大家有没有过这样的经历?当你在上网的时候,浏览器会提示你:你正在访问的网页没有采用加密的连接,请勿输入任何账号和密码?如果你输入了,很有可能,你的账号信息就会遭到泄露!

HTTP协议和几个原理
ARP基础:我之前·kali渗透指南视频专栏课程·已经讲过了,这里不再赘述。简单的说,就是使用mac地址和ip地址进行通信的局域网协议!
HTTP协议:一种上网、网页请求通信协议。该协议使用明文传输,即在传输过程中不对数据进行加密,因为http的不安全性,所以在局域网环境中,可以通过ARP欺骗,将目标主机的网络数据包都流经攻击者,然后再通过嗅探的方式从而获取到HTTP的一些数据信息。
Ettercap:一个kali自带的中间人攻击套件。
实战演示HTTP嗅探
攻击主机:kali主机 192.168.31.251
靶机:Win10 192.168.31.6
网络环境:桥接网络
前往kali,开启kali的路由转发在终端中输入:
echo 1 > /proc/sys/net/ipv4/ip_forward
意思是往ip_forward文件写入数值1,开启路由转发!
在kali中开启ARP欺骗在终端下输入:
arpspoof -i eth0(网卡) -t 192.168.31.6(目标IP) 192.168.31.1(网关)
嗅探HTTP登录密码既然已经完成了路由转发和ARP双向欺骗,现在该放大招的时候了!
在kali下新建一个终端,输入:
ettercap -Tq -i eth0
然后,你就静等目标靶机上网,就能获取目标在网页中输入的用户名和密码了。
提示:这里仅仅是获取http类型网页的用户登录密码,而现在主流的网页都是https协议的,下节课再讲解,其实,还有相当多的网站还是使用http协议的。
此时,前往win10靶机模拟在http类型的网站页面进行登录,如图:
你会发现,不仅获得了账号和密码,还有访问的目标网址,以及对应的IP地址,连输入的验证码都没有放过。
另外http类型的登录网页,自己查找,也可以直接看上图中的两个!
仅用于测试,禁止用于攻击网站平台!
小白嘿客我想说
想学习更多网络安全、白帽黑客技术,关注@小白嘿客,可以点击下面加入学习:
>>《kali黑客渗透》
>>《新手到web白帽黑客》
>>《安卓黑客训练营》
温馨提醒:仅用于网络安全教学,切勿用于不当目的!


还没有评论,来说两句吧...