本文介绍了安全工具Wifiphisher的使用,它通过自动化搭建虚假WiFi接入点,模仿合法AP进行社会工程攻击,获取用户密码和凭证。实验原理包括创建伪造AP、诱导受害者连接并提供伪装的路由器配置界面。实验准备需要Kali系统和无线网卡,通过安装和运行wifiphisher来实施攻击。在实验中,选择固件升级攻击模式,当设备连接钓鱼热点,会被引导到一个要求输入凭证的页面。
工具简介
Wifiphisher是一个安全工具,具有安装快速、自动化搭建的优点,利用它搭建起来的网络钓鱼攻击WiFi可以轻松获得密码和其他凭证。与其它(网络钓鱼)不同,这是社会工程攻击,不包含任何的暴力破解,它能轻松获得门户网站和第三方登陆页面的证书或WPA/WPA2的密钥。
实验原理
1.它会先创建一个伪造的无线访问接入点(AP)并把自己伪装成一个合法的WiFi AP,然后向合法无线访问接入点(AP)发动DoS攻击,或者在其周围创建一个射频干扰。 Wifiphisher通过伪造“去认证”或“分离”数据包来破坏现有的关联,从而不断地在范围内阻塞所有目标接入点的wifi设备。
2.受攻击者登录假冒AP。Wifiphisher会嗅探附近无线区域并拷贝目标AP的设置,然后创建一个假冒AP,并设置NAT/DHCP服务器转发对应端口数据。那些被解除认证的客户端会尝试连接假冒AP。
3.无论受害者访问什么页面,WiFiPhisher都会向受害者提供一个很逼真的路由器配置更改界面,并称由于路由器固件更新需修改路由器密码,Wifiphisher使用一个最小的web服务器来响应HTTP和HTTPS请求。一旦受害者请求互联网的页面,wifiphisher会用一个真实的假页面来回应,要求提供凭证或服务恶意软件。这个页 面将专门为受害者制作。例如,一个路由器配置文件的页面将包含受害者的供应商的品牌。该工具支持针对不同钓鱼场景的社区构建模板。
实验准备
Kali系统,无线网卡,wifiphisher工具
实验过程
首先插入无线网卡,接入到虚拟机上面。
最低0.47元/天 解锁文章
2267
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
