9.28 DNS劫持与Phpsutdy后门利用复现

DNS劫持

环境：winserver 2003  192.168.56.141 被攻击者

  Kali 192.168.56.139  攻击者

Step1：在攻击者的电脑中搭建web服务

Step2：在终端中打开Ettercap的DNS文件 /etc/ettercap/etter.dns，在其中（90行左右）添加欺骗的A记录和PTR记录（类似原有格式，添加新的ip和欺骗域名类型，如www.*.com，地址为要跳转到的网页IP地址，这样所有的www.*.com网页都会跳转到192.168.56.139）

 

 

Step3：kali终端输入ettercap -G进入该工具的图形化界面

 

 

 

找到进行网络主机扫描：sniff，选择unified sniffing

 

 

 

Step4：查看扫描到的主机的情况

点击hosts list查看扫描主机结果，选中需要劫持的地址的网关add to target1，

需要劫持的ip地址add to target2

 

 

 

点击Mitm ，点击ARP poisoning，勾选中第一个

 

开启dns劫持插件，点击插件plugins，选择第一个设置插件

 

双击dns_spoof，左边会有*提示插件打开

 

Step5：在菜单栏中start，点击start sniffing，开始进行ARP欺骗以及DNS劫持

Step6：在攻击者电脑中访问www.baidu.com（www.*.com）看到的却是欺骗页面192.168.56.139，即欺骗成功

 

 

 

Phpsutdy后门利用复现

漏洞：程序包自带的PHP的php_xmlrpc.dll模块中有隐藏的后门

影响版本：phpstudy 2016（php5.4/5.2）、phpstudy 2018（php5.4/5.2）

安装目录下的C:\phpstudy\PHPTutorial\php\php-5.4.45\php_xmlrpc.dll 用记事本打开，找到@eval的一些代码,那么说明该phpsutdy存在后门。

开启phpstudy的服务，从外部浏览器访问该php开启的web服务，开启代理，用BP拦截请求，之后进入repeater服务，

 

 

删除Accept-Encoding:gzip,deflate代码中deflate前的空格，

并在下方加入代码Accept-Chaarset:

 

后面的命令是被64位加密的正常代码，可以自己更改，比如system(‘ipconfig’); 进行加密后

转成了

 

 

 

那么这个代码加在Accept-Chaarset:后方，点击go

则会返回开启phpstudy的电脑的信息（这里是测试用虚拟机的数据）。