利用Kali Linux获取http协议加密的账户密码
2017-11-22 20:07
211 查看
http百度解释是说它是超文本传输协议(HTTP,HyperText Transfer Protocol),是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。虽然我也学过计算机网络的课程并且成绩还不错,但是具体到某个协议,也不能说出个一二,大概知道它用在哪里就行了。
情景假设
寝室兄弟在用电脑登录某个网站,并且它是那个网站的会员,而那个网站有些资源一直是你想要下载的,跟他问了几次叫他把账号借你用,他就是不肯,这时,你就可以用我下面的方法,获取他的账号密码啦。
理论方法
用kali虚拟机对基友电脑实施IP流量转发,让他的电脑流量经过你的kali。
具体方法
1.设置转发机制,在kali中输入一下内容并回车。
echo 1 >proc/sys/net/ipv4/ip_forward
2.回显第一步转发确认,在kali中输入一下代码并回车。
cat /proc/sys/net/ipv4/ip_forward
回显“1”说明第一步开启流量转发已经成功运行
3.既然要让电脑乖乖的转发自己的流量,就要让他有一种你电脑就是他要去的假象,这一步要开启ARP欺骗。另启一个窗口,输入一下代码并回车。
arpspoof -i eth0 -t 192.168.1.112 192.168.1.1
这是ARP欺骗方法,之前写过。
4.再启一个窗口,输入一下内容并回车。
ettercap -Tq -i eth0
开始验证
1.打开浏览器,比如我打开了kali的一个论坛http://defcon.cn/,它的登录时http协议加密的。我使用的火狐浏览器,在网页URL处直接有个感叹号的锁,就说明这个网站使用的http协议
2.我在登录的名称密码都输入chenjie,看kali的效果。
kali直接将键盘录入的按键信息记录下来了哈哈哈
总结
1.经论坛说明和亲自测试,有时候kali显示的密码和账户是经hash加密后的16位数字,这只需要在网上找反编译的网站就可以反编译成明文账户密码啦,上个学期学的《密码学》课程有解释各种加密的基本流程,md5简单的加密可以算出来密文,要是反推还是要借助电脑的。2.这个测试是在局域网中进行的,感觉也可以延伸到外网上,可能要借助msf强大的工具,是不是黑进别人电脑,使用键盘记录什么的工具会更有效呢,毕竟这个是用网络转发进行的,要是别人关闭了什么端口或服务是不是这个方法就不行了呢,以后学到再说吧。
相关文章推荐
- android如何利用基于Http 协议的WebService服务来获取远程数据库数据
- HTTP协议下保证登录密码不被获取最健壮方式
- HTTP协议下保证登录密码不被获取更健壮方式
- 利用ServerSocket获取浏览器http协议内容
- HTTP协议下保证密码不被获取更健壮方式
- 利用HTTP协议获取163的联系人列表(1)
- 利用HTTP协议获取163的联系人列表(2)
- Cain (Arp)获取局域网http及邮箱协议密码
- 利用HTTP协议获取163的联系人列表(3)
- 利用ServerSocket获取浏览器http协议内容
- URL 授权访问另外一种方法,利用 Java 1.1 访问密码保护的 URL(9588http短信通道接入)
- “VC在局域网中通过http协议获取公网IP地址”以及“多个服务器节点的测速代码”
- 如何利用Python库urllib2获取百度搜索引擎加密链接(续)
- 教大家利用QQ网页协议的方式,获取本地登录的QQ号(附代码)
- HTTP请求协议 get post方法 获取数据解析
- php获取通过http协议post提交过来xml数据及解析xml
- PHP自动获取协议http还是https
- jQuery 利用$.ajax 时获取原生XMLHttpRequest 对象的方法
- nginx+tomcat 架构 HttpServletRequest.getScheme()获取正确的协议