实验内容

(1)简单应用SET工具建立冒名网站

(2)ettercap DNS spoof

(3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。


实验步骤

简单应用SET工具建立冒名网站

  • apache web服务器是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。

  • 因为钓鱼网站挂在本机的http服务下,所以要将SET工具的访问端口改为默认的80端口。

  • 先输入netstat -tupln |grep 80命令查看80端口是否被占用,如果被某个进程所占用,则使用kill xxx命令将该进程杀死。然后再次查看,检查进程是否被杀死。

  • 输入sudo vi /etc/apache2/ports.conf命令打开apache的端口文件,将端口改为80

  • 保存后,输入命令apachectl start开启apache服务

  • 然后打开新的终端,输入setoolkit命令进去set工具

  • 选择1——进行社会工程学攻击:

  • 选择2——钓鱼网站攻击向量

  • 选择3 ——选择登录密码截取方式攻击

  • 选择2——进行克隆网站

  • 上图中出现错误,直接将我弹出了setoolkti中,上网搜索该错误,得到的全是关于pathyon语言的错误,于是我只好找同学拷一份虚拟机。

  • 下图中进入set工具时没有任何的报错

  • 重新按照上面的步骤,也没有错误的出现。

  • 输入kali的地址 然后输入想克隆的网站

  • 选择y,证明钓鱼网站搭建成功。

  • 在kali中的浏览器中输入回环地址127.0.0.1,跳入到了我当时想克隆的腾讯网站中。在网站中输入账户密码进行登录,失败。。。

  • 于是我改用学校的教务处网站进行克隆。

  • 上图是输入回环地址时的状况,在我进行登录后,页面跳转到原本的网址。

  • 从set工具中查看,已经留下了我登录的账号和密码了。


ettercap DNS spoof

  • 输入ifconfig eth0 promisc命令将kali网卡改为混杂模式

  • 然后输入命令vi /etc/ettercap/etter.dns对ettercap的dns文件进行编辑,添加网站的DNS的记录,并且IP设置为kali的ip地址。

  • 输入ettercap -G
    指令,开启ettercap,会自动弹出ettercap的可视化界面

  • 点击工具栏中的sniff->unified sniffing,在出现的界面中选了eth0,然后点击ok

  • 在工具栏中的Hosts下选择Scan for hosts,扫描子网

  • 再点击Hosts list查看存活的主机

  • 将kali的网关IP加入到target1中,靶机IP添加到target

  • 点击Plugins—>Manage the plugins,然后选择DNS欺骗的插件

  • 在靶机中ping我们选择的网址,下图中,我之前添加的两个网站都成功的ping通了,得到的ip地址都是kali的ip

  • ettercap中显示了ping的两条记录


结合应用两种技术,用DNS spoof引导特定访问到冒名网站。

  • 两个实验的结合就是利用第一个实验中的步骤克隆一个网站,然后第二个实验实施DNS欺骗,用假冒的网站进行钓鱼。

  • 我使用了www.besti.com这个假的网址连接我的kali的ip地址。

  • 将两个实验结合后得到下图的结果,成功访问了假的网站

  • 并且登陆后,kali中获得了用户的账号和密码


实验后问题回答

(1)通常在什么场景下容易受到DNS spoof攻击

  • 在统一局域网下,还有公共的网络。
  • 有可能会有假冒网址和真的网站有一个字符的差别,假入进入该假冒网址。。。那就很危险了。

(2)在日常生活工作中如何防范以上两攻击方法

  • 不在公共场合不乱连接热点,也不点击陌生人给的链接。
  • 及时安装DNS的补丁,预防漏洞。
  • 登录网址时确定上的是真的网站,不是假冒的网址。

实验总结与体会

本次的两个实验比较简单,让我了解了url攻击和dns攻击。同时真的是学的越多越了解真像!!!原来想要获得别人的账号和密码是那么的容易。。。所以在生活中一定睁大眼睛看清楚我们要登录的网站,当然也不能乱连热点,网上我看过很多乱连热点然后被盗取个人信息的例子,日常害怕。。。

最新文章

  1. SpringBoot实战配置
  2. java 零碎知识点
  3. Setting SVN Repository Using TortoiseSVN + Dropbox in 5 Minutes
  4. LitePal + Gson + Volley的ORM框架尝试方案
  5. list to csv
  6. 德州扑克AI实现 TexasHoldem Poker
  7. UIImage 调整图片大小
  8. django 获取系统当前时间 和linux 系统当前时间不一致 问题处理。
  9. fedora 20 PIL
  10. java,<E>什么意思?
  11. Java笔记(二十一)……String与StringBuffer
  12. Linux下Chrome浏览器的BUG
  13. shell入门之函数应用 分类: 学习笔记 linux ubuntu 2015-07-10 21:48 77人阅读 评论(0) 收藏
  14. $.ajax()方法详解 jquery中的ajax方法
  15. php define和const的区别
  16. Jmeter3.2源码编译环境搭建
  17. 使用FFMPEG进行一些视频处理(C#)视频合并、转码、获取时长
  18. pandas的简单使用
  19. html内嵌框架
  20. 使用OwnerDraw改变ListView的ColumnHeader

热门文章

  1. 基于 WPF 平台的 ActiveReports Viewer控件
  2. ActiveReports 报表应用教程 (13)---嵌入第三方控件
  3. Java java jdk在Linux下安装与环境变量的配置
  4. Android 编程下的 TraceView 简介及其案例实战
  5. 类与接口(五)java多态、方法重写、隐藏
  6. 【第三组】心·迹 Alpha版本 成果汇报
  7. git cherry-pick 用法
  8. Error Fix – Replication subscriber does not exist on the server anymore(删除Replication时报错的解决办法)
  9. Visual Studio 2012自动添加注释(如版权信息等)
  10. 【转】HTTP学习---图解HTTP[三次握手&&ISO模型]