dns2proxy
Описание dns2proxy
Это наступательный DNS сервер.
Этот инструмент предлагает различные функции последующей эксплуатации для жертвы, у которой вы изменили DNS.
Домашняя страница: https://github.com/singe/dns2proxy/ (доступный форк). Первоначально программа была опубликована автором по адресу https://github.com/LeonardoNve/dns2proxy, но из-за нового испанского закона, запрещающего публикацию "наступательных" инструментов/техник в сфере безопасности, он был вынужден удалить исходный код.
Автор: LeonardoNve
Лицения: GPLv3
Справка по dns2proxy
использование:
dns2proxy.py [-h] [-N] [-i INTERFACE] [-u IP1] [-d IP2] [-I IPS] [-S] [-A ADMINIP]
опциональные аргументы:
-h, --help показать справку и выйти
-N, --noforward DNS перенаправление OFF (по умолчанию ON)
-i ИНТЕРФЕЙС, --interface ИНТЕРФЕЙС Интерфейс для использования
-u IP1, --ip1 IP1 Первый IP для добавления в ответ
-d IP2, --ip2 IP2 Второй IP для добавления в ответ
-I IPS, --ips IPS Список из IP для добавления после ip1,ip2 разделяется запятой
-S, --silent Молчаливый режим
-A ADMINIP, --adminIP ADMINIP IP администратора, который не фильтровать
Руководство по dns2proxy
Страница man отсутствует.
Функция 1
Традиционный спуф DNS добавляет в ответ оригинальный IP адрес.
Использование spoof.cfg file:
hostname ip.ip.ip.ip
root@kali:~/dns2proxy# echo "www.s21sec.com 1.1.1.1" > spoof.cfg // запустите в другом терминале dns2proxy.py root@kali:~/dns2proxy# nslookup www.s21sec.com 127.0.0.1 Server: 127.0.0.1 Address: 127.0.0.1#53 Name: www.s21sec.com Address: 1.1.1.1 Name: www.s21sec.com Address: 88.84.64.30
или вы можете использовать файл domains.cfg, чтобы спуфить все хосты этого же домена:
root@kali:~/demoBH/dns2proxy# cat dominios.cfg .domain.com 192.168.1.1 root@kali:~/demoBH/dns2proxy# nslookup aaaa.domain.com 127.0.0.1 Server: 127.0.0.1 Address: 127.0.0.1#53 Name: aaaa.domain.com Address: 192.168.1.1
Имена хостов в nospoof.cfg не будут спуфиться.
Функция 2
Эта функция реализовывает атаку спуфинга DNS добавлением 2 IP адресов на верхушку запросов (резолюции) и настраивает систему следовать этим соединениям.
Вы можете посмотреть подробности в материалах BlackHat Asia 2014 OFFENSIVE: EXPLOITING DNS SERVERS CHANGES и в демо видео.
Для запуска этой атаки есть шеллскрипт, который автоматически настраивает систему использовать IP таблицы. Вы должны отредактировать этот файл, чтобы он подходил к вашей системе. НЕ ЗАБУДЬТЕ переменную AdminIP!!!!!
Оба IP должны быть должны быть в той же самой системе, чтобы позволить dns2proxy.py настроить форвардинг.
Использование:
ia.sh < интерфейс > [ip1] [ip2]
root@kali:~/dns2proxy# ./ia.sh eth0 172.16.48.128 172.16.48.230 Non spoofing imap.gmail.com Non spoofing mail.s21sec.com Non spoofing www.google.com Non spoofing www.apple.com Non spoofing ccgenerals.ms19.gamespy.com Non spoofing master.gamespy.com Non spoofing gpcm.gamespy.com Non spoofing launch.gamespyarcade.com Non spoofing peerchat.gamespy.com Non spoofing gamestats.gamespy.com Specific host spoofing www.s21sec.com with 1.1.1.1 Specific domain IP .domain.com with 192.168.1.1 binded to UDP port 53. waiting requests. Starting sniffing in (eth0 = 172.16.48.128).... < в другом терминале > root@kali:~/dns2proxy# nslookup www.microsoft.com 127.0.0.1 Server: 127.0.0.1 Address: 127.0.0.1#53 Name: www.microsoft.com Address: 172.16.48.128 Name: www.microsoft.com Address: 172.16.48.230 Name: www.microsoft.com Address: 65.55.57.27
Скрипт fhtang.sh закроет программу и восстановит нормальные iptables.
Имена хостов в nospoof.cfg не будут спуфиться.
Функция 3
Этот dns сервер автоматически выявляет и корректирует изменения, которые делает sslstrip+ в именах хостов, чтобы избежать HSTS, поэтому будет отвечать должным образом.
Этот сервер необходим для выполнения атаки sslstrip+.
root@kali:~/dns2proxy# nslookup webaccounts.google.com 127.0.0.1 <-- DNS ответ вроде accounts.google.com Server: 127.0.0.1 Address: 127.0.0.1#53 Name: webaccounts.google.com Address: 172.16.48.128 Name: webaccounts.google.com Address: 172.16.48.230 Name: webaccounts.google.com Address: 74.125.200.84 root@kali:~/dns2proxy# nslookup wwww.yahoo.com 127.0.0.1 <-- Обрати внимание на 4 w! DNS ответ вроде Server: 127.0.0.1 www.yahoo.com Address: 127.0.0.1#53 Name: wwww.yahoo.com Address: 172.16.48.128 Name: wwww.yahoo.com Address: 172.16.48.230 Name: wwww.yahoo.com Address: 68.142.243.179 Name: wwww.yahoo.com Address: 68.180.206.184
Описание файлов конфигурации dns2proxy
domains.cfg (или dominios.cfg): резолвит все хосты, которые есть в списке доменов по списку IP
Пример: .facebook.com 1.2.3.4 .fbi.gov 1.2.3.4
spoof.cfg : Спуфит хосты с ip
Пример: www.nsa.gov 127.0.0.1
nospoof.cfg: Отправляет всегда легитимный ответ, когда запрашиваются эти хосты.
Пример. mail.google.com
nospoofto.cfg: Не отправлять фальшивые ответы по IP из этого списка.
Пример: 127.0.0.1 4.5.6.8
victims.cfg: Если не пусто, отправлять фальшивые ответы только по этим IP адресам.
Пример: 23.66.163.36 195.12.226.131
resolv.conf: DNS сервер для передачи запросов.
Пример: nameserver 8.8.8.8
Примеры запуска dns2proxy
Информация в данный раздел будет добавлена позже.
Установка dns2proxy
Установка в Kali Linux
apt-get install python-dnspython python-pcapy git clone https://github.com/singe/dns2proxy.git cd dns2proxy/ python ./dns2proxy.py
Установка в Debian, Ubuntu, Mint
sudo apt-get install python-dnspython python-pcapy git clone https://github.com/singe/dns2proxy.git cd dns2proxy/ sudo python ./dns2proxy.py
Информация об установке в другие операционные системы будет добавлена позже.
Скриншоты dns2proxy
Это утилита командной строки.
Инструкции по dns2proxy
- Инструкция по использованию SSLStrip+ и dns2proxy для обхода HSTS
- Инструкция по использованию Router Scan by Stas’M. Часть третья: Применение фальшивого VPN (атака человек-посередине+обход HSTS)
Comments are Closed