Netfilter,获取http明文用户名和密码

最新推荐文章于 2023-07-27 11:41:05 发布
原创 最新推荐文章于 2023-07-27 11:41:05 发布 · 885 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#netfilter #LKM

本文介绍了如何在Linux内核中使用Netfilter子系统来捕获和解析HTTP请求中的用户名和密码。通过创建内核模块并在指定的hook点进行操作,实现了对进出的HTTP包的过滤。实验中,作者详细讲解了GET和POST提交方式的区别,以及如何通过字符串匹配获取POST数据中的凭证。此外,还讨论了在不同内核版本中遇到的编译问题及其解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

Netfilter简介

Netfilter是从Linux 2.4开始引入内核的一个子系统,是在网络流程的若干位置放置了一些hook(钩子),将数据出来做一些处理(如包过滤,NAT等)后,再放回到网络流程。
与Spring的切面编程(AOP)相比:

  • 虽然netfilter是面向过程语言编写的,但是其思想和AOP有相似之处,两者都是在某个流程中加了一道外来的流程,然后再返回原流程。
  • AOP的主要目的是把与业务无关的关注点剥离(如日志、安全、事务)。
  • Nerfilter会涉及到内核层的系统调用,AOP主要在用户层。

netfilter和iptables的关系
在这里插入图片描述
网络层的hook:
NF_IP_PRE_ROUTING:刚刚进入网络层的数据包
NF_IP_LOCAL_IN:经路由查找后,送往本机,INPUT包过滤
NF_IP_FORWARD:要转发的包,FORWORD包过滤
NF_IP_POST_ROUTING:要通过网络设备发出去的包
NF_IP_LOCAL_OUT:本机发出的包,OUTPUT包过滤

实验-target端

实验环境:ubuntu 18.04 kernel 4.15
源代码:nf_http.c getData.c Makefile

内核模块的操作

  • 头文件 linux/kernel.h linux/module.h
  • 初始化模块(netfilter,见下)
  • 编译得到.ko文件
    LKM的编译和应用层代码使用的gcc不同,它使用Makefile,kbuild。
    obj-m += hello-world.o
all:
	make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules
clean:
	make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean
    make生成目标文件.ko,可以加载到内核。
  • 加载模块 sudo insmod nf_http.ko
  • 打印10行信息 dmesg | tail
  • 查看内核模块sudo lsmod
  • 卸载模块 sudo rmmod nf_http (注意不用.ko)

完整的LKM编程模块

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/init.h>

static int __init init_my_module(void) {
   
   
  printk(KERN_INFO "Hello, Kernel!\n");
  return 0;
}

static void __exit exit_my_module(void) {
   
   
  printk(KERN_INFO "Bye, Kernel!\n");
}

module_init(init_my_module);
module_exit(exit_my_module);

MODULE_LICENSE("GPL");
MODULE_AUTHOR("TEST");

初始化netfilter

  • 头文件 :
    • linux/netfilter.h
    • linux/netfilter_ipv4.h
  • 钩子点结构体
    struct nf_hook_ops {
   
   
         struct list_head list;
          /* 此下的值由程序员填充 */
          nf_hookfn *hook;
          int pf;
          int hooknum;
          /* Hook以升序的优先级排序 */
          int priority;
	   };
  • PRE_ROUTING 钩子:watch_in() 检查发出去的包
  • POST_ROUTING钩子:watch_out() 检查收到的包
    struct nf_hook_ops pre_hook;  
    struct nf_hook_ops post_hook;  
    
    int init_module()
    {
   
   
        pre_hook.hook = watch_in;
        pre_hook.pf = PF_INET;
        pre_hook.priority = NF_IP_PRI_FIRST;
        pre_hook.hooknum = NF_INET_PRE_ROUTING;

        post_hook.hook = watch_out;
        post_hook.pf = PF_INET;
        post_hook.priority = NF_IP_PRI_FIRST;
        post_hook.hooknum = NF_INET_POST_ROUTING;

        nf_register_net_hook(&init_net,&pre_hook);
        nf_register_net_hook(&init_net,&post_hook);
        return 0;
    }

