茴香豆安全 - 别让你账号密码裸奔

一、前言

  • 先说点废话,在写这篇笔记之前,在我接触这个安全知识领域之前,我一直觉我的安全警觉性挺高的,尤其是对个人信息的账号密码这部分,我觉得只要我不主动透露,真的是万无一失。然后,我就被打脸了!
  • 下面直接进入正题 :)

二、获取HTTP中的账号密码

  • 什么是http这个我就不解释了,总之就是我们登陆一个网站的时候会通过发送一个http的请求到网站服务器,这个请求中就会包含我们的账号和密码。而这次我们就要截获到这个账号密码
  • 以下所有操作都是建立在,攻击机和目标靶机都在同一个局域网下,并且知道靶机的IP(假设为192.168.1.172)的情况下,假设网关是192.168.1.1,至于怎么接入对方的局域网,怎么获取对方的IP这个就不是我们讨论的范围了

1. 采用arpspoof 和 ettercap 的组合方式。

arpspoof,是常用的arp欺骗,流量劫持的工具,之前的文章有介绍过,这里可以复习下它的使用方法
ettercap,是一个集arp欺骗、dns欺骗,流量嗅探等功能于一身的强大工具。

  • 我们先对目标机器执行arp欺骗,劫持他的流量经过我们的网卡并转发,这个应该很熟练了
arpspoof -i eth0 -t 192.168.1.172 192.168.1.1
  • 特别注意因为下面使用的 ettercap工具本身就具备流量转发功能,所以我们并不需要执行之前下面这句命令,以免数据被转发两次
echo 1 > /proc/sys/net/ipv4/ip_forward
  • 然后打开另外一个终端,使用ettercap工具开始嗅探,输入以下命令
ettercap -Tq -i eth0

我简单解释下 -T 是指纯文本形式,-q 是指静默模式,-i eth0 这个很显然就是网卡
ettercap 这个工具除了命令行的纯文本形式,还包括-G的图形界面模式,用户可以根据自己的喜好来使用。

  • 运行起来大概是下面图所示的样子


    20200522193542.jpg
  • 此时,目标机的用户开始登陆一个网站了,这个网站是采用的http的协议,类似下面的网站


    20200522193957.jpg
  • 当用户点击登录按钮,发送了一个http的请求之后,就会被我们给嗅探到,类似这样的


    20200522195707.jpg

图中,USER:XXXX PASS: XXXX,就是我们要拿的用户名和密码,有时候如果这两项是空的,你可以根据CONTENT的内容去分析,这个稍微懂点前端技术的人都应该会。

2. 直接使用ettercap的中间人模式

  • 这样可以不用arpspoof工具,就可以嗅探目标机器的流量,执行以下的命令
ettercap -Tq -M arp:remote /192.168.1.172// /192.168.1.1//

其中-M 就表示中间人模式,相当于在靶机192.168.1.172与网关192.168.1.1之间安插了一个中间人。很形象对吧。
最后嗅探到的结果,跟第一种组合方式是一样的。

  • 这样用户名和密码就被我们拿到了。但是你可能会发现,这个密码有点奇怪,感觉很复杂,的确这个网站对他的密码做了加密,这相当于做了一道防护,这样即便被别人获取,不知道怎么解密危害也不大。不过并不是所有网站都会这么做的,还有很多网站都是明文传递的,这样就可以直接看到这个密码是什么。而且很多人都喜欢用同一个密码,所以你懂的。
  • 有经验的人看到这样的密码都会先猜下是不是MD5加密,我们随便找个在线解密的试下,得到结果是123456


    image.png
  • 这就告诉我们密码不要搞得太简单,否则形同虚设。一个高强度的密码建议同时包含大小写字母、数字、特殊字符。

三、获取HTTPS中的账号密码

  • 因为http请求传递账户信息太不安全了,很容易被别人给截获,所以HTTPS就应运而生了,相当于是一个加密的请求。
  • 不过安全都是相对的,道高一尺,魔高一丈,我们可以采用SSLStrip工具进行降级攻击。

1. SSLStrip 降级攻击的基本原理

1、攻击者通过ARP欺骗监听客户端
2、客户端向服务器发送http请求,中间人如实转发请求
3、服务器回复https链接给中间人,中间人将链接篡改为http回复给客户端
4、客户端再次发送http给服务器,中间人将其改为https发送给服务端
5、至此,客户端与攻击者建立起http明文连接

2. 先修改 ettercap的配置

  • 执行下面的命令,然后如图所示,找到对应行,去除前面的”#“号,然后保存退出
vim /etc/ettercap/etter.conf
image.png

3.运行SSLStrip工具

  • 打开三个终端分别运行 arpspoof 、sslstrip、ettercap三个工具
sslstrip -a -f -k
  • 这样ettercap就可以抓到HTTPS的请求了,结果和上面的类似就不截图了。
  • 其实在测试过程中遇到了各种各样的问题,因为现在的网络安全越来越重要,各大主流网站也采取了更加严格的安全检验措施,所以基本上都会警告证书错误,链接异常等,甚至直接不允许你输入账号密码。
  • 所以我们只是学习并掌握技术流程,如何去解决上面这些问题也不在我们的讨论范围

四、最后

  • 保证我们的账号和密码安全真的很重要,根据上面的笔记内容,日常生活中我们需要注意以下几点

1.不要连接陌生的,不安全的wifi和网络
2.不要随便登录一些不知名的网站,尤其是HTTP协议的网站
3.账号的密码要保证一定的复杂度,最好同时包含 字符、大小写字母和数字
4.各个网站最好能使用不一样的账号和密码,防止殃及池鱼。

你可能感兴趣的:(茴香豆安全 - 别让你账号密码裸奔)