• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Решено bettercap + setoolkit + dns spoofing что я делаю не так?

T

torquemada163

Всем привет!

Весь день бьюсь сегодня с экспериментом в плане фишинга.... Один раз получилось, потом уже ни разу!

Итак, запустил setoolkit и создал копию сайта VK.COM. Апач запущен, сайт крутится на моем компе (атакующий):
Картинки загружаем на форум https://codeby.net/forums/faq-dlja-novichkov.115/
WebWare Team

Дальше я запускаю такую команду:
Код:
sudo bettercap --dns dns.conf -T 192.168.3.11-174
Вот содержимое файла dns.conf:
Код:
#
192.168.3.211 .*vk\.com
В итоге, только ОДИН раз у меня эта штуковина отработала нормально! Ну как нормально..... Почему-то всем пользователям писало, что невозможно установить защищенное соединение, такое бывает при разном времени. Но время у меня везде одинаково. Как следствие, после того, как клиенты вводили свои логины, их не перекидывало на настоящий VK. Но я в файлике harvest получил несколько логинов/паролей.
Но, повторюсь, это было ОДИН раз. Все последующие - вроде бы все запускается, но когда я подхожу к какому-нибудь компу в локалке и пробую ввести лоигн/пароль, то мне просто говорит, что либо неправильный логин/пароль, либо тупо входит на страницу VK и все. В файле ничего не добавляется. Если я с клиента зайду на свой адрес 192.168.3.211 и попытаюсь ввести там логин, то все нормально падает в файлик и выдает предупреждение по времени.

Такое ощущение, что не работает DNS-спуффинг и клиентов не перекидывает на мой фишинговый сайтик....

Что я делаю не так?
Заранее спасибо!
 
Последнее редактирование модератором:

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
В вашем случае может зависеть от браузеров жертвы.,если рассматривать хром , человек если заходил на определенный сайт и вы потом пытаетесь подсунуть ему копию от set, то у вас ничего не получиться.будет писать сообщения," что невозможно соединиться".. c mail.ru именно так происходит, если же зайти с другого браузера то все работает.Начал выяснять в чем дело, оказалось что хром вшивает сертификаты популярных ресурсов в свою базу..Самая большая проблема потом, это то, что сайт потом вообще не грузиться, даже когда вы не производите атаку, так как вы поменяли днс кэш..(выход конечно есть из этого)Попробуйте это провернуть когда в качестве жерты телефон и вы заходите на сайт с хрома. Да кстати иногда глючит сам bettercap.
 
T

torquemada163

Да, действительно, у некоторых людей потом сайт VK не грузился напрочь, пока я не перегрузил DNS-сервер и собственно комп жертвы.

Но! Один раз-то все прошло нормально! И я получил не один и не два пароля.....

Я тут сам думал на эту тему и пришел к выводу, что еще дело в домене, вернее, в доменном DNS.
Ведь, в случае доменной организации сети, DNS-запросы от клиентов обслуживает не роутер, который их просто форвардит, а контроллер домена с поднятым на нем DNS-сервером. В моем случае в диапазон
Код:
-T 192.168.3.11-174
контроллер домена с поднятым там DNS не попал, он имеет адрес 192.168.3.201
Таким образом, все запросы от клиента обрабатывались без изменений.
Просто я не помню точно, но есть подозрение, что когда у меня получилось единственный раз, в этот момент я запустил без указания диапазона целей.....

Как думаете?
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
Мне сложно рассматривать ваш случай, так как днс сервер у меня внешний.что бы что то дельное вам подсказать,нужно поднимать днс сервер внутри сети и тестить.Когда вы запускаете bettercap без указания диапазона целей, он спуфит весь сегмент сети, но как работают два днс сервера в одной сети я затрудняюсь сказать. В моем случае исправлял я отравленный днс кэш подключаясь к другой сети, хотя предполагаю что можно просто подсунуть правильный днс конфиг после отравления, и все вернется на круги свои..пока не пробовал.
 
T

torquemada163

Ой! Что-то я забыл про эту ветку )))))
В общем, рапортую - в домене все одновременно сложнее и проще. В качестве цели в доменной структуре надо указывать только лишь доменные DNS-сервер(а) и ничего больше. ВСЕ клиенты домена пойдут стройными рядами по фишинговому адресу. Это не всегда удобно для точечной атаки.
Ну и прекращение этой атаки тоже не лучше - надо в доменном DNS-сервере перезапустить службу DNS и очистить кэш записей.
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
выложили бы для народа мануал, в картинках..))многим думаю был бы интересен ваш опыт..
 
T

torquemada163

Да что-то я сейчас вернулся к этой теме, а ерунда какая-то получается.... Когда bettercap перебрасывает меня на мой фишинговый комп, то у жертвы в браузере появляется вопль об ошибке сертификата. Хотя сертификат в винду втянут и если просто войти по https на веб-сервер атакующего компа, то никаких ошибок....
Почему так?
 
T

torquemada163

Вот видно ошибочную страницу и видно, что, кроме первого пункта в сведениях, остальные вполне нормальные:
G1qPTkQ.jpg


А здесь видно, что сертификат атакующего компа валидный:
TT3jknT.jpg


Так, логи чего прислать? SETOOLKIT? А где они находятся?
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
если вы пользуетесь хром или фаерфокс(один из них), то насколько помню, там вшиты сертификаты популярных ресурсов..и в режиме http не получится перенаправить на поддельный сайт.Насколько я понял вы не только перенаправляете на фишинговый сайт, но и еще сгенерировали свой сертификат и подсунули жертве? Вам тогда просто нужно включить bettercap в режиме прокси с поддержкой своего сгенерированного сертификата, зачем городить такой огород..)

Хотел сбросить ссылку на опыт человека в этом форуме..с генерацией и подсовыванием своего сертификата..когда нашел , оказалась ваша статья..)

Если вы делали клон на set, то попробуйте удалить все ссылки с https, в самом клоне.(меняете все слова https на http.)
 
Последнее редактирование:
T

torquemada163

сначала попробовал
Код:
bettercap --dns dns.conf -T 192.168.3.201,192.168.3.210
это адреса, соответственно, доменного DNS и моей тестовой жертвы
Почему-то при переходе в браузере напрочь игнорировался мой фишинговый сайт. Хотя раньше, когда я пробовал, такой номер проходил....
После этого я добавил в команду https-прокси с моим сертификатом:
Код:
bettercap --dns -dns.conf -T 192.168.3.201,192.168.3.210 --proxy-https --proxy-pem pentest_full.pem
Так у меня при попытке перехода жертвы на клон (в данном случае OK.RU), ее выбрасывает на..... Youtube, на ролик Rick Astley - Never Gonna Give You Up
Вообще чудеса какие-то!
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
у вас случайно не запущен beef ?:) или кроме вас кто то балуется пентестом, в вашей сети ..)
 
T

torquemada163

Код:
ps axu | grep beef
не выдает ничего. в сети точно никто не балуется - некому ))))
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
вы посмотрите в роутере ,изменен ли ваш днс по умолчанию?Мне известен только один инструмент , и это Beef, где этот ролик вшит...
 
T

torquemada163

По пингу на жертве видно, что адрес резольвется на фишинговый:
U6yQV5s.jpg
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
зайдите в сам роутер, посмотрите какой днс прописан.Возможно кто то вам подменил в настройках его.
 
T

torquemada163

У меня роутер хитрый через край, это Mikrotik, так просто так не заменишь ))))
Все нормально - стоят два провайдерских DNS:
bhZeIr1.jpg
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
нужно смотреть как получается редикт на ролик..очень похоже на атаку xss.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!