KALI嗅探(稍简)

要点1嗅探https登录密码

基本所有的HTTPS网页比如:https://www.baidu.com,都会采用ssl证书加密机制,这是为了用户的隐私安全不被攻击者明文窃取。上一节课我使用http网页直接能嗅探到用户登录网页的用户密码,如果是https网页,在不使用伪装欺骗技术的前提下,账号是无法窃取,而且还会提示证书风险提示。

那如何绕过ssl进行嗅探https网页提交的个人账号信息呢?

要点2

嗅探原理:

使用SSL Strip攻击,让我们的kali充当中间人(代理服务器),一边负责和靶机win7之间进行http明文传输通信,kali能够截获明文数据。而另一边kali进行路由转发,和win7原本要连接的服务器进行正常的https通信!

准备工作:

攻击主机:kali主机 192.168.31.251,进入su root用户下操作!

靶机:Win7 192.168.31.16

网络环境:桥接网络

工具sslstrip:kali2020是没有默认安装的,需要自行安装

arpspoof -i eth0(网卡) -t 192.168.31.16(目标IP) 192.168.31.1(网关)

在新的终端下输入:

arpspoof -i eth0(网卡) -t 192.168.31.1(网关) 192

你可能感兴趣的