茴香豆安全 - 别让你账号密码裸奔

先说点废话，在写这篇笔记之前，在我接触这个安全知识领域之前，我一直觉我的安全警觉性挺高的，尤其是对个人信息的账号密码这部分，我觉得只要我不主动透露，真的是万无一失。然后，我就被打脸了！
下面直接进入正题：）

什么是http这个我就不解释了，总之就是我们登陆一个网站的时候会通过发送一个http的请求到网站服务器，这个请求中就会包含我们的账号和密码。而这次我们就要截获到这个账号密码
以下所有操作都是建立在，攻击机和目标靶机都在同一个局域网下，并且知道靶机的IP（假设为192.168.1.172）的情况下，假设网关是192.168.1.1，至于怎么接入对方的局域网，怎么获取对方的IP这个就不是我们讨论的范围了

arpspoof，是常用的arp欺骗，流量劫持的工具，之前的文章有介绍过，这里可以复习下它的使用方法
ettercap，是一个集arp欺骗、dns欺骗，流量嗅探等功能于一身的强大工具。

arpspoof -i eth0 -t 192.168.1.172 192.168.1.1

echo 1 > /proc/sys/net/ipv4/ip_forward

ettercap -Tq -i eth0

我简单解释下 -T 是指纯文本形式，-q 是指静默模式，-i eth0 这个很显然就是网卡
ettercap 这个工具除了命令行的纯文本形式，还包括-G的图形界面模式，用户可以根据自己的喜好来使用。

图中，USER:XXXX PASS: XXXX,就是我们要拿的用户名和密码，有时候如果这两项是空的，你可以根据CONTENT的内容去分析，这个稍微懂点前端技术的人都应该会。

ettercap -Tq -M arp:remote /192.168.1.172// /192.168.1.1//

其中-M 就表示中间人模式，相当于在靶机192.168.1.172与网关192.168.1.1之间安插了一个中间人。很形象对吧。
最后嗅探到的结果，跟第一种组合方式是一样的。

这样用户名和密码就被我们拿到了。但是你可能会发现，这个密码有点奇怪，感觉很复杂，的确这个网站对他的密码做了加密，这相当于做了一道防护，这样即便被别人获取，不知道怎么解密危害也不大。不过并不是所有网站都会这么做的，还有很多网站都是明文传递的，这样就可以直接看到这个密码是什么。而且很多人都喜欢用同一个密码，所以你懂的。
有经验的人看到这样的密码都会先猜下是不是MD5加密，我们随便找个在线解密的试下，得到结果是123456

image.png
这就告诉我们密码不要搞得太简单，否则形同虚设。一个高强度的密码建议同时包含大小写字母、数字、特殊字符。

1、攻击者通过ARP欺骗监听客户端
2、客户端向服务器发送http请求，中间人如实转发请求
3、服务器回复https链接给中间人，中间人将链接篡改为http回复给客户端
4、客户端再次发送http给服务器，中间人将其改为https发送给服务端
5、至此，客户端与攻击者建立起http明文连接

vim /etc/ettercap/etter.conf

image.png

sslstrip -a -f -k

这样ettercap就可以抓到HTTPS的请求了，结果和上面的类似就不截图了。
其实在测试过程中遇到了各种各样的问题，因为现在的网络安全越来越重要，各大主流网站也采取了更加严格的安全检验措施，所以基本上都会警告证书错误，链接异常等，甚至直接不允许你输入账号密码。
所以我们只是学习并掌握技术流程，如何去解决上面这些问题也不在我们的讨论范围

1.不要连接陌生的，不安全的wifi和网络
2.不要随便登录一些不知名的网站，尤其是HTTP协议的网站
3.账号的密码要保证一定的复杂度，最好同时包含字符、大小写字母和数字
4.各个网站最好能使用不一样的账号和密码，防止殃及池鱼。