用netfilter过滤发出去的http包


    static unsigned int watch_out(void *priv, struct sk_buff *skb,
    const struct nf_hook_state *state)
    {
   
   
        struct sk_buff *sb = skb;
        struct tcphdr *tcp;
        printk("post routing");
        /* Make sure this is a TCP packet fir
最低0.47元/天 解锁文章

200万优质内容无限畅学
RHCE7-NOTE(红帽工程师--题库详细笔记)
Reyn_观极
10-06 723
重置练习环境: rht-vmctl reset classroom rht-vmctl reset server rht-vmctl reset desktop RHCE 核心考点列表 #################################################### 一、安全策略配置 —— 1. 配置SELinux SELinux,Security-Enhanced Linux 美国NSA国家安全局提供的一套基于内核的增强的强制安全保护机制 主要针对用户、进程、文档...
多种嵌入式文件系统移植集合
热门推荐
fulinux的博客
06-01 1万+
1. 嵌入式存储系统 1.1. 计算机组成原理 从冯.诺依曼的存储程序工作原理及计算机的组成来说,计算机由运算器、控制器、存储器输入/输出设备五大部件组成。其中运算器控制器统称为中央处理器(CPU),而存储系统分成内部存储器(内存)外部存储器(外存)。输入/输出设备并非计算机所必需的,如果一个设备具有CPU,内存外存,我们就可以说它是一台计算机。在很多嵌入式设备上,都没有输入/输出设备
基于netfilter实现对http报文过滤,并并窃取http报文的用户名密码
kevin_0903的博客
07-27 411
netfilter是基于内核模块变成实现的,要实现http报文的窃取,首先要在受害者主机上安装sniff模块,sniff.c代码如下,实现了对http://poj.org网站登陆时的密码窃取。// 计算ICMP校验,涉及首部数据部分,包括:8B(ICMP ECHO首部) + 36B(4B(target_ip)+16B(username)+16B(password))#define IP_168_235_95_213 3579833256 // http://poj.org/ 小端存储。
基于LKMnetfilter编程的窃取FTP/HTTP用户名密码
weixin_42107987的博客
04-10 704
这篇博客是通过学习郭老师上课的知识,记录下一些理解与总结,并应用知识于实验。类似与学习笔记与实验思考过程记录,详情可访问郭老师的知乎链接:https://zhuanlan.zhihu.com/c_1081549579018608640 一、背景与目的 1.1 LKM简介 LKM,即Linux Kernel Model。LKM是Linux内核为了扩展其功能所使用的可加载内核模块。LKM的优点是动...
http账号及密码获取
wkend的博客
03-31 4076
开启ip转发功能echo 1 &gt;/proc/sys/net/ipv4/ip_forward 由于安全的因素,linux默认是禁止转发数据包的。数据包的转发属于路由器的功能,用于经内网中的数据包转发到公网中。 /proc/sys/net/ipv4/ip_forward文件中的内容默认是0,要启用转发功能,需要将该文件内容改为1, arp欺骗arpspoof -i eth0 -t 19...
Netfilter编程实现用户名密码的窃取
木瓜有益健康的博客
05-09 799
Netfilter编程实现用户名密码的窃取一、介绍二、代码三、运行 一、介绍 本实验窃取密码的前提是要明文传输,先必须找到一个登录页面是采用http协议(非https)的站点。 二、代码 sniff.c #include <linux/module.h> #include <linux/kernel.h> #include <linux/skbuff.h> #...
Netfilter编程实现HTTP协议传输账号密码的抓取
bw_yyziq的博客
10-19 4387
本文简介HTTP协议用于在Web浏览器网站服务器之间传递信息,以明文方式发送内容,没有任何方式的数据加密,因此只要截获报文就可以很轻松的获取某些关键的信息,比如登录时的用户名密码。最近学习到LKM编程以及iptablesnetfilters编程,本文参考详细原理点击此处里面的nfsniff.c(ftp用户名密码的窃取代码),修改之后的nfsniff_http.c实现了对HTTP协议传输的账号密
Linux之安全配置维护最佳实践
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
11-12 2516
