现在的孩纸都比较喜欢玩手机,堪称“拇指一族”,不管到哪玩都抱着手机,第一件事就是问有木有wifi啊?!
发现有没设置密码随连的wifi都会很兴奋的第一时间链接上去然后就各种玩了,这里我想说,可能当时你是玩的很爽,但是接下来要付出的代价可是很惨痛的,下面我从流亡的博客那边转了两个例子来给大家看看,希望大家知道天下免费的午餐是有,但是几率太小!COME ON!
例子一:伪造钓鱼WIFI
采用airssl.sh这个bash脚本,建立钓鱼热点。
原理:sslstrip+ettercap进行数据包的截获
0×01 配置
默认情况下,BT中的sslstrip和DHCP服务需要重新安装和设置
1.安装sslstrip
安装文件:
/pentest/web/sslstrip/setup.py
安装命令:
python setup.py install
2.DHCP的安装与配置:
①.安装 dhcp3 服务器:sudo apt-get install dhcp3-server
②.配置 dhcp3 服务,文件/etc/dhcp3/dhcpd.conf
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.2 192.168.1.100;
option domain-name-servers ns1.internal.example.org;
option domain-name "internal.example.org";
option routers 192.168.1.1;
option broadcast-address 192.168.1.101;
default-lease-time 600;
max-lease-time 7200;
}
③.重新启动服务sudo /etc/init.d/dhcp3-server restart
④.更改 dhcp3 服务监听的网卡,可以修改
/etc/default/dhcp3-server
INTERFACES="eth1"
0×02 建立热点
为airssl.sh添加执行权限,执行(相关输入输入)
然后分别是AP建立、DHCP建立、sslstrip开启、ettercap开启,如图所示:
0×03 测试
使用某android手机连接,
bash中会显示已经连接的设备:
测试百度帐号登录:
测试新浪微博登录:
0×04 防护
由于这种钓鱼攻击属于中间人攻击,较难被发现。谨慎使用未知的热点,尽量在可信的网络环境中登录帐号
提供:
案例二:[MITM]攻击健身教练
0X00 前因
入手Nexus 7 二代,准备装Ubuntu.
在装之前先玩玩原生系统.晚上去健身房的时候,小恶作剧了一下.
0X01 过程
===淘宝定位教练A===
到达健身房,让nexus 7 工作,于是自己变去健身,过会再来看结果.
不一会,设备上以后有很多条记录,筛选,找了一个登陆淘宝的进行测试.无压力的进入.
住址,联系电话,年龄,已经大概的体貌特征已经掌握.
翻阅购买记录,发现这位教练购买过华硕笔记本,和nike运动鞋.
在我练器械的时候,看见一位教练拿着笔记本从我前面走过
(职业本能,马上注意过去,根据电脑型号,以及打扮,完全能确定他就是被截取帐户的教练)
===微博定位教练B===
根据微博相片分析,已经成功分析出这位就是教练
PS:这只是个案例,童鞋们可以自由发挥.
文章到这里就全部结束了,看完童鞋们还喜欢免费wifi不!这里的例子都是没有恶意的检测,要是不法分子,支付宝和绑定的银行卡可能在你睡醒一觉后就空空如也了,希望各位谨慎登录无密码WIFI,即使是在一些有明显提供免费wifi的地方。比如一家咖啡馆提供的wifi名字是:luckCoffee,那么黑阔便可以伪造一个luckC0ffee(其中字母“o”为阿拉伯数字“0”),你能分清吗?
免费wifi 你可当点心吧
免费wifi,你可当点心吧
看到麦当劳就开心了,那里的wifi木有问题
@随风而逝 你不知道有个神器就是在同wifi环境下扫描爆破的吗
好可怕。
@私人定制百度影音 @私人定制百度影音: 是的
好可怕嘤嘤嘤……
@欣欣 @欣欣: e!