利用WiFi PineApple实现DNS欺骗和输入劫持 - APT防御产品

利用WiFi PineApple实现DNS欺骗和输入劫持

利用WiFi PineApple实现DNS欺骗和输入劫持

前言

最近有几个项目利用到DNS欺骗和输入劫持,然后就搜索了关于这方面的资料,发现了Wifi Pineapple这款设备,这款设备主要有以下几个功能:

l URL Snarf(URL地址监听)

l DNS Spoof(DNS欺骗)

l 3G redial(3G拨号)

l 等等

对这款设备感兴趣的朋友可以参考wifipi.org官方网站,下面我们进入今天的主题。

现在很多公共场所均提供免费的无线WIFI,很多朋友在使用这些免费的WIFI同时,有没有考虑到这些WIFI是否安全,尤其是你利用这些WIFI进行登录付款时,某些页面是否是正常页面还是钓鱼的网站?

DNS欺骗和输入劫持

本文的测试目标是吉林大学某后台管理系统(chem.jlu.edu.cn)。本文将利用WIFI Piapple设备演示攻击者如何通过WIFI窃取用户的登录帐号密码。

1、首先打开管理系统登录页面,将网页另存到本地,重命名为xx,这也就是攻击者将利用到的钓鱼页面。

1.png 

2、用记事本打开桌面xx.html文件,找到FORM表单,将“action=login.php”改为“action=error.php”,并且将用户帐号密码输入框的name属性分别修改为“name=name”和“name=pass”。当用户在xx.html钓鱼页面输入帐号密码后,所输入的帐号密码信息将会写到设备日志文件中。

2.png 

3、打开winscp软件,远程连接到Wifi PineApple设备上,将钓鱼网页xx包括file文件全部移动到设备目录/web中。

3.png 

4、由于设备的默认网站目录为/www,因此,我们需要创建一个连接,使用命令:

Root@Pineapple:/#ln s /web/* /www/

5、登录Wifi Pineapple设备管理页面,点击进入dnsspoof功能模块,设置“HOST”选项,添加“172.16.42.1 chem.jlu.edu.cn”。

4.png 

6、设置Redirect.php钓鱼跳转页面,将“if (strpos($ref, "example"))”设置为“if (strpos($ref, "chem"))”,其中这段代码的意思为当URL中出现“chem”字符时,将会执行if条件中的代码,同理,如果钓鱼新浪页面的话,我们就需要把这段代码中的chem改为sina,因为新浪(sina.com)中包含sina关键字。添加钓鱼页面“header('Location: xx.html');”,完整代码如下:

<?php

        $ref = "http://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];

        if (strpos($ref, "chem")){

                header('Location: xx.html');

        }

        require('error.php');

?>

7、清空dns缓存,然后输入:chem.jlu.edu.cn,设备将自动跳转到钓鱼页面,在用户登录框中输入帐号密码test/test。

5.png 

8、帐号密码会自动记录到/tmp/pineapple-phish.log文件中。

6.png 

总结

建议用户在连接公共WiFi的时候,最好仔细甄别WiFi来源,确认WiFi信号来源的可靠性。以下是一些安全使用公共WiFi的建议:

l 接入公共场所WiFi网络时,应向店家确认SSID名称和密码,防范使用可能混淆的名称骗取信任,避免接入未知来源的公共WiFi网络。

l 当不需要上网时,请关闭手机或Pad的无线网卡;不要将手机设置为自动连接WiFi网络。

l 使用自己的手机开启WiFi热点,用运营商提供的2G、3G、4G数据上网,能够避免虚假WiFi欺诈的问题。

l 尽量避免通过公共WiFi操作敏感业务,比如网银、购物或收发涉密邮件文件等。


转载请注明出处 APT防御产品 » 利用WiFi PineApple实现DNS欺骗和输入劫持

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址