wifi攻击pineapple之SSL:轻松拿到JD密码

虽说tcpdump可以把经过的数据都给dump出来,但是遇到加密的数据是无法查看到内容的,https就是一个典型的例子。那么如何把https的数据包解密读取呢?这回给大家讲解一下 sslstrip 截获https的例子。


(注:仅供攻防演练和安全防护,严禁用于非法目的)
 



1、在使用之前我们先看一下帮助选项,确定有哪些可用参数。在终端里面直接输入“sslstrip -h”就能看到具体选项。



图片1.png 



根据帮助的说明我们只需要使用“-l”选项以及“-w”选项,如果想偷懒一些可以直接使用“-l”选项,“-w”选线如果不填写默认会在当前目录生成一个sslstrip.log文件。



 



2、知道了sslstrip的用法之后接下来就可以开始我们的https中间人欺骗了,在开始的时候有一些需要注意的操作,好多人说使用sslstrip来截获https的数据包不成功,其实很多时候是没开启数据包转发这个功能,这一步往往是初学者最容易被忽略的一步。



图片2.png 



3、开启了数据包转发之后还需要iptables把80端口的数据包转发到其他的端口。



图片3.png 



以上命令是吧80端口的数据转发一份到8888端口上,之后我们再使用sslstrip来监听8888端口。



 



4、使用sslstrip监听8888端口,可以加上“-w”选项来指定保存日志的文件名。



图片4.png 



输入命令之后会提示sslstrip正在运行,因为在后面加了一个“&”这个事告诉系统需要在后台运行这个命令,所以出现的提示敲个回车就可以继续了。



 



5、然后再配合ettercap使用



图片5.png 



6、接下来用手机登录包含https的网页测试一下是否能截取HTTPS中的通讯内容。



点击查看原图 



6、点击登录之后到终端看看密码是否被记录下来了。



图片7.png 



可以看到密码已经被抓取到了。


  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值