专栏首页字节脉搏实验室QQ被盗引发的思考-DNS域名欺骗

QQ被盗引发的思考-DNS域名欺骗

文章来自【字节脉搏社区】 作者-Jadore

0x01事件起因

某日下午13:16分,我正躺在床上休息,昨天生病,今天精神才好了点,然而依旧是无精打采,睡也睡不着,便打开了两天没上的QQ,发现寂静了许久的同乡会QQ群里有同学发了一个群成员聚会通知的链接,如下:

开始我以为是同乡会举办的活动,便没多大在意,但是7分钟之后:

这立刻引起了我的警觉,于是便开始深入挖掘这背后的原因。

0x02调查与分析

首先说说DNS域名欺骗,即:DNS域名欺骗通俗地说就是攻击者将某网站的域名映射到攻击者自己的IP上,受害者看到的只是域名而看不到IP地址,从而攻击者可以构造钓鱼页面诱骗受害者登录,此时受害者无法判断钓鱼页面的真实性便进行登录用户名密码等敏感操作,导致信息泄露,从而为攻击者下一步攻击提供了基础。

这次案例其实不算域名欺骗,只是我最后将其拓展延伸出来,因为我在将其解析出来后看到的是IP地址,也就是说,攻击者仅仅是修改了页面内容就让受害者上钩,可见利用手法之简单,这里其实也利用了在手机QQ上打开网页时没有显示网址的缺点,如下图:

我打开了那个写着腾讯文档的网站,发现确实是腾讯的官方网址,但是里面的内容确是个二维码,如图:

然后我对其进行解析,发现其指向一个IP地址:

接着我打开这个网址,发现:

原来如此,此时事情已经有眉目了,于是我去挖掘这个IP地址的信息,看看能不能挖掘到有用的东西,发现其架设在腾讯云上,如图:

假:

真:

假:

真:

1.左上角的网址图标,假的没有,真的有

2.登录状态,假的没有,真的有

3.检测安全的信息不同,假的直接显示在此网页上输入的登录信息可能会泄露,真的是部分内容不安全

4.假的在点击忘了密码时不会做任何操作,而真的在点击后会触发事件跳转到找回密码的网址

可见攻击者还是做了一定的美化的,很用心,但难免会有纰漏,接着我向假网站中随便输入账户密码,如图:

点击登录之后页面闪了一下,最后跳转到真正的网站:

该网站用nginx容器作为服务器框架,暗地里将受害者的用户名密码提交到2018.php

以下代码即为验证,可以看到用户名密码被以明文的形式传入2018.php

POST /2018.php HTTP/1.1

Host: 1*******9

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded

Content-Length: 35

Connection: close

Referer: http://1********9/

Cookie: PHPSESSID=0000000000000000000000

Upgrade-Insecure-Requests: 1

user=1******&pass=123456789&submit=

基于此,我对该网站进行举报

0x03实验复现攻击流程

接着,我自己做了个小实验复现上述攻击流程并加以完善,同时将域名劫持为m.mail.qq.com并搭配ARP毒化进行中间人攻击

所使用的工具:

kali Linux,windowxp,ettercap,setoolkit

攻击者IP:[10.10.10.128]

受害者IP:[10.10.10.129]

进行主机扫描,发现受害者IP:[10.10.10.129]

指定攻击目标开始ARP欺骗

回到受害者主机,发现已经欺骗成功

开始DNS域名欺骗,未欺骗前,先检测是否可达到真实网址,如下显示网址可达,注意这里的IP地址为[59.37.96.184],欺骗后会发生变化

进行域名欺骗

劫持成功,m.mail.qq.com已经被劫持从而映射到攻击者的IP,此时ping的该域名,IP地址却是[10.10.10.128]

