关于Kali获取HTTP账号密码的学习笔记
2017-03-14 22:21
411 查看
HTTP协议是进行明文传输的,即在传输过程中不对数据进行加密。在局域网环境中,通过ARP欺骗,将目标主机的网络包都流经攻击者,然后再通过嗅探的方式从而获取到HTTP的一些数据信息。下面主要是利用ettercap来进行嗅探,目标主机还是选择Ubuntu。
先是在Kali中开启转发流量:
或
sysctl -w net.ipv4.ip_forward=1
进行ARP欺骗:
在Ubuntu上访问得了网站:
Ettercap进行嗅探:
-T参数即--text,启动文本模式;-q参数即--quiet,不显示包的内容
然后Ubuntu用户登录DVWA:
登录进去之后,在Kali的嗅探窗口中显示出了相关的登录信息,包括账号密码、登录的URL等:
结果中还把GET方法的参数一并嗅探了出来。
另外再尝试一下,当登录名称的字符是中文时,在嗅探到的内容中Content中的内容不是中文而是其URL形式的编码:
对于这种编码直接URL解码即可,因为用Burpsuite或火狐的HackBar解码会出现乱码,最简单的方法是去URL解码的网站进行解码:
接着进行各种测试,Ubuntu在DVWA的Brute Force中输入账号密码进行测试,然后再Kali中也嗅探到:
对于HTTP信息嗅探暂且这么点,往后学到更好的方法将更新~
先是在Kali中开启转发流量:
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1
进行ARP欺骗:
arpspoof -i eth0 -t 10.10.10.134 10.10.10.2
在Ubuntu上访问得了网站:
Ettercap进行嗅探:
ettercap -Tq -i eth0
-T参数即--text,启动文本模式;-q参数即--quiet,不显示包的内容
然后Ubuntu用户登录DVWA:
登录进去之后,在Kali的嗅探窗口中显示出了相关的登录信息,包括账号密码、登录的URL等:
结果中还把GET方法的参数一并嗅探了出来。
另外再尝试一下,当登录名称的字符是中文时,在嗅探到的内容中Content中的内容不是中文而是其URL形式的编码:
对于这种编码直接URL解码即可,因为用Burpsuite或火狐的HackBar解码会出现乱码,最简单的方法是去URL解码的网站进行解码:
接着进行各种测试,Ubuntu在DVWA的Brute Force中输入账号密码进行测试,然后再Kali中也嗅探到:
对于HTTP信息嗅探暂且这么点,往后学到更好的方法将更新~
相关文章推荐
- 学习笔记之 WCF安全(2) 基本身份验证(windows账号密码)(wsHttpBinding)
- 【Struts2学习笔记(8)】访问或添加request/session/application属性获取HttpServletRequest / HttpSession / ServletContex
- 关于http服务器的学习笔记 基于CC3200
- JSP&&SERVLET学习笔记(四):关于HttpServletRequest
- node.js学习笔记之HTTP获取客户端请求信息
- Swift学习笔记 - OC中关于NSClassFromString获取不到Swift类的解决方案
- Spring学习笔记(三十四):关于http的get请求返回的数据过长问题
- Flask学习总结笔记(10) -- 利用Werkzeug实现账号密码加密存储
- [Silverlight学习笔记]关于利用WCF RIA Service进行通信并在客户端获取数据
- 学习笔记-spring-mybatis-jsoup-http-client小说站点爬虫(1)--获取小说站点章节列表
- Swift学习笔记 - OC中关于NSClassFromString获取不到Swift类的解决方案
- 关于Kali的两个Webshell(Webacoo和Weevely)的学习笔记
- HTTP&HTTPS账号密码获取与ettercap局域网内DNS欺骗
- 关于Kali进行ARP欺骗的学习笔记
- Spring学习笔记(二十三):关于STS提示"javax.servlet.http.HttpServletRequest cant be resolved"的问题
- kali攻防第5章 内网称霸之HTTPS账号密码获取
- 学习笔记:查看谷歌浏览器的登陆账号以及密码
- 关于用jsp实现http认证安全登陆的学习笔记。(正在原创ing)
- 关于http服务器的学习笔记 基于CC3200
- [学习笔记]关于JavaBran的部署--部署class