menu System's Blog
ettercap利用DNS欺骗实现钓鱼
65 浏览 | 2020-11-30 | 阅读时间: 约 2 分钟 | 分类: 技术分享 | 标签:
请注意,本文编写于 94 天前,最后修改于 91 天前,其中某些信息可能已经过时。

工具

ettercap:刚开始只是作为一个网络嗅探器,但在开发过程中,它获得了越来越多的功能,在中间的攻击人方面,是一个强大而又灵活的工具。它支持很多种协议(即使是加密的),包括网络和主机产品特征分析,还有dns欺骗等等
wget:站点拷贝工具,它克隆别人的网站,把别人网站源代码和网站的文件拷贝下来自己用,其他功能自行科普。

简单原理
攻击者伪造数据包,称自己为网关,骗受害人将原本要发送给网关的数据发送给攻击者,然后由攻击者发送给真正的网关
攻击端伪造数据包告诉网关自己是受害端,骗网关将原本要发送给受害端的数据发送给攻击端,再由攻击端篡改后发送给受害端

实验准备
前提:攻击机和受害机要在同一局域网,同一网关下
攻击机:kali
受害机:本地物理机

实验开始
1.将kali设置为桥接模式并复制物理网络状态

2.修改/etc/ettercap/etter.dns

www.4399.com A kali ip ##将www.4399.com 解析到本机
..* A kali ip ##将所有域名解析到本机

3.伪造正常网站
思考:既然可以实现dns欺骗,是否可以伪造正常网站,将下载文件替换成自己的木马诱使被害人点击,进而实现钓鱼
克隆flalsh网站

wget -d -r -c https://www.flash.cn/index.html

会在当前目录下生成一个跟网站名一样的目录
我们启动kali下的apache服务,并将克隆的网站放入

访问一下kali ip看看是否成功

几乎可以做到以假乱真

4.生成木马并替换
生成木马可以看这里各类木马生成
在克隆网站下将原本的下载链接替换为我们的木马

5.开始dns欺骗

ettercap -Tq -i eth0 -M arp:remote -P dns_spoof /被欺骗的ip// /网关//

6.模仿受害人下载测试

已经将4399的ip解析到了kali伪造的flash网站

7.本地开启监听并模拟受害者下载运行木马


成功反弹shell!

仅供学习交流,违者后果自负!

知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议

全部评论

info 评论功能已经关闭了呐!