校园网认证明文传输获取校园网账号密码

最新推荐文章于 2024-11-24 19:03:51 发布
最新推荐文章于 2024-11-24 19:03:51 发布
阅读量3.8k 收藏 21
点赞数
分类专栏: 安全 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45118881/article/details/120386538
版权

偶然一次在抓包看我们学校校园网认证的过程中发现在校园网认证过程中,其密码与账户是明文传输的

在这里插入图片描述

  • 在提交的数据中密码与用户名是明文传输:

在这里插入图片描述

  • 除此之外其cookie中也明文的包含着用户名与密码:

  • 也就是说说不定可以在校园网嗅探进行arp欺骗一下,看看能不能抓到认证的时候提交的数据包或者cookie。

用虚拟机试一下,本机的ip信息:

在这里插入图片描述

虚拟机的ip信息:

在这里插入图片描述

使用nmap进行此网段扫描,数量太大仅扫描本网段:

在这里插入图片描述

可以看到,大部分的mac地址应该都被锐捷过滤掉了,所以没有有用的mac地址,且arp欺骗的前提有两点:

  • 1.得知其真实的ip地址以及mac地址

  • 2.两台主机可以互相通信可以发arp包

大部分主机不可以通信也不可以知道其真实的mac地址,只能用本机做实验。

打开ettercap,选中本机的ip加入targrt1和target2,进行arp spoofing,查看链接,成功后,在本机访问校园网页面进行登录或者,校园网页面,进行查看cookie都可以看到明文的用户名以及密码:

  • 这是通过拦截信息对校园网地址申请的记录查看cookie得到用户名以及密码:

在这里插入图片描述

  • 这是通过拦截一开始的登录页面提交的post表单得到用户名以及密码:

在这里插入图片描述

结论:

