DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验

0x01 实验准备

实验原理：

DNS欺骗就是攻击者冒充域名服务器欺骗用户。
利用Cobalt Strike搭建“钓鱼”网站，ettercap工具实现DNS欺骗。在同一局域网内，目标用户访问http://www.icloud.com时，会解析到攻击者IP，即目标用户此时访问的是攻击者克隆的网站。

实验工具：

1. ettercap
2. Cobalt Strike

实验环境：

1. 靶机（Windows）
2. 攻击机（kali，IP：192.168.233.129）并与靶机处于互能ping通状态。

0x02 实验步骤

1、DNS欺骗

1. 在攻击机上找到etter.dns 文件并建立一个伪造的DNS：

编辑文件命令：vi /etc/ettercap/etter.dns
添加DNS解析，将域名解析到攻击机IP：域名 A 攻击机IP

2. 启动攻击机上的apache服务，为克隆网站作准备。

3. 在攻击机上使用ettercap -G命令以图形模式，打开ettercap工具；并选择网卡接口，默认便可：

4. 启动后，先点击 hosts -> hosts list，再搜索存在的目标：

5. 发现靶机IP在结果列表中，选择攻击对象：

6. 添加成功后，Targets的Target1会出现目标IP：

7. 点击Plugins -> Manage the plugins，选择 dns_spoof 嗅探模块：

8. 当靶机ping www.icloud.com时会解析到攻击机IP，访问www.icloud.com时会跳转到攻击者搭建的网站上。

2、搭建 “钓鱼” 网站

与 Cobalt Strike 结合，利用Cobalt Strike 搭建 “钓鱼” 网站，ettercap工具实现DNS欺骗。因此当靶机浏览www.icloud.com时会解析到 192.168.233.129（攻击机）上 Cobalt Strike 克隆的www.icloud.com网站。

1. 关闭apache服务

2. 搭建 “钓鱼” 网站，首先须要使用 Cobalt Strike工具搭建团队服务器：

命令：./teamserver 团队服务器IP 团队服务器密码

3. 链接 Cobalt Strike 客户端，设置Host、Port、User及Password：

4. 选择Attacks -> Web Drive-by -> Clone Site(克隆网站-可记录受害者提交的数据)：

5. 设置克隆的www.icloud.com网站做为“钓鱼”网站：

6. 实验成功，当目标用户访问192.168.233.129（攻击者IP）或者www.icloud.com时，都显示为克隆页面：