实验环境包括:攻击机kali、测试机win7、服务器CentOS的靶机环境。
Kali ip : 192.168.244.138
Win7 ip : 192.168.244.131
CentOS ip : 192.168.244.135
DNS劫持是互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。
渗透中通常作用于内网渗透,所以前提是需要拿下某一台主机。这里以win7为例。在msf中开启multi/handler模块,设置payload 为windows/meterprete/reverse_tcp,监听kali的ip 192.168.244.138 以及端口5678。
测试机win7 点击反弹shell木马,kali获取到监听。
接下来进行DNS劫持。我用的工具是kali自带的ettercap。首先需要查看一下ettercap的dns劫持配置文件。/etc/ettercap/etter.dns。
这里我直接贴改后的图。根据例子中是让microsoft重定向到www.linux.org的ip。我直接让测试机访问www.baidu.com时重定向到CentOS的靶机环境。接下来打开ettercap。
点击Sniff > Unified sniffing选择你的网卡。
再点击Hosts > Hosts list查看所有监听主机列表。
选择win7的主机点击Add to Target 1
接着点击Mitm > ARP poisoning,并勾选上弹窗中的第一个选项Sniffremote connections
点击Plugins > Manage the plugins可以看到许多功能,双击其中的dns_spoof即可执行DNS劫持。
可以看看win7在DNS劫持前后的对比。
