同学QQ被盗引发的思考-DNS域名欺骗
初来乍到
大家好! 我是J’adore,渗透方向,我想通过以写博客的形式来记录自己在学习过程中的点点滴滴,之前开过微信公众号,不过感觉圈子太小于是转到CSDN上来,也希望借此认识更多从事安全行业的朋友。这是我第一次使用CSDN撰写自己的文章,若所写文章有失误之处望海涵并指出,感激不尽!
今天先给大家带来一篇文章,言辞粗糙,望各位大佬海涵。
0x00事件起因
10月6号下午13:16分,我正躺在床上休息,昨天生病,今天精神才好了点,然而依旧是无精打采,睡也睡不着,便打开了两天没上的QQ,发现寂静了许久的同乡会QQ群里有同学发了一个群成员聚会通知的链接,如下:
开始我以为是同乡会举办的活动,便没多大在意,但是7分钟之后
这立刻引起了我的警觉,于是便开始深入挖掘这背后的原因。
0x01调查与分析
首先说一下这个DNS域名欺骗:DNS域名欺骗通俗地说就是攻击者将某网站的域名映射到攻击者自己的IP上,受害者看到的只是域名而看不到IP地址,从而攻击者可以构造钓鱼页面诱骗受害者登录,此时受害者无法判断钓鱼页面的真实性便进行登录用户名密码等敏感操作,导致信息泄露,从而为攻击者下一步攻击提供了信息。
这次讲的这起事件其实不算域名欺骗,只是我最后将其拓展延伸出来,因为我在将其解析出来后看到的是IP地址,也就是说,攻击者仅仅是修改了页面内容就让受害者上钩,可见利用手法之简单,这里其实也利用了在手机QQ上打开网页时没有显示网址的缺点,如下图
我打开了那个写着腾讯文档的网站,发现确实是腾讯的官方网址,但是里面的内容确是个二维码,如图
然后我对其进行解析,发现其指向一个IP地址,如图
接着我打开这个网址,发现
原来如此,此时已经很明了了,于是我去挖掘这个IP地址的信息,看看能不能挖掘到有用的东西,发现其架设在腾讯云上,如图
查询同IP网站,查询whois信息,都是腾讯云,无果,到这里只能收手
接着我打开真实的QQ端mail进行比对,发现多处不同,如图
假:
真:
假:
真:
1.左上角的网址图标,假的没有,真的有
2.登录状态,假的没有,真的有
3.检测安全的信息不同,假的直接显示在此网页上输入的登录信息可能会泄露,真的是部分图像不安全
4.假的在点击忘了密码时不会做任何操作,而真的在点击后会触发事件跳转到找回密码的网址
可见攻击者还是做了一定的美化的,很用心,但难免会有纰漏,接着我向假网站中随便输入账户密码,如图
点击登录之后页面闪了一下,最后跳转到真正的网站,如图
该网站用nginx容器作为服务器框架,暗地里将受害者的用户名密码提交到2018.php
以下代码即为验证,可以看到用户名密码被以明文的形式传入2018.php
POST /2018.php HTTP/1.1
Host: 1*******9
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 35
Connection: close
Referer: http://1********9/
Cookie: PHPSESSID=0000000000000000000000
Upgrade-Insecure-Requests: 1
user=1040898286&pass=123456789&submit=
基于此,我对该网站进行举报
0x02实验复现攻击流程
接着,我自己做了个小实验复现上述攻击流程并加以完善,同时将域名劫持为m.mail.qq.com并搭配ARP毒化进行中间人攻击
所使用的工具:
kali Linux,windowxp,ettercap,setoolkit()
攻击者IP:[10.10.10.128]
受害者IP:[10.10.10.129]
进行主机扫描,发现受害者IP:[10.10.10.129]
指定攻击目标开始ARP欺骗
回到受害者主机,发现已经欺骗成功
开始DNS域名欺骗,未欺骗前,先检测是否可达到真实网址,如下显示网址可达,注意这里的IP地址为[59.37.96.184],欺骗后会发生变化
进行域名欺骗
劫持成功,m.mail.qq.com已经被劫持从而映射到攻击者的IP,此时ping的该域名,IP地址却是[10.10.10.128]
开始使用setoolkit进行社会工程学攻击,伪造网页,利用各种方法诱骗受害者进行登录,尽你所能,上面的案例就是使用二维码的方式
此时受害者打开该网站进行登录,由于域名m.mail.qq.com已经被劫持到10.10.10.128,因此该页面为伪造的页面,时间原因,只用了内置的页面生成,没有自己动手去做这个网页,还望见谅
攻击者这边已经嗅探到受害者登录
由于时间有限,这里我没有构造截取密码的代码,其实只是一个简单的php提交表单,将受害者输入的账户密码截取下来保存至指定位置
到这里已经可以拿到受害者的账户密码了,如果登录没有进行限制则QQ可被任意登录并执行各种恶意操作。
防御方法:
1.非安全环境下勿点击来历不明的链接
2.QQ账户,以及涉及到资金财产的账户应该加手机验证码验证登录并且开启动态口令
3.学习网络安全知识,多看网络安全书籍,网络时代,信息泄露泛滥成灾,这其中“人”是主要因素,因此,提升安全意识迫在眉睫。
4.各服务器运营商应当仔细审核上线的网站是否存在欺诈之类的违法行为并及时予以封停。
0x03最终结果
第二天我就收到了腾讯方面的邮件,告知已经对其进行拦截并同步到合作厂商
0x04写在最后
文章写完了嘻嘻,若有不足之处还望各位大佬予以斧正,安全路很长,贵在坚持~