用360随身WiFi钓鱼-华盟网

用360随身WiFi钓鱼

华盟学院山东省第二期线下学习计划

前言

搭建钓鱼WiFi来盗取账号密码已经成为一种很平常的攻击手段了,我在信安之路的文章上面也看到作者98用kali搭建钓鱼WiFi的文章,有时间一定要试一试。话说回来,由于学校万恶的闪讯不让共享宽带,连WiFi都开不了,于是买了一个360随身WiFi ,结果没想安装了360驱动的话,闪讯直接启动不了了(哭晕在厕所)。只好到学校内网实验了,结果发现360随身WiFi有一个主人确认连接的模式,当连接上WiFi后,客户端会弹出等待页面,如果把这个页面替换为我们伪造的页面,一个钓鱼WiFi就搭成了。

01 搭建过程

安装360官网上下载的驱动程序,插入随身WiFi,

可以看到弹出了WiFi的管理页面,接下来。我们在文件资源管理器下切换到 C:\Program Files (x86)\360AP\web目录下,可以看到三个文件:20171229171819.png

这就是客户端连接时弹出的认证界面,我们只要替换掉HTML文件为我们伪造的页面,就可以猥琐欲为了。不过这里还有一点,由于这里给客户端弹得是静态页面,无法实现密码的储存,我们要搭建本地的服务器,这里推荐phpstudy,自带apache服务器与MySQL数据库,简单方便,把网站根目录指向C:\Program Files (x86)\360AP\web,就可以了。

第一步:

安装好驱动程序,先不要插入随身WiFi,进入web目录下,将目录里的替换为我们编写好的网页文件,注意这个fallow.dat文件不知到有什么用,暂时先保留吧。

20171229173402.png

以上钓鱼网站的文件,其中文件夹里的文件以及三个html文件是直接我们学校的WiFi认证网站上直接保存下来的,而aaa.php是将用户输入密码存放到数据库的文件。代码很丑,将就看吧。。。。。。

20171229174035.png

第二步:

打开phpstudy,其他选项菜单—->站点域名管理—->将网站根目录改为C:\Program Files (x86)\360AP\web—->保存配置文件。重启。

20171229174912.png

第三步:

打开360WiFi设置界面,来到设置中心,将连接方式选为主人确认连接,

20171229175329.png

将ssid也改成学校WiFi的名称,基本上客户端就分辨不出来谁真谁伪了,至此,WiFi的设置已经完成。

02 钓鱼演示

打开手机,连接到i-HDU,可以看到电脑会弹出是否确认连接的页面,经过我实际的测试不管点同意还是直接不管,客户端都会弹出认证界面,输入密码都会被记录到数据库中。20171229175946.png

先看看数据库中的数据为空:

20171229182034.png

在钓鱼页面中输入账号密码:

20171229182439.png

再次查看数据库:

20171229182553.png

可以看到已经获取到了用户账号和密码。

03 总结

钓鱼WiFi的光从页面上是难以分辨的,大家连WiFi时一定要多看看认证页面的url,谨防上当。

04 后话

靠这个钓鱼WiFi成功的拿到了隔壁小姐姐的数字校园的登陆密码账号,hahaha

www.idc126.com

*本文原创作者:iloveacm,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论