背景:

后台管理系统仅为内网使用并与资金流转息息相关,但是为http协议传输,且用户名密码没有加密,遂想尝试获取其他用户的用户名密码并突破内网侵入后台管理系统;

思路:

1:本机开启WiFi热点,使用wireshark混杂模式监听对应网卡,待目标用户连接WIFI,并执行登录后台操作后获取用户名密码

2:为方便在家办公,公司开启了VPN远程连接内网,VPN账号用户名按既定规则生成,密码为八位,为用户自己设定(估计弱密码非常多),因此用户名是已知的,完全可以通过弱密码爆破进入内网

具体实现:

一:本电脑开启WiFi热点,设置为不需要密码,允许任何人连接

二:开启wireshark,使用混杂模式监听对应无线网卡

新手教程:

https://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html

三:对数据包进行过滤--http.request.method== "POST"

四:追踪对应HTTP流,分析报文,找到对应用户名,密码

五:抓包重放:burpsuite爆破获取内网密码(关于burpsuite使用,以后会写相关文章,敬请关注)

改善措施:

1)使用https协议

2)内网密码使用用户自己设置八位密码+六位动态码的形式

3)重要字段对应value用户名密码加密处理

总结:

没有绝对的安全,我们需要做的是提高攻击的成本!像上面这种例子攻击的成本就会很低,使用一些简单的方法就可以破解,而后台管理跟用户资金息息相关,非常重要!

wireshark密码嗅探侵入后台管理系统相关推荐

  1. Django 慕课前后端实战 -- xadmin后台管理系统、登录模块、注册模块、邮箱激活链接、找回密码

    注意:win下面 pip install 安装python module失败后,可以去https://www.lfd.uci.edu/~gohlke/pythonlibs/网站才在相应的module, ...

  2. springBoot加layui和mybatis后台管理系统增删改查分页登录注销修改密码功能

    超市订单管理系统 1 登录页面 1.1 登录 点击提交按钮提交form表单使用post请求把(String name, String password)数据传到后台loginController 路径 ...

  3. druid拦截器_CMS基于SpringBoot+Shiro+Mybatis+Druid+layui后台管理系统

    contentManagerSystem后台管理系统 简介 contentManagerSystem,后台管理系统,采用SpringBoot构建整个项目框架,apacheShiro权限验证,mybat ...

  4. Java项目:后台管理系统脚手架项目(java+SpringBoot+FreeMarker+mysql+JSP)

    源码获取:博客首页 "资源" 里下载! 项目描述: 这是一个基于SpringBoot框架开发的后台管理系统脚手架项目.之所以称为脚手架项目,是因为这个项目复用性很强,如果以后有其他 ...

  5. java中后台是那一部分_一套Java后台管理系统,拿来即用(附项目地址)

    前言 这套Base Admin是一套简单通用的后台管理系统,主要功能有:权限管理.菜单管理.用户管理,系统设置.实时日志,实时监控,API加密,以及登录用户修改密码.配置个性菜单等 技术栈 前端:la ...

  6. 太牛了!22岁本科生Github上开源的后台管理系统,太实用(附源码)!

    大家好,我是你们的老朋友,   以前我们推荐了一款开源项目:在Github上找到了一个完整的停车系统! 前言 这套Base Admin是一套简单通用的后台管理系统,主要功能有:权限管理.菜单管理.用户 ...

  7. 推荐一套开源通用后台管理系统

    点击上方蓝色"方志朋",选择"设为星标" 回复"666"获取独家整理的学习资料! 来源:cnblogs.com/huanzi-qch/p/1 ...

  8. 一套简单通用的Java后台管理系统,拿来即用,非常方便(附项目地址)

    点击上方"方志朋",选择"设为星标" 回复"666"获取新整理的面试文章 作者:huanzi-qch cnblogs.com/huanzi- ...

  9. 构建ASP.NET MVC4+EF5+EasyUI+Unity2.x注入的后台管理系统(32)-swfupload多文件上传[附源码]...

    原文:构建ASP.NET MVC4+EF5+EasyUI+Unity2.x注入的后台管理系统(32)-swfupload多文件上传[附源码] 文件上传这东西说到底有时候很痛,原来的asp.net服务器 ...

  10. url 参数 后台 加密_一套拿来即用的后台管理系统,非常方便(附项目地址)

    前言 这套Base Admin是一套简单通用的后台管理系统,主要功能有:权限管理.菜单管理.用户管理,系统设置.实时日志,实时监控,API加密,以及登录用户修改密码.配置个性菜单等 技术栈 前端:la ...

最新文章

  1. android上方导航条跳转页面,《成为大前端》系列 7. 多页面、页面跳转和Navigation模块...
  2. 怎样在表格中选出同一类_3分钟教会你如何将不同表格中的数据关联在一起
  3. 你奋斗这么辛苦,这辈子要证明什么?
  4. [转] 鼠标移入/移出颜色渐变
  5. [CommunityServer]看RBAC的一方景象
  6. jQuery获取元素
  7. 设计模式四:策略模式
  8. 怎么用ai做出适量插画_怎么用最简单的方法,做出最炫酷的数据可视化图表?...
  9. 编译错误syntax error : missing ';' before 'type'原因探寻
  10. wamp php启动不成功,wamp的mysql 启动失败解决
  11. hive元数据为什么要用mysql_Hive用MySQL做元数据保存的数据库时,mySQL设置
  12. javascritp读xml
  13. AllenNLP框架学习笔记(入门篇)
  14. 惠普服务器查看主板型号,win10惠普主板型号查看图文教程。
  15. python打开xls_python读取XLS文件或CSV文件
  16. kvm 4.磁盘格式简介及使用磁盘格式转换的方式拍摄快照
  17. linux配置ftp错误530,ubuntu16安装配置ftp服务(和530错误解决)
  18. [Angular实战网易云]——15、歌词渲染
  19. 网络编程代码实例:多进程版
  20. 公众号被处罚后排名下滑

热门文章

  1. 怎么获取计算机的最高权限,获取win8 64位旗舰版系统最高权限的方法【图文详解】...
  2. 突发!图森未来CEO侯晓迪被罢免,公司市值一夜砍半!自动驾驶未来如何?
  3. 必应壁纸php,自动下载每日必应壁纸到指定文件夹php源码
  4. php js 美国时间转换,洛杉矶时间换算(世界时间换算器在线)
  5. 恢复Redis被误删的数据
  6. MBR、主引导扇区,主分区、扩展分区、逻辑分区,活动分区、引导分区、系统分区、启动分区
  7. EAUML日拱一卒-活动图::活动分区
  8. html中的排名怎么写,html制作畅销书排行榜
  9. 相同名字比对公式,相似度对比算法
  10. 大数据领域常用算法总结