type
status
date
slug
summary
tags
category
icon
password
Property
Jun 23, 2023 11:48 AM
📘实验任务
- 通过使用Fluxion工具来完成WIFi钓鱼,通过伪造的wifi热点来监听用户输入的信息
📱实验环境
- Virtual Box 6.1
- Kali 2022
- 睿连网卡RTX3070
- Lenovo 小新13Pro 自带Wifi
🔍实验过程
1.安装配置Fluxion
解压并进入目录
安装fluxion,会自动下载解决依赖(所以首先要保证虚拟机能上网)
运行
./fluxion.sh -i
安装依赖,运行./fluxion
启动Fluxion,可看到对应的菜单栏:2.创建一同名AP来进行伪造:
3.在对应界面开始扫描环境中的Wifi,找到企图伪造攻击的Wifi:
选择扫描频道(2.4GHz)下的wifi:
输入选中的目标wifi进行攻击:
选择
重置攻击
,由于前面我们已经抓取过目标wifi的通信,因此已经抓到了握手包:下一步选择
解除认证方式
来检查握手包状态:后续的选项均选择Fluxion推荐的方式来进行配置:
4.抓取握手包,可以看到Fluxion控制界面能够看到其对目标wifi的握手包进行了抓取和信息监控:
5. 创建钓鱼wifi,在拿到握手包后即可创建钓鱼wifi开始钓鱼 🐟:
创建钓鱼wifi的接入端口,同上述抓取握手包类似的流程:
为钓鱼wifi选择网卡,此处默认选择wlan0:
密码验证方式选择
hash-cowpatty
创建SSL证书:
断开原网络:
选择攻击对象的网页认证界面,可任意选择需要伪造的网页:
6.开始钓鱼,fluxion会把原wifi强行断开连不上,此时通过其他的移动设备去连接该伪造钓鱼wifi,连上wifi后会上不了网,会跳转到一个页面,提示要输入wifi密码来修复wifi:
在用户的终端会弹出一个窗口来让用户输入密码:
程序会将用户输入的密码河之前抓到的握手包来进行比较,比对密码是否正确,如果用户密码输入的不正确,那么窗口会提示密码输入不正确,直至用户密码输入正确为止。
用户输入正确的密码之后,假的AP停止,fluxion会返回正确的密码给操作者,并且将用户输入的所有密码记录在文档中:
- 手机输入密码后正确密码保存在netlog文件夹中:
/fluxion/attacks/Captive Portal/netlog
- 输入的错误密码保存在pwdlog文件夹中:
/fluxion/attacks/Captive Portal/pwdlog
若密码输入成功,五个窗口会关闭,只留下显示正确wifi密码的路径窗口:
打开即可查看到正确的密码和信息:
至此,已实现全部的Wifi钓鱼过程
❓遇到的问题
- 无法安装pyrit的问题:
- vim /etc/apt/sources.list
- 加入更新源:
- apt-get update更新本地的相关环境依赖
- How to solve Kali Linux apt-get install: E: Unable to locate package checkinstall:
🗒️参考文档
- 作者:百川🌊
- 链接:https://www.baichuanweb.cn/article/example-45
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。