开始使用setoolkit进行社会工程学攻击,伪造网页,利用各种方法诱骗受害者进行登录,尽你所能,上面的案例就是使用二维码的方式

依次选择

1) Social-Engineering Attacks//社会工程学攻击

2) Website Attack Vectors//Web站点攻击载荷

3) Credential Harvester Attack Method//凭证收割机攻击方式

4) Site Cloner//站点克隆

接着输入IP地址和想要克隆的网址即可

此时受害者打开该网站进行登录,由于域名m.mail.qq.com已经被劫持到10.10.10.128,因此该页面为伪造的页面。

攻击者这边已经嗅探到受害者登录

由于时间有限,这里我没有构造截取密码的代码,其实只是一个简单的php提交表单,将受害者输入的账户密码截取下来保存至指定位置,类似部分表单代码如下:

//html代码

<html> <body> <form method="post" action="2018.php" target="_blank"> <input type="text" placeholder="请输入用户名" name="username"/> <br /> <input type="password" placeholder="请输入登录密码" name="password"/> <br /> <input type="submit" name="submit" value="登录"/> <input type="reset" name="reset" value="撤销"/> </form> </body> </html>

//php代码 <?php $username=$_REQUEST[‘username’];//接收帐号 $password=$_REQUEST[‘password’];//接收密码

......

很明显的,受害者的凭证已经被收集,如果登录没有进行限制则QQ可被任意登录并执行各种恶意操作:

防御方法:

1.非安全环境下勿点击来历不明的链接

2.QQ账户,以及涉及到资金财产的账户应该加手机验证码验证登录

3.学习网络安全知识,多看网络安全书籍,网络时代,信息泄露泛滥成灾,这其中“人”是主要因素,因此,提升安全意识迫在眉睫。

4.服务器提供方应当仔细审核上线的网站是否存在欺诈之类的违法行为并及时予以封停。

0x04最终结果

第二天我就收到了Tencent方面的邮件,告知已经对其进行拦截并同步到合作厂商

本文分享自微信公众号 - 字节脉搏实验室(zijiemaiboshiyanshi),作者:Jadore

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 后渗透学习二(UAC提权)

    当获得一个低权限的sessions时,这里是管理员权限,想进一步提升权限,可以使用UAC的方法,是因为此时无法通过getsystem直接提权

    字节脉搏实验室
  • Vulnhub XXE靶机复现

    靶机下载链接:https://download.vulnhub.com/xxe/XXE.zip

    字节脉搏实验室
  • sqlmap+burpsuit辅助批量注入验证

    SleuthQL是基于python3所开发的一款,用于批量爬行站点可能存在sql的地址。并且可以配合burp+sqlmap进行批量注入。

    字节脉搏实验室
  • conda环境配置

    新租了服务器,想做个简单的服务端,测试以下网络质量。刚开始打算用npm的http-server做一个,无奈出问题了。后来还是觉得干脆装个django

    py3study
  • Windows下多个Python版本共存

    卡尔曼和玻尔兹曼谁曼
  • 网络安全仍是企业管理盲区

    当前,许多企业对其网络的安全性都拥有不切实际的信心。   企业网络安全的典型盲点有很多,包括应用、网络流量、网络设备、用户的活动、虚拟化设备和数据中心...

    安恒信息
  • jenkins手把手教你从入门到放弃02-jenkins在Windows系统安装与配置(详解)

      上一篇对jenkins有了大致了解之后,那么我们就开始来安装一下jenkins。

    北京-宏哥
  • Python爬取“Python小屋”公众号所有文章生成独立Word文档

    封面图片:《Python程序设计实验指导书》(ISBN:9787302525790),董付国,清华大学出版社

    Python小屋屋主
  • Java描述设计模式(01):单例模式

    Singleton称为单例类,构造函数使用private修饰,确保系统中只能产生一个实例,并且自动生成的。上面代码也就是所谓的懒汉式加载:只有到使用该对象的时候...

    知了一笑
  • 木马手工查杀和隐藏控制技术分析

    step2.关闭360安全卫士、comodo防火墙。使用木马感染靶机后,靶机并无明显异常

    周俊辉

扫码关注云+社区

领取腾讯云代金券