利用WiFi PineApple实现DNS欺骗和输入劫持 前言最近有几个项目利用到DNS欺骗和输入劫持,然后就搜索了关于这方面的资料,发现了Wifi Pineapple这款设备,这款设备主要有以下几个功能: l URL Snarf(URL地址监听) l DNS Spoof(DNS欺骗) l 3G redial(3G拨号) l 等等 对这款设备感兴趣的朋友可以参考wifipi.org官方网站,下面我们进入今天的主题。 现在很多公共场所均提供免费的无线WIFI,很多朋友在使用这些免费的WIFI同时,有没有考虑到这些WIFI是否安全,尤其是你利用这些WIFI进行登录付款时,某些页面是否是正常页面还是钓鱼的网站? DNS欺骗和输入劫持本文的测试目标是吉林大学某后台管理系统(chem.jlu.edu.cn)。本文将利用WIFI Piapple设备演示攻击者如何通过WIFI窃取用户的登录账号密码。 1、首先打开管理系统登录页面,将网页另存到本地,重命名为xx,这也就是攻击者将利用到的钓鱼页面。 2、用记事本打开桌面xx.html文件,找到FORM表单,将“action=login.php”改为“action=error.php”,并且将用户账号密码输入框的name属性分别修改为“name=name”和“name=pass”。当用户在xx.html钓鱼页面输入账号密码后,所输入的账号密码信息将会写到设备日志文件中。 3、打开winscp软件,远程连接到Wifi PineApple设备上,将钓鱼网页xx包括file文件全部移动到设备目录/web中。 4、由于设备的默认网站目录为/www,因此,我们需要创建一个连接,使用命令:
5、登录Wifi Pineapple设备管理页面,点击进入dnsspoof功能模块,设置“HOST”选项,添加“172.16.42.1 chem.jlu.edu.cn”。 6、设置Redirect.php钓鱼跳转页面,将“if (strpos($ref, 'example'))”设置为“if (strpos($ref, 'chem'))”,其中这段代码的意思为当URL中出现“chem”字符时,将会执行if条件中的代码,同理,如果钓鱼新浪页面的话,我们就需要把这段代码中的chem改为sina,因为新浪(sina.com)中包含sina关键字。添加钓鱼页面“header('Location: xx.html');”,完整代码如下:
7、清空dns缓存,然后输入:chem.jlu.edu.cn,设备将自动跳转到钓鱼页面,在用户登录框中输入账号密码test/test。 8、账号密码会自动记录到/tmp/pineapple-phish.log文件中。 总结建议用户在连接公共WiFi的时候,最好仔细甄别WiFi来源,确认WiFi信号来源的可靠性。以下是一些安全使用公共WiFi的建议: l 接入公共场所WiFi网络时,应向店家确认SSID名称和密码,防范使用可能混淆的名称骗取信任,避免接入未知来源的公共WiFi网络。 l 当不需要上网时,请关闭手机或Pad的无线网卡;不要将手机设置为自动连接WiFi网络。 l 使用自己的手机开启WiFi热点,用运营商提供的2G、3G、4G数据上网,能够避免虚假WiFi欺诈的问题。 l 尽量避免通过公共WiFi操作敏感业务,比如网银、购物或收发涉密邮件文件等。
转载请注明出处 APT博客 ? 利用WiFi PineApple实现DNS欺骗和输入劫持 |
|