2631| 2
|
【Wifi web钓鱼教程】 |
Wifi web钓鱼教程
www.dute365.com Wifi有一种web方式认证方案,当连接到某些不加密的热点之后,会跳转到一个网页来认证登陆,大家熟悉的CMCC就采用了这种web的验证方式。 它的原理是在得到正确的认证之前,会把所有的流量重定向到认证服务器上,通过认证后,便可以正常使用。 如果说仅仅想获取web验证时其他用户的用户名和密码,arp欺骗然后嗅探足够了。因为此时攻击者已经分配到了ip,且同一网关下产生的流量是不会重定向的。 但是目前的情况是,认证服务器用的https加密传输,无法嗅探到明文密码。 于是萌生了伪造热点及web认证服务器,然后记录密码的想法。 客户端在接受WiFi信号的时候有一个特点,在ssid相同的时候,会只保留信号强的那一个无线路由的ssid。 这样,只要伪造热点的ssid与原热点的相同,会有部分人搜到伪造的热点,从而登陆,记录密码。 本无线路由用的ddwrt的系统,装了wifidog来进行辅助web认证。 至于如何搭建web认证系统,百度一大把,但主要是用了wiwiz和wifiap这两个成熟的网站提供的方案。 但是,利用第三方的网站无法拦截到用户名和密码,而且无法控制认证的过程。 最好的解决方法是自己搭建一个简单的系统。 Wifidog的认证流程如下:
购买主题
已有 1 人购买
本主题需向作者支付 10 元宝 才能浏览
本帖被以下淘专辑推荐: | |