实验内容包含
1.arp欺骗抓取受害者流量
2.dns欺骗劫持+获取账号密码
在做实验前首先得先保证两个主机需要在同一网段内(因为需要伪装网关),所以这里为了方便就设置两者为桥接模式,各自获取一个独立ip。
此时
攻击机:kali 192.168.1.110
靶机:win10 192.168.1.109
先查看win的arp缓存信息,方便后续观察是否生效
再打开ettercap工具
sudo ettercap -G点击打勾处
点击扫描后成功发现/24下子网的ip共九个
忽略其他人使用的,可以看到我们目标win的ip
选将网关设置为target1,目标机设置为target2,然后选择右上角的arp模式,攻击
选中后攻击,然后到win中查看arp表中192.168.1.1这个网关已经变成了kali的mac地址
apr -a /查看路由arp缓存
此时在受害者靶机上访问自己搭建的页面
可以在kali上看到发出的http流量
通过跟踪http流获取内容看到通过明文传输的密码和相关图片响应
再进一步,进行dns欺骗,编辑/etc/ettercap/etter.dns文件,让所有跳转都会到120.26.***.**这个我设置的网址
或者选择gui端双击
此时当被攻击机去访问不带https加密的网页时就会自动解析ip到我设置的地方(https的机会卡死,因为没有ssl的证书会被拒绝)
所以尽量不要访问http的网页进行登录,说不定你就处于被监听状态
这里找了一个http访问的域名,可以看到解析的ip已经污染成我设置的了
这里还需要设置一点,运行指定域名可以解析到自己的ip,不然访问会出现一些问题,例如宝塔就会进行拦截,所以这里我添加一下。
当然普通的网页伪造也没什么用,我们要注意的时一些登陆界面,例如下图的这种邮箱登陆,当登录邮箱域名时,自动解析ip到自己伪造的地方,基本上是看不出来的。
同时通过cs进行克隆后可以访问日志记录,从而获得账号和密码完成账号劫持。
原文始发于微信公众号(Licharsec):模拟内网arp欺骗攻击报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论