坐拥IT高薪职位必备攻防知识――无线局域网环境下的DNS spoof与ARP欺骗



网络钓鱼――无线局域网环境下的DNS spoof与ARP欺骗





【总体概览】

在无线局域网环境下,连接到一个未加密的或者已加密的WPA/WPA2无线网络。对于后者,假设当前有A,B两名合法用户连接到该无线AP。

此时,攻击者可以使用移动设备的BT5平台上的各种工具,解除A用户的认证(迫使用户与AP断

开,该用户会尝试重新与AP连接),在连接过程中捕获并解密WPA/WPA2握手包,还原出明文密码后,攻击者就可以连接至该AP并通过验证。接下来,攻击者可以对该无线网络内的所有其他用户实施DNS spoof攻击与ARP欺骗。将用户对真实facebook主页的访问重定向到伪造的页面上,获取用户登录的帐号密码。

具体而言,攻击者机器的IP地址与真实facebook域名绑定,然后在攻击机器的web根目录(具体路径取决于运行的web服务器)下,伪造一个facebook风格的登录页面,一个处理受害用户提交登录帐号密码的.php文件(该文件必须实现将用户帐号密码写入后台运行数据库的功能,以备攻击者随后读出其中的信息),当然还要运行一个能够处理该文件生成的动态请求(写入数据库)的web服务器进程,例如Apache。

如此一来,该WLAN中的任何用户访问www.faceboook.com;facebook.com等域名,均被重定向至攻击者机器上的伪造登录页面。由于浏览器地址栏多数情况下只显示域名而非IP地址,所以普通用户容易受骗而输入帐号密码来登录。待攻击者从数据库提取帐号密码后,第一时间用该信息登录真实的facebook,并且修改密码。这样,就实现了一个基本的faceboook hacking


【详细的攻击过程与注意事项】

进行WLAN环境下的DNS spoof前,在攻击机的BT5终端(后文统称shell)使用macchanger命令可以为当前使用的内置无线网卡(在BT5中通常以wlan0接口标识)伪造一个假的MAC地址,达到更好的欺骗效果。


使用gedit文本编辑器修改 /usr/local/ettercap/ 下的etter.dns文件,添加

facebook.com A 攻击机的局域网IP

*.facebook.com A 攻击机的局域网IP

两条字段,保存更改后退出。


在BT5图形桌面左上角定位 application->network->service->HTTPD->Apache start  启动apache web服务器进程;

application->network->service->MySQLD->mysql start  启动mysql数据库进程

可以看到,这两个进程启动时的shell仅显示几秒就消失,表明其作为守护进程在后台持续运行。


确保攻击机的本地文件系统目录 /var/www/ 下存放了所有伪造facebook页面必须的文件:

这两个文件的源代码或者模板可以在互联网上搜索下载。


index.html  

受害者在访问攻击机时就会向Apache请求默认的index.html文件。

该文件的源码必须有将saveinfo.php文件包含进来的语句;

还必须有指示点击 Login in 按钮生成的HTTP POST请求交由saveinfo.php文件处理的语句。


saveinfo.php

该文件执行实际的数据库查询与存储功能。

具体而言,saveinfo.php文件的源代码应该实现下面这些功能:

以默认的mysql用户名与密码来登录本机(127.0.0.1)运行的mysql数据库;

创建攻击者指定名称的数据库实例,其中包含指定名称的表,在该表中插入指定名称的字段;

处理受害用户在前台提交的帐号密码,将其写入该字段的值,这样,往后攻击者只需执行相应的数据库查询语句就可以读取到该字段的值(帐号密码);

受害者提交登录信息后,将其重定向至一个伪造的服务器忙碌页面的html文件

(该文件同样置于 /var/www/ 目录下),实现更好的欺骗效果。


必须指出,ettercap自身具备捕获并输出受害者提交的帐号密码功能。这可以省去

搭建mysql数据库和编写saveinfo.php文件的时间精力,达到高效率的攻击。


部署好相关文件后,在shell中运行ettercap,指定它通过:

无线网卡接口(wlan0)的MAC地址――内网IP地址映射;

etter.dns文件中定义的域名――内网IP映射

来执行dns spoof。

此时,wlan0的MAC地址变更为之前伪造的MAC地址,相应的内网IP地址也会是伪造的。

这样,当受害者或AP的防火墙检测到攻击,并且用ACL来过滤时,只需再次执行macchanger

即可绕过基于黑名单IP过滤的ACL防火墙。


最后,对于使用gmail账户作为facebook注册和登录账户的受害者而言,泄漏了facebook帐号密码的同时也增加了其gmail账户密码被暴力或字典攻击破解的危险性。

更详细的攻击步骤演示可以参考youtube上配套的英文视频教程。




https://www.youtube.com/watch?v=d2xBRJjJJTA&feature=youtu.be



*****免责声明*****

本教程以及相应的视频仅供内部学习交流使用,请勿用于恶意攻击或非法途径。本教程以及视频作者不承担由此造成的任何信息泄漏,经济,名誉上的损失引起的法律责任。







你可能感兴趣的:(web服务器,Facebook,用户登录)