  • 虽然靠arp欺骗这种方式得到用户名密码的条件很苛刻,因为我扫描校园网的时候并不是全部都是得不到真正的mac地址有的可以得到有效的ip地址以及,mac地址且可以正常通讯,因此如果想要获得几个校园网账户密码是可行的事情,现在疫情期间在校人数少,扫描不到,之前扫描的ip信息都已经变了不可以使用。
  • 因为在校园网扫描条件苛刻,所以除了用arp欺骗外,你也可以买个路由器设置成和校园网一个名字,在其连接认证的之前进行arp欺骗,在自己买的路由器当然可以扫描到他的ip和mac,并且可以发arp包了
    有效的ip以及mac地址
网站安全之密码明文传输漏洞
owen_william的博客
03-26 2万+
1.  说明问题      相信关注笔者的读者应该有看过笔者之前写过的一篇文章——《keytool的用法》.这篇博客是介绍了如何生成系统使用的证书。而这个证书是在https中使用的,对于https的地址我们不用担心密码传输时出现漏洞,也就是被别人强制性拦截然后获取。它在传输时是会加密的。但是对于http的协议就没那么好了,如果你不做一些工作的话,密码传输的时候,很容易被拦截工具拦截,然后就可
Wiresharp抓明文用户名和密码
weixin_51909453的博客
10-24 1180
Wireshark抓包 Wiresharp抓明文用户名和密码 如果你的网站的协议是http的,那么你的数据在网线中传输就是明文的,不加密的。只要黑客能抓到这一段数据,就轻松获得你的账号和密码。本文介绍如何在本地抓自己的包中的用户名和密码HTTPHTTPS 的区别 一、管理员身份打开cmd 输入命令行ipconfig得到ip地址(因为我连接的校园网 所以找到WLAN的ip) 二、打开Wiresharp,输入ip src host 你的ip地址,选择你所连接的网右键开始抓包 三、打开一个http
用wireshark抓取校园网登录名密码
weixin_33860553的博客
05-05 4573
心血来潮试试,开始想用fiddler,结果不太会用,就用了wireshark。 校园网没有配置域名 原来以为校园网会用https不会得到什么结果,后来发现是http,而且chrome也提示了该网站不安全,就试试吧。 打开wireshark,然后通过他的过滤器,显示目的ip是校园网,并且为http协议的数据包,过滤规则就是ip.dst==目的网...
用户名密码传输明文加密CryptoJS加密(PHP/JS加解密)
mangobot的博客
03-01 1739
form表单在提交时,涉及密码等隐私数据不应该明文传输,应该加密处理。 js端使用 CryptoJS 封装的库 <!DOCTYPE html> <html> <head> <title>AES</title> </head> <script type="text/javascript" src="http://react.file.alimmdn.com/aes.js"></script> &l..
网络安全-通过ARP中间人欺诈获取用户注册密码
whatiwhere的博客
03-15 1483
去年12月份做过的实验,今天学到路由交换技术提到了ARP因此做了实验理解ARP的作用。以下实验环境是在自己的虚拟机中进行,一台虚拟机windows——server2003, 一台虚拟机xp。保证两台虚拟机之间能够互相ping通,windowsserver2003安装Wireshark1.在server中开启wireshark监听xp网卡,并且筛选我们所需的ARP信息。2.在server中使用cai...
登录时用户名密码加密传输(包含前后端代码)
Muscleheng的博客
10-18 4046
登录时用户名密码加密传输,这里使用RSA非对称加密,前端使用公钥加密,后端使用私钥解密,这样就不会暴露私钥。
浅谈“密码明文传输
热门推荐
→_→
07-19 1万+
一:漏洞名称: 密码明文传输 描述: 明文传输一般存在于web网站登陆页面,用户名密码采取明文传输并未采取加密(注意:一些软件如BurpSuite带有可加密的暴力破解!)容易被嗅探软件截取(如果加密方式是常见的加密也可以解密的(比如:MD5,RSA等--另外base64只是一种编码方式并不算是加密!) 检测条件: 已知Web网站具有登录页面 检测方法: 找到网站或者web系统登录页面。 通过过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder、.
深澜校园网认证客户端srun Linux版发布
2. **校园网认证客户端**:是用于访问校园网资源的客户端软件,其核心功能是对用户的身份进行认证,确保只有授权用户可以访问网络资源,这种认证通常包括用户名和密码的验证,有时还包括动态令牌、数字证书或生物...
Java客户端模拟校园网认证教程与ImageProcess工具应用
1. 校园网网页认证:这是指用户通过特定的网页界面输入自己的账号密码或其他验证信息,以获取网络访问权限的过程。通常学校等教育机构会使用这种方式来控制网络资源的访问权限。 2. Java客户端程序:Java是一种广泛...
【伪NAS】搭建私有流媒体资源库、网盘(校园网、局域网、互联网)
最新发布
qq_28879367的博客
11-24 1369
对于各位同学们来说,经常需要在宿舍、教室、实验室之间来回周转,。你可以想象一下,在一个百般无聊的课堂上,突然想起来昨天挂了一整晚下载的蓝光原盘电影,此时多么希望可以随心所欲地去校验它(不是)。而不用去忍受某爱、某腾的阉割“蓝光”、昂贵的会员费、甚至无处不在的广告。或是换个角度想,我们在实验室奋笔疾书、绞尽脑汁地辛勤笔记、阅读论文,不知不觉熬到了傍晚时分。我们不得不赶在热水关闭之前,回到宿舍完成洗漱,继续为导师院士的名号而奋斗。多么希望有一个服务提供商,能够帮助我们流转这些数据。
Go语言实现的北京理工大学校园网命令行登录工具,多系统支持
10-16
5. **加密与解密**:可能采用了Go语言的`crypto`包进行密码加密,保护用户数据的安全,防止密码明文传输。 6. **异步处理与并发**:Go语言的goroutine和channel特性使得工具在处理多个并发连接时更加高效,即便在...
密码加密传输
xixingzhe2的博客
08-13 8991
RSA加密
使用wireshark抓包获取湖北电信校园网飞Young宽带客户端加密后的账号密码
sdughxt的博客
12-28 8183
打开wireshark,选择以太网进行监听,使用飞Young宽带客户端进行登录,登录成功后停止监听,找到PPP PAP 协议,后面就是加密后的账号密码,可以使用这个账号密码直接连接宽带,不需要使用客户端,但是我发现这个密码每两天会改变,只能重新抓取。 ...
保姆级教程,教你如何通过Wireshark抓包捕获网页账号及密码
weixin_45331641的博客
05-13 4890
当你有机会做出选择的时候,不要让自己后悔…….
杭师大校园网教职工(hznu-teacher 校园网账号)wifi 账号挖掘~仅供学习使用
qq_38190111的博客
05-14 3929
寝室晚上11点断网,原来给学生的hznu 无线学校和电信公司没谈拢。。晚上只能开热点。。这样的话,hznu-teacher 的校园无线网的安全性就岌岌可危 那就来进行一个安全性测试吧 已知: 一个教工账号为 2002xxxx 密码:123456,有这个信息,直接能得到好多账号密码了 笔记本连hznu-teacher 无线,会跳出一个页面 如下:要求输入账号密码的 在检查页面:按F12...
如何破校园网
dzqxwzoe的博客
03-14 1734
前端做的不是很好,前端UI布局写的较差,后端接口也不太严谨,能够透露出些信息容易被利用,在找漏洞的过程中发现一个反射型的xss,用处不是很大毕竟要受害者点击才能执行恶意代码,我找到的这些东西和思路都总结在下面。1.前端的错误提示不要给的太明显,可以写成这样 “账号或者密码错误”。2.对账号密码的加密,虽然可以通过JS逆向出来但也可以增加安全性。3.对前端错误次数做限制再加上验证码,虽然可以破解但也可以增加安全性。4.当你拿到账号时登录后请先修改强密码,防止弱口令登录。
校园网内端口扫描教程——本文献给无聊的计算机系大学生们
weixin_43039349的博客
04-14 1万+
想不想看看你们校园里里有哪些不为人知的网站或是找找开放了一些有趣端口的服务器? 首先我们需要在Linux下安装nmap(Nmap是一款网络扫描和主机检测的非常有用的工具),Ubuntu 可使用sudo apt-get install nmap安装,这个软件也有windows版本的,大家可以自行百度,下面只介绍Linux下的操作,这个应该不是什么难题。 1.安装好工具,现在我们要找到自己的ip地址。...
(信息安全概论实验)扫描技术的原理与应用—zenmap基本扫描方法—wireshark抓包
weixin_69940084的博客
05-15 6050
nmap应用、wireshark应用、信息安全概论、扫描技术的原理与应用
解决系统明文传输的问题(亲测有效)
tlovet_1314的博客
07-19 2355
解决明文传输问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值