不要看到没密码的WIFI就高兴,那可能是个噩梦

/ 8评 / 0

现在的孩纸都比较喜欢玩手机,堪称“拇指一族”,不管到哪玩都抱着手机,第一件事就是问有木有wifi啊?!

发现有没设置密码随连的wifi都会很兴奋的第一时间链接上去然后就各种玩了,这里我想说,可能当时你是玩的很爽,但是接下来要付出的代价可是很惨痛的,下面我从流亡的博客那边转了两个例子来给大家看看,希望大家知道天下免费的午餐是有,但是几率太小!COME ON!


 

例子一:伪造钓鱼WIFI

采用airssl.sh这个bash脚本,建立钓鱼热点。

原理:sslstrip+ettercap进行数据包的截获

0×01 配置

默认情况下,BT中的sslstrip和DHCP服务需要重新安装和设置

1.安装sslstrip

安装文件:
/pentest/web/sslstrip/setup.py

安装命令:
python setup.py install

2.DHCP的安装与配置:

①.安装 dhcp3 服务器:sudo apt-get install dhcp3-server

②.配置 dhcp3 服务,文件/etc/dhcp3/dhcpd.conf

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.2 192.168.1.100;
option domain-name-servers ns1.internal.example.org;
option domain-name "internal.example.org";
option routers 192.168.1.1;
option broadcast-address 192.168.1.101;
default-lease-time 600;
max-lease-time 7200;
}

③.重新启动服务sudo /etc/init.d/dhcp3-server restart

④.更改 dhcp3 服务监听的网卡,可以修改

/etc/default/dhcp3-server
INTERFACES="eth1"

0×02 建立热点

为airssl.sh添加执行权限,执行(相关输入输入)

53151360210810

然后分别是AP建立、DHCP建立、sslstrip开启、ettercap开启,如图所示:

0×03 测试

使用某android手机连接,

bash中会显示已经连接的设备:

测试百度帐号登录:

测试新浪微博登录:

0×04 防护

由于这种钓鱼攻击属于中间人攻击,较难被发现。谨慎使用未知的热点,尽量在可信的网络环境中登录帐号

提供:


 

案例二:[MITM]攻击健身教练

0X00 前因

入手Nexus 7 二代,准备装Ubuntu.

在装之前先玩玩原生系统.晚上去健身房的时候,小恶作剧了一下.

0X01 过程

 

===淘宝定位教练A===

到达健身房,让nexus 7 工作,于是自己变去健身,过会再来看结果.

不一会,设备上以后有很多条记录,筛选,找了一个登陆淘宝的进行测试.无压力的进入.

住址,联系电话,年龄,已经大概的体貌特征已经掌握.

翻阅购买记录,发现这位教练购买过华硕笔记本,和nike运动鞋.

在我练器械的时候,看见一位教练拿着笔记本从我前面走过

(职业本能,马上注意过去,根据电脑型号,以及打扮,完全能确定他就是被截取帐户的教练)

===微博定位教练B===

根据微博相片分析,已经成功分析出这位就是教练

PS:这只是个案例,童鞋们可以自由发挥.


文章到这里就全部结束了,看完童鞋们还喜欢免费wifi不!这里的例子都是没有恶意的检测,要是不法分子,支付宝和绑定的银行卡可能在你睡醒一觉后就空空如也了,希望各位谨慎登录无密码WIFI,即使是在一些有明显提供免费wifi的地方。比如一家咖啡馆提供的wifi名字是:luckCoffee,那么黑阔便可以伪造一个luckC0ffee(其中字母“o”为阿拉伯数字“0”),你能分清吗?

 

《 “不要看到没密码的WIFI就高兴,那可能是个噩梦” 》 有 8 条评论

  1. 邓光超说道:

    免费wifi 你可当点心吧

  2. 邓光超说道:

    免费wifi,你可当点心吧

  3. 随风而逝说道:

    看到麦当劳就开心了,那里的wifi木有问题

  4. 欣欣说道:

    好可怕嘤嘤嘤……

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注