文中提及的部分技術(shù)可能帶有一定攻擊性旅急,僅供安全學(xué)習(xí)和教學(xué)用途,禁止非法使用铅匹。
在那晚评矩,博主通過dsploit滲透測試軟件以及自己的一些皮毛知識對班主任辦公室局域網(wǎng)內(nèi)所有個人電腦進(jìn)行了一系列的滲透測試(惡作劇),這里只分享一小部分塔淤,其余的請大家自個兒琢磨摘昌。BWT,真的是緊張刺激的一晚。
dsploit簡介
dSploit是一個Android網(wǎng)絡(luò)分析和滲透套件高蜂,其目的是提供IT安全專家/愛好者最完整聪黎,最先進(jìn)的專業(yè)工具包,以便在移動設(shè)備上執(zhí)行網(wǎng)絡(luò)安全評估备恤。一旦dSploit開始運行稿饰,你將能夠很容易地映射你的網(wǎng)絡(luò),發(fā)現(xiàn)活動主機(jī)和運行的服務(wù)露泊,搜索已知的漏洞喉镰,許多TCP協(xié)議的破解登錄程序,執(zhí)行中間人攻擊惭笑,如密碼嗅探(使用常規(guī)協(xié)議鏈接)侣姆,實時流量操控等。手機(jī)接入WLAN沉噩,你就可以掃描同網(wǎng)段設(shè)備開放的端口捺宗、服務(wù)、操作系統(tǒng)類型川蒙,進(jìn)行安全評估蚜厉。甚至抓包、記錄密碼畜眨、破解口令昼牛、篡改對方上網(wǎng)會話內(nèi)容,圖片康聂、視頻匾嘱、文字、甚至彈窗早抠。
獲取dsploit
可以通過訪問其官網(wǎng)進(jìn)行下載
注意:提示:在安裝 dsploit 工具之前,最好先將移動設(shè)備 Root撬讽,以及按照busybox蕊连。否則悬垃,dsploit 工具的一些功能將無法使用。
實施過程
接入局域網(wǎng)
首先甘苍,講手機(jī)連接至辦公室的wifi(至于我是如何連上wifi的尝蠕,這一步驟也是驚心動魄,但是不是重點载庭,略過)
可以看到名字為2014011/IP:172.20.10.4就是我的手機(jī)了看彼,因為截圖早了一些,其他的設(shè)備還沒有刷新出來囚聚。
選擇MITM(中間人攻擊)
點擊目標(biāo)靖榕,這里我選擇iPhone6這臺設(shè)備進(jìn)行測試,然后選擇MITM(中間人攻擊)
替換圖像
1.Simple Sniff 簡單嗅探
將目標(biāo)流量重定向至當(dāng)前設(shè)備顽铸,并將數(shù)據(jù)轉(zhuǎn)存至pcap文件茁计。
2.Password Sniffer 密碼嗅探
支持對多種協(xié)議目標(biāo)密碼嗅探,如 http谓松、ftp星压、imap、imaps鬼譬、irc娜膘、msn等。
3.Session Hijacker 會話劫持
監(jiān)聽網(wǎng)絡(luò)中的Cookies优质,進(jìn)行會話劫持竣贪。
4.Kill Connections 殺死連接
干掉與目標(biāo)連接的任何網(wǎng)站或服務(wù)。
5.Redirect重定向
重定向所有流量至其他地址盆赤。
6.Replace Images 替換圖像
指定并替換網(wǎng)頁中所有圖像文件贾富。
7.Replace Videos 替換視頻
指定并替換網(wǎng)頁中所有youtube視頻。
8.Script Injection 腳本注入
在所以訪問網(wǎng)頁中注入JS代碼牺六。
9.Custom Filter 自定義過濾
在網(wǎng)頁中替換指定文本颤枪。
這里我選擇了第六項,替換圖像
由于沒有截圖淑际,大家就看攻擊后的圖吧
攻擊成功
這時正好有同學(xué)在登陸考試院官網(wǎng)進(jìn)行模擬高考報名操作畏纲,我們可以看到,頁面中的圖像成功的被替換為了我們所要替換的圖片春缕,皮這一下我就很開心盗胀。
PS:大家看得可能有點懵,為什么我選擇的是iPhone6設(shè)備锄贼,而攻擊的卻是電腦呢票灰?傻了吧,因為我當(dāng)時在用iPhone6這臺設(shè)備進(jìn)行測試的時候我沒有截圖,到后面攻擊局域網(wǎng)內(nèi)所有設(shè)備的時候只用手機(jī)拍了這么一張圖屑迂,所以……
后來
后來浸策,斷網(wǎng)近十分鐘,我跑路了惹盼。
以上庸汗。