實戰黑客是如何通過釣魚wifi 盜取密碼的?
黑客是如何通過釣魚wifi 盜取密碼的?
先直接上需要用到的工具和相關素材,
有路由就有了一切,
提供個思路,
假定支付寶app的通信域名為:app.xxx.com
假定登錄操作請求為:app.alipay.com/login/username=*&password=*
那麼從路由端劫持一下這個域名就行了,至於什麼http?ssl?
路由器在自己手裡這些是問題?
當然如果app是通過先加密再傳輸密碼的話,那麼從app這裡看似是走不通了
其實,我還是想說,
路由器在自己手裡這些是問題?
Fluxion工作原理
a.掃描能夠接收到的WIFI信號
b.抓取握手包(這一步的目的是為了驗證WiFi密碼是否正確)
c.使用WEB介面
d.啟動一個假的AP實例來模擬原本的接入點
e.然後會生成一個MDK3進程。如果普通用戶已經連接到這個WiFi,也會輸入WiFi密碼
f.隨後啟動一個模擬的DNS伺服器並且抓取所有的DNS請求,會把請求重新定向到一個含有惡意腳本的HOST地址
g.隨後會彈出一個窗口提示用戶輸入正確的WiFi密碼
h.用戶輸入的密碼將和第二步抓到的握手包做比較來核實密碼是否正確
j.這個程序是自動化運行的,並且能夠很快的抓取到WiFi密碼
0x02-Kali上安裝fluxion
Github地址:
GitHub - deltaxflux/fluxion: FLUXION
那Kali-linux系統 在Github如何下載:
命令:git clone
Fluxion工具使用說明
想要系統學習Java知識加入學習群一四四九零一零七六可以免費學習java還有大量學習乾貨哦 學完推薦工作
步驟一:
圖10
步驟二:
開啟之後的截圖,這時我們要選擇語言,我選擇的是2-English
圖11
步驟三:
選擇語言之後fluxion會讓你選擇網卡,因為是無線網路,只有一個無線網卡,就選1
圖12
步驟四:
之後要選擇通信信道,一般都是選擇all
圖13
步驟五:
選擇之後會自動掃描附近的無線AP
圖14
步驟六:
我選用的是信號最好的要測試的Huawei(已抹去部分名字),選擇好目標之後按ctrl-c停止掃描,按照目標前面的數字序號選中目標就可以了,我這裡是18。按r是重新掃描
圖15
步驟七:
這裡我們選中1—虛假AP
圖16
步驟八:
之後這裡會碰到一個選項叫你選擇握手包的保存路徑。你可以直接空格鍵跳過,這樣握手包會保存在默認路徑下。
圖17
步驟九:
隨後選擇1,其目的是選擇aircrack-ng開始抓取握手包。
圖18
步驟十:
隨後再選擇1,這樣會使目標WiFi的用戶進行統一的一個分配。
圖19
步驟十一:
這個時候開始抓取握手包。一個窗口主要是抓取WPA數據包的,而另外一個窗口是分配數據包的。這個時候我們要等一下,要是wifi是有人使用而且流量較大的話也就1分鐘的樣子,一般等上個1到3分鐘是比較好的。然後我們選中1,如果是握手包的數量不足我們就選中1檢查握手包,選項是不會被執行的
圖20
步驟十二:
有了握手包之後,我們可以使用字典來猜解密碼,但是耗費時間較長,我們這次採用建立虛假AP的方式來騙取密碼,所以我們選擇1。然後它會叫我們選擇語言,我還是選擇了英語
圖21
步驟十三:
選擇完語言後它會開啟新的四個控制窗口,並且建立虛假的AP,用戶分配等操作。
GIF/29K
圖22
步驟十四:
這時建立了一個虛假的AP,和真正的AP名字相同,但是沒有密碼,而且這個時候是沒有辦法連接到真實的AP的,所以機器會連接到我們做的虛假的AP上。
步驟十五:
打開瀏覽器,發現我們要輸入密碼了
如果我們輸入的密碼是錯誤的,那麼當fluxion驗證之後我們還是不能上網,依然是如上圖那樣的鍵入密碼的頁面,當我們輸入正確的密碼的時候,fluxion會自動結束程序並顯示密碼以及生成破解日誌。程序結束後我們做的虛假AP自然就不見了,這時提交了真實密碼的機器會自動連上真實的AP了,作為不知情的人來說,他們可能只是感覺信號不太好,不過後面又可以上網了,一般就沒有人去追究了,熟不知自己的wifi密碼已經落入他人之手。
.
想要系統學習Java知識 加入學習群一四四九零一零七六 可以免費學習java還有大量學習乾貨哦 學完推薦工作
※為什麼具有編程思維的孩子更容易成功?
※做代碼審查必須得有工具,推薦N個最佳代碼審查工具
※傳說中Python最難理解的點看這完篇就夠了
※Web前端程序員的翻身,從5K到25K,從碼農到架構師
TAG:IT技術java交流 |
※蘋果:謹防郵件與iTunes賬單的釣魚詐騙
※加密貨幣新騙局:釣魚用戶可劫持驗證過的Twitter賬戶進行詐騙
※shellcode快捷編寫工具,可針對多種常見系統指令編寫;POT:Twitter釣魚,全自動模仿給好友發釣魚鏈接
※Security Hackress:釣魚攻擊,我才不是你的鉤上魚
※蘋果提醒用戶 謹防App Store與iTunes賬單的釣魚詐騙
※黑客發起大規模網路釣魚攻擊旨在繞過Gmail、雅虎的雙因素認證
※最新釣魚詐騙盯上iPhone用戶:冒充蘋果官方來電
※Prime Day釣魚網站激增,賣家如何避開詐騙「陷阱」
※銀行木馬Hancitor捲土重來,主要通過釣魚郵件傳播
※PowerDolphin小海豚水下無人機發布!釣魚、救援、拍攝無所不能
※最新釣魚詐騙盯上iPhone用戶:冒充蘋果公司官方來電!
※Inception bar:一種新的釣魚方法
※Bindweed:深入挖掘隱藏的釣魚網路
※Netmarble新作釣魚手游《釣魚大亨》正式配信
※加密貨幣新騙局產生,Facebook成了釣魚網站?
※蘋果用戶注意啦!警惕新一輪App Store釣魚郵件
※新一輪釣魚郵件盯上App Store,蘋果警告用戶:不要透露這4項信息
※你連的Wi-Fi或許是假的釣魚AP
※《冰湖釣魚》Steam上好評不斷 冰面垂釣樂趣無窮
※iOS 讀取 QR 條碼功能有問題,可被利用誘導至釣魚網站