkit ,启动set工具,然后选择社会工程学攻击:
然后选择2 Website Attack Vectors网站攻击。
选择3 Credential Harvester Attack Method。
Credential Harvester Attack Method,即凭证收集器攻击方法,是一种网络钓鱼攻击手段。这种攻击通过伪装成合法的实体或机构,诱骗用户提供敏感信息,如用户名、密码等,从而获取用户的凭证。
具体来说,攻击者通常会利用各种技术手段来实施这种攻击,如创建虚假的登录页面、利用浏览器自动填充功能诱导用户泄露凭证等。一旦用户被误导并输入了敏感信息,攻击者就可以轻松地窃取这些凭证,进而可能进行进一步的非法活动,如访问用户账户、窃取个人信息等。
选择2 Site Cloner,输入攻击机ip地址192.168.22.41和模板网站:
在主机中输入192.168.22.41,访问钓鱼网站,输入账号密码,会出现用户名明文和加密后的密码:
(2)ettercap DNS spoof
Ettercap DNS spoof(欺骗)是指使用Ettercap工具来执行DNS欺骗攻击的行为。
Ettercap是一个功能强大的网络嗅探和中间人攻击(MITM)工具,它支持多种网络协议,如HTTP、FTP、DNS等,并提供了丰富的插件和过滤功能。
DNS欺骗是一种网络攻击手段,攻击者冒充域名服务器,将用户查询的IP地址更改为攻击者的IP地址,从而使用户访问到攻击者提供的虚假网页。
输入ifconfig eth0 promisc设置网络为混杂模式:
ifconfig 是用于配置和显示Linux内核中网络接口参数的命令行工具,eth0 通常指的是第一个以太网接口(网络接口卡),而 promisc 是混杂模式的简写。
混杂模式允许网络接口接收所有经过它的数据包,而不仅仅是那些目的地址为该网络接口的数据包。在正常模式下,网络接口会忽略目的地不是自己的数据包。但在混杂模式下,它会捕获所有数据包,这对于网络监控和分析工具(如网络入侵检测系统、数据包嗅探器等)非常有用。
vi /etc/ettercap/etter.dns修改dns缓存表,需要输入目标的网址,这里输入了www.baidu.com和www.csdn.net:
输入ettercap -G进入到可视化界面(这里需要等待一下),然后点击“√”启动(这里也需要等待一下):
终端输入route -n 查看网关为192.168.22.182:
在ettercap右上角菜单处选择hosts-hists list
找到网关地址192.168.22.182和靶机地址192.168.22.236。(如果没有的话可以点击上面放大镜一样的图标进行扫描)
将网关设置成target1,靶机地址设置成target2:
点击右上角MITM(中间人攻击)菜单选择ARP Poisoning(ARP协议欺骗)开启:
再点右上角菜单-plugins-Manage plugins,进入后双击dns_spoof启用DNS欺骗。
然后打开靶机ping之前添加的域名:
百仍然是110.242.68.66,说明baidu的这方面还是很全的,而ping www.csdn.net显示的ip地址是192.168.22.41(攻击机地址),说明dns欺骗成功了。
(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。
这时攻击机ip为192.168.1.112,靶机为192.168.1.116,网关为192.168.1.1
实验步骤和上两步相同,这里选择的网站是天翼快递。
当用户打开浏览器访问www.tykd.com则被诱导进入了钓鱼网站:
然后我尝试了复制网站时把https://www.tykd.com换成登陆页面https://www.tykd.com/User/login/,让用户在浏览器输入www.tykd.com就会直接跳转到登陆页面,诱导用户输入用户名和口令。但这时捕捉到的和上面相似,不能捕获到用户名密码,页面也非常简陋:
于是我又把克隆的网页换成了http://www.tykd.com/User/login/,同样用户在浏览器输入www.tykd.com就会直接跳转到这个登陆页面,但这时的页面和原本的天翼快递已经完全相同了,用户输入用户名密码时能看到明文的用户名和口令:
(这里输入的是www.tykd.com,解析为了192.168.1.112)
↑这一张是在win11主机访问天翼快递登陆页面的效果,完全一样。
这样引导访问到钓鱼网站就成功了。
3.问题及解决方案
- 问题1:apache2启动报错,检查80端口发现不出结果
- 问题1解决方案:
vim /etc/apache2/apache2.conf,最后加入一句: ServerName localhost:80
再检查并查看80端口即正常:
- 问题2:启动ettercap时报错
按照网上的方法切换root直接启动不使用sudo启动仍然有报错。检查该路径确实存在且有权限打开:
- 问题2解决方案:看到ibus经常有这种警告不会影响使用,并且找了很多教程没有找到有效的解决方法遂选择忽略。
4.学习感悟、思考等
这次试验原本是步骤较少且简单应该很好完成的,但中途总是出现各种问题,磕磕绊绊做完前两步之后,第三步的时候就已经很熟练了
标签:www,网站,192.168,2024,2025,DNS,20222418,com,输入 From: https://www.cnblogs.com/20222418fcca/p/18576344