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
WireShark 捕抓明文用户名密码
cheng_zhang_zhong的博客
06-21 1223
针对http协议可以进行捕抓到对应的用户名密码,接下来一起探究,本文是希望学习,而不是用来干坏事哈 1.安装wireShark 2.打开抓包工具 3.ping 需要抓包的网址从而获取到对应的服务器ip 4.然后进行请求该网址,进行过滤 ip.addr == 192.168.171.33 5.查找登录的请求,可以啊看到输入的用户名以及密码。 ...
内核3.10 显示发送的数据包 netfilter程序
qq_42882717的博客
06-21 223
1、段错误解决 1)错误码6:用户态程序访问越界+写操作越界+无效地址 错误码14:保留位使用+用户态程序访问越界+写操作越界+无效地址 2)经过上网查找libwayland 与libX11库发现是协议的图形显示库,结合centos多做为命令行服务器而我安装了图形界面,思考觉得应该是新安装的驱动不能以图形状态在某个地方显示,所以段错误。 2、数据包显示成功: 数据包打印数据出现一直显示\xffffffff: 或者 不显示内容 查看libselinux发现是系统包,思考觉得是查找linux的更新(自动更新
信息安全实验二:netfilter编程之http密码窃取
你在桥上看风景的博客
04-10 1572
理论准备 1、翻译:Hacking the Linux Kernel Netwrok Stack(1) 重点关注:5.2 - 基于内核的FTP密码嗅探器 2、信息安全课程12:防火墙(netfilter/iptables) 实验环境 ubuntu12.04,为了省事还是直接跟咱老师统一环境吧。 目标网站分析 本实验窃取密码的前提是要明文传输,先必须找到一个登录页面是采用http协议(非https)...
iptable
weixin_33768481的博客
04-23 703
http://qiliuping.blog.163.com/blog/static/1023829320105245337799/ netfilter/iptables全攻略 LINUX 2010-06-24 17:03:37 阅读353 评论0 字号:大中小订阅 内容简介 防火墙的概述 iptables简介 iptables基础 iptables...
(十二)洞悉linux下的Netfilter&iptables:iptables命令行工具源码解析【下】
01-23 1863
iptables用户空间内核空间的交互 iptables目前已经支持IPv4IPv6两个版本了,因此它在实现上也需要同时兼容这两个版本。iptables-1.4.0在这方面做了很好的设计,主要是由libiptc库来实现。libiptc是iptables control library的简称,是Netfilter的一个编程接口,通常被用来显示、操作(查询、修改、添加删除)netfilter
HTTP/HTTPS账号密码获取
Hydrakingbo
09-07 1万+
kali系统命令: arpspoof -i 网卡 -t 目标IP 网关      #断网攻击 echo 1 > /proc/sys/net/ipv4/ip_forword  # 写入 1 表示开启转发功能! 可以用cat查看修改: cat /proc/sys/net/ipv4/ip_forword  # 显示1表示成功开启转发功能,0表示未开启 arp
利用Linux Netfilter框架实现Linux内核模块阻断HTTP数据包
qq_41727987的博客
05-08 1022
主要参考内容: netfilter数据包过滤【https://tcspecial.iteye.com/blog/2174784】(很旧版netfilter下阻断http包) Linux内核编程 -- 从HelloWord到基于NetFilter的Linux驱动Demo【https://blog.youkuaiyun.com/xushuzhan/article/details/78843218】(很详细...
基于netfilter通过iptables过滤http请求使用netlink通知用户空间构造发送http响应(一)
vegebirdfly的专栏
08-25 2616
基于Netfilter架构,通过Iptables过滤数据包,将符合条件的数据包,交由自己实现的HOOK函数进行解包处理,解析到HTTP协议之后,通过Netlink通知用户空间程序,经由用户空间程序进行HTTP响应包的封装,封装完毕后,对HTTP进行响应。
基于netfilterHTTP数据包修改内核模块设计
32-generic内核(适用于Ubuntu 14.04CentOS 7)的网关服务器上,通过修改内核模块hook_ipv4.ko来实现对经过网关的HTTP数据包进行操作,重点是针对TCP连接的序列号(seq)确认号(ack)的修改。该模块利用了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值