手把手教你DNS劫持掛馬

• 2021 年 3 月 12 日
• 筆記

出品｜MS08067實驗室（www.ms08067.com)

本文作者：BlackCat（Ms08067內網安全小組成員）

首先學習DNS劫持之前，務必要了解下DNS是個什麼玩意。

DNS（域名系統）

他可以將網站的域名轉換為ip地址。nternet 上的每個設備都被分配了一個 IP 地址，必須有該地址才能找到相應的 Internet 設備 – 就像使用街道地址來查找特定住所一樣。當用戶想要載入網頁時，用戶在 Web 瀏覽器中鍵入的內容（example.com）與查找 example.com 網頁所需的機器友好地址之間必須進行轉換。

DNS劫持：

DNS劫持又稱域名劫持，是指在劫持的網路範圍內攔截域名解析的請求，分析請求的域名，把審查範圍以外的請求放行，否則返回假的IP地址或者什麼都不做使請求失去響應，其效果就是對特定的網路不能訪問或訪問的是假網址。這裡如果不懂的話，可以自己搭建一個DNS伺服器，配置一個屬於自己的域名。

A類解析是在告訴域名系統，「xxx.xxxx.xxx 」的IP地址是「xxx.xx.xx.xxx」

A事件是綁定IP的，一般的DNS劫持，都是被修改的這個位置，所以 當你搜索百度的域名，

會跳轉到其他的頁面，就是這裡A事件被修改，解析頁面被指向其他的頁面。

首先 我們需要寫好我們的惡意網站，一般都結合CS或者MSF捆綁馬使用，提示更新軟體或者下載安全更新，這裡用我之前搭建的flash釣魚頁面 ：

當dns劫持後，無論他打開什麼頁面都會提示這個頁面。下面配置開始。

下面要用到一個新的工具：Ettercap

Ettercap

  EtterCap是一個基於ARP地址欺騙方式的網路嗅探工具，主要適用於交換區域網絡。藉助於EtterCap嗅探軟體，滲透測試人員可以檢測網路內明文數據通訊的安全性，及時採取措施，避免敏感的用戶名/密碼等數據以明文的方式進行傳輸。ettercap幾乎是每個滲透測試人員必備的工具之一（就下面的這個蟲子）。

首先第一步就是要配置 Ettercap的DNS解析，把 A記錄更改為我們偽造頁面的IP上

位置為：/etc/ettercap/etter.dns

然後 啟動 Ettercap

ettercap -G #- G 是圖形化頁面。

然後先選擇網卡，怎麼選擇根據你當前的網路連接狀態去選擇，如果你的當前網路是是通過網線連接那麼就選擇你的物理網卡，如果是通過Wi-Fi那就選擇你的無線網卡，這裡是虛擬機環境，所以我選擇我的eth0 網卡。

列出主機列表：

然後下一步是掃描當前網路的地址：

這裡我開了一台win10虛擬機當靶機，地址為 192.168.93.4

接著我們把受害者的機器加入到target1中，將網關加入到target2中，用於對這兩台機器進行arp欺騙。

如果想複查target的設置，快捷鍵 ctrl + T，可以進行更改刪除操作。

下一步開啟arp欺騙，Mitm-> poisoning ,彈出框選擇，Sniff Remote Connections，嗅探遠程的連接，將目標主機的流量都欺騙過來。

此時我們已經冒充好了網關，冒充的方式就是arp欺騙，接下來我們要冒充dns

Plugins -> Manage the plugins列出所有插件。然後選擇 dns_spoof

選擇後 右鍵 activate 開啟攻擊，開啟後模組左側會多出來個*

然後去靶機上測試 ，輸入百度。

實驗初步成功，然後就等待他下載flash自解馬即可，他要是不下載窗口就不關閉，所以這裡我們可以隨時觀測下CS的上線情況，一旦發現他上線，我們這邊就關閉dns劫持和arp欺騙，進行CS上線後的操作。

轉載請聯繫作者並註明出處！

Ms08067安全實驗室專註於網路安全知識的普及和培訓。團隊已出版《Web安全攻防：滲透測試實戰指南》，《內網安全攻防：滲透測試實戰指南》，《Python安全攻防：滲透測試實戰指南》，《Java程式碼安全審計（入門篇）》等書籍。
團隊公眾號定期分享關於CTF靶場、內網滲透、APT方面技術乾貨，從零開始、以實戰落地為主，致力於做一個實用的乾貨分享型公眾號。
官方網站：//www.ms08067.com/

掃描下方二維碼加入實驗室VIP社區
加入後邀請加入內部VIP群，內部微信群永久有效！