Exp7 网络欺诈防范
0x1 SET社会工程学包
SET是一个社会工程学工具包,用来通过E-mail、Web、USB或者其他途径去攻击目标,从而轻松的控制个人主机,或者拿到一些敏感信息。
配置说明
当我们使用SET时,默认使用的是基于Python的内建Web服务,为了优化服务性能,需要把apache_server选项打开,然后就可以用Apache服务进行攻击。
先把Apache服务开启,输入apachectl start
接着,在SET所在目录的src/core目录下,调整配置文件,运行SET使用Apache
初探Web攻击向量——Credential Harvester
该攻击向量用来克隆其他网站,然后骗受害者上去提交包含用户名和口令的表单,从而记录用户的信息。
我们克隆的网站要有用户名口令登录的表单,才能成功进行信息搜集。
https://i.cnblogs.com/
打开setoolkit
,依次选择Social-Engineering Attacks -> WebSite Attack Vectors-> Credential Harvest Attack Method
我们先看看默认的模板有哪些
好像都是些国外流行的网站,我还没怎么上过,先看看模板长什么样
那真的Twitter长啥样呀?我还没见过真的Twitter长什么样呢,趁这个机会先瞅一眼
刚才的是网站首页,然后我们看看登录界面
这个…………我只想说………………
以后上网一定认准HTTPS!!!一定认准HTTPS!!!一定认准HTTPS!!!*
因为可以服务器端进行认证(而且不要忽略证书警告)
让我们回来,随便在这个钓鱼网站输入信息
Username or email: test@123.com
Pasword: 123456
然后提交表单,SET工具会记录下提交的信息。
克隆一个真实的网站
刚才稍微熟悉了一下SET的用法,现在我们克隆一个真实的网站
我尝试了克隆新浪微博首页,但会被重定向到真实网站。
又尝试了克隆CSDN,结果因为CSS和JavaScript的问题,变成了这样
我觉得先从校内网开始入手比较好,选课地址的IP是192.168.200.70
我虚拟机的IP是192.168.56.101,我们看一下克隆后的效果
收集到的口令信息
我的身份证号前6位(默认口令)被记录下来了
对于记不住选课地址的同学,我们可以用这个办法去糊弄人家(笑)
0x2 中间人攻击工具ettercap
Ettercap是中间人攻击的综合套件。 它具有嗅探活连接,动态内容过滤和许多其他有趣的技巧。 它支持许多协议的主动和被动解剖,并包含许多用于网络和主机分析的功能。
DNS欺骗前的配置
我们来看下ettercap的DNS欺骗功能。先打开ettercap的图形界面,输入ettercap -G
,一个基于GTK的图形界面就展现。
当然在此之前,我们修改一下/etc/ettercap/etter.dns文件,写入DNS缓存
我这里给的是google和baidu
然后输入ifconfig <网卡接口> promisc
,对攻击机监听的网卡开启混杂模式,这样就不会丢弃数据包了。
实施DNS欺骗
我们来正式使用一下ettercap吧,其他同学已经在GUI界面下完成了操作,我就用命令行的方式完成这次操作吧。
(个人对命令行还是挺感兴趣的,而且可以装X)
直接输入 ettercap -T -q -i eth0 -P dns_spoof -M arp
-P <plugin> 使用插件,这里我们使用的是dns_spoof
-T 使用基于文本界面
-q 启动安静模式(不回显的意思)
-M <mim method> 启动中间人攻击
-i <interface> 使用接口
然后再靶机这边ping google.com和baidu.com,发现数据包全部指向攻击机的IP——192.168.56.101
而且ettercap这边也可以看到情况
0x3 钓鱼网站结合DNS欺骗窃取口令
事实上,克隆目标网站和DNS欺骗的网站是用一个网站,才具有一定的实战意义。
不过为了方便起见,还是直接用SET工具箱中的google模板吧,正好也对google.com进行了DNS欺骗。
(虽然还是问题重重,不太贴近实际)
先启动中间人攻击,开启DNS欺骗
然后进入SET工具箱,选择之前的Web攻击向量
然后在靶机访问,并输入账号信息并提交
然后SET工具就会截取这个请求,我们从参数中可以看到Email和口令
SET还会生成HTML格式的报告,我们来看一下
然后我们看看这次攻击收集到的数据
结合ettercap和SET工具,我们完成了这次DNS欺骗和网站钓鱼
基础问题解答
(1) 通常在什么场景下容易受到DNS spoof攻击
答:这次实验环境中,目标机和攻击机在同一个子网中,攻击机作为中间人实施DNS欺骗。如果你喜欢蹭免费的WIFI,别有用心的人很容易发起这样的攻击。
(2) 日常生活工作中如何防范以上两攻击方法
对于普通用户来说,日常上网坚持使用HTTPS吧,而且不要忽略证书警告。HTTPS中使用的数字证书是对服务器身份的验证,可以帮助我们避免钓鱼网站的危害。
如果你是360用户,360的局域网防护功能会提供DNS欺骗和ARP欺骗的保护
如果要在更专业一点的场景应对DNS和ARP欺骗,就应该熟悉一下入侵检测系统了
实验心得与体会
这次实验的操作比较简单,要求不高。SET工具包功能非常强大,可以和Metasploit结合起来使用,这次实验只用到了SET的很少的功能。
ettercap这个中间人攻击的工具很有意思,很多功能我们也没有探索,而且可以用来对一些安全意识差的用户搞恶作剧。
我对网络协议的攻防不是很了解,一些网络协议由于历史原因缺少安全性考虑,容易被黑客钻空子。
一些高水平的黑客甚至可以实施TCP会话劫持这样复杂的攻击技术,还有黑产链中曾经一度不为人所知的“同一交换机下跨vlan的ARP欺骗”技术,
要拥有这样的技术实力,需要非常精通和熟悉网络协议。攻防之美,更多的是技术之美。