您的位置: 首页  >  文章  >  DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验

DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验

分类: 文章 2024-07-10 13:18:10

0x01 实验准备

实验原理:

DNS欺骗就是攻击者冒充域名服务器欺骗用户。
利用Cobalt Strike搭建“钓鱼”网站,ettercap工具实现DNS欺骗。在同一局域网内,目标用户访问http://www.icloud.com时,会解析到攻击者IP,即目标用户此时访问的是攻击者克隆的网站。

实验工具:

  1. ettercap
  2. Cobalt Strike

实验环境:

  1. 靶机(Windows)
  2. 攻击机(kali,IP:192.168.233.129)并与靶机处于互能ping通状态。

0x02 实验步骤

一、DNS欺骗

1. 在攻击机上找到etter.dns 文件并创建一个伪造的DNS:

编辑文件命令:vi /etc/ettercap/etter.dns
添加DNS解析,将域名解析到攻击机IP:域名 A 攻击机IP
DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验

2. 启动攻击机上的apache服务,为克隆网站做准备。DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验
3. 在攻击机上使用ettercap -G命令以图形模式,打开ettercap工具;并选择网卡接口,默认即可:DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验
4. 启动后,先点击 hosts -> hosts list,再搜索存在的目标:DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验
5. 发现靶机IP在结果列表中,选择攻击对象:DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验
6. 添加成功后,Targets的Target1会出现目标IP:DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验
7. 点击Plugins -> Manage the plugins,选择 dns_spoof 嗅探模块:DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验

DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验

8. 当靶机ping www.icloud.com时会解析到攻击机IP,访问www.icloud.com时会跳转到攻击者搭建的网站上。DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验

二、搭建 “钓鱼” 网站

与 Cobalt Strike 结合,利用Cobalt Strike 搭建 “钓鱼” 网站,ettercap工具实现DNS欺骗。所以当靶机浏览www.icloud.com时会解析到 192.168.233.129(攻击机)上 Cobalt Strike 克隆的www.icloud.com网站。

1. 关闭apache服务DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验
2. 搭建 “钓鱼” 网站,首先需要使用 Cobalt Strike工具搭建团队服务器:

命令:./teamserver 团队服务器IP 团队服务器密码
DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验

3. 连接 Cobalt Strike 客户端,设置Host、Port、User及Password:DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验
4. 选择Attacks -> Web Drive-by -> Clone Site(克隆网站-可记录受害者提交的数据):DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验
5. 设置克隆的www.icloud.com网站作为“钓鱼”网站:DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验
6. 实验成功,当目标用户访问192.168.233.129(攻击者IP)或者www.icloud.com时,都显示为克隆页面:DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验

相关推荐