type
status
date
slug
summary
tags
category
icon
password
Property
Jun 23, 2023 11:48 AM
📘实验任务
利用虚拟机安装
WIFI-Pumpkin
,完成制作钓鱼功能,详细记录过程,完成实验报告。📱实验环境
- Windows10
- 无线网卡:Ralink802.11n(RT3070L)
- 虚拟机:VMvare
- Kali: kali-linux-2021.2-virtualbox-amd64.ova
🗒️实验步骤
1.查看当前系统下Python的版本是否符合实验要求
wifipumpkin3
官方文档中提到,仅支持Linux安装,以及Mac OS X的docker安装。本实验在Kali Linux下进行安装。
wifipumpkin3
需要依赖于Python3.7
或者更高的版本.![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Ff33b1f4e-9853-40af-87da-55547bbd2e04%2FUntitled.png?table=block&id=9a8010c7-36ca-4a90-9cbf-a01b97f17e3c&t=9a8010c7-36ca-4a90-9cbf-a01b97f17e3c&width=672&cache=v2)
2.安装系统软件包、依赖
- 安装系统软件包、依赖
- 下载
wifipumpkin3
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fdbbf5760-d081-45b7-a9bb-e3610db4b817%2FUntitled.png?table=block&id=fae8aff2-c335-487c-be9b-d1dc8b5577c0&t=fae8aff2-c335-487c-be9b-d1dc8b5577c0&width=528&cache=v2)
- 安装 hostapd 、 pyqt5
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F8b206c60-b915-43da-a29b-48e43bad085e%2FUntitled.png?table=block&id=d8fac079-fbbd-47b3-9892-bac4c51b7b7b&t=d8fac079-fbbd-47b3-9892-bac4c51b7b7b&width=480&cache=v2)
4.检验
pyqt5
是否安装完成![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F97fc8ad6-f501-4a46-87c7-4a7359068b50%2FUntitled.png?table=block&id=f68a5465-3dc7-4679-86a0-4a70c4faa713&t=f68a5465-3dc7-4679-86a0-4a70c4faa713&width=576&cache=v2)
3.编译安装wifipumpkin3
- 先切换到
wifipumpkin3
目录
- 执行:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F11c87d5a-1824-4bab-bed3-367d837d85f3%2FUntitled.png?table=block&id=db0748f2-04d7-4c3d-aab2-33f6f8fc6f64&t=db0748f2-04d7-4c3d-aab2-33f6f8fc6f64&width=576&cache=v2)
- 将无线网卡挂载到Kali Linux上
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fce2d6b45-52d9-4e86-b618-b965f680d80d%2FUntitled.png?table=block&id=a3949be2-bfe1-4fc6-a6ec-e0e341d4c15a&t=a3949be2-bfe1-4fc6-a6ec-e0e341d4c15a&width=576&cache=v2)
4.启动wifipumpkin3
- 然后启动wifipumpkin3
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F838edc14-2d6e-4233-bb92-dca19eb17a22%2FUntitled.png?table=block&id=de48edfa-4f76-4a58-8dcb-c16a30e5719b&t=de48edfa-4f76-4a58-8dcb-c16a30e5719b&width=480&cache=v2)
- 启动后会一直处于监听状态
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fc6ce63f8-54ca-4e9b-aa73-01295457a18c%2FUntitled.png?table=block&id=0948722c-9991-49b0-abca-8d8d312bf2f3&t=0948722c-9991-49b0-abca-8d8d312bf2f3&width=576&cache=v2)
5.通过手机连接查看对应开放的Wifi
在手机上查看,发现成功分配 ip 且有网络,连接之后手机可以正常访问网络,不过期间所有流量都会被监听。查看虚拟机 kali ,显示已有手机连接并且显示连接的手机型号。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F4f1e4f88-fcc1-4076-a4e3-ee6d373d0481%2FUntitled.png?table=block&id=8b1f2dc6-391f-44bb-b407-a5632b7bbec6&t=8b1f2dc6-391f-44bb-b407-a5632b7bbec6&width=624&cache=v2)
用手机进行登录操作时, wifipumpkin3 会自动抓取到账号密码,并且会显示到屏幕上。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F6b6a3046-89b7-4228-b979-6d11fa87a1d4%2FUntitled.png?table=block&id=75610da7-246d-46b9-ae5b-9429c5e54890&t=75610da7-246d-46b9-ae5b-9429c5e54890&width=624&cache=v2)
- 被钓鱼者的角度:不要随意连接公共的、陌生的
wifi
进行上网,这样做很危险,重要的个人信息(比如密码)很容易被窃取。
- 攻击者角度:只要稍加制作钓鱼页面,并将
wifi
名字取一个看起来官方又正式的名字,加上很多人都有蹭网的心理,很容易就能非法获取到蹭网者的个人信息。
6.自定义钓鱼页面
假设钓鱼场景发生现实生活中例如学校,一般的校园网接入后会强制跳转到认证界面,输入账号密码认证成功后才可以上网。利用wifipumpkin3的插件功能,可以轻松实现强制跳转到自定义的认证界面。
准备素材
这一步需要将认证界面的html、css、js、等静态文件都下载到本地,并且修改至完全一样。
wifipumpkin3有几个默认的钓鱼页面素材,位置在
wifipumpkin3/config/templates
目录结构如下:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F20bf786e-1535-4988-9b01-595332810df6%2FUntitled.png?table=block&id=86c23adc-12d5-4c27-a67c-b741e320f970&t=86c23adc-12d5-4c27-a67c-b741e320f970&width=576&cache=v2)
wifipumpkin3/wifipumpkin3/plugins/captiveflask
目录中存放了每个钓鱼页面的py文件,新增自定义的钓鱼页面也需要新建一个对应文件名的py文件,这里直接复制一个,修改一下里面的名字即可:![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F269ebc71-f3fe-47f1-bc24-a40e8becafb2%2FUntitled.png?table=block&id=b9a7c3da-7ae6-44f2-988e-aa28769e1f72&t=b9a7c3da-7ae6-44f2-988e-aa28769e1f72&width=576&cache=v2)
在
wifipumpkin3/config/app/captive-portal.ini
文件中新增一行:![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F08b788fb-78e5-4049-987f-0c66531c8171%2FUntitled.png?table=block&id=ca892b8d-ee73-4919-932d-99ab89c850a2&t=ca892b8d-ee73-4919-932d-99ab89c850a2&width=576&cache=v2)
最后一步,修改
wifipumpkin3/bin/captiveflask
文件,使request参数对应钓鱼页面的input参数。![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F6d9ab86e-8f97-413b-a890-3532b1ad930f%2FUntitled.png?table=block&id=bafc0397-f6d7-4980-b7f0-f94a60b152c6&t=bafc0397-f6d7-4980-b7f0-f94a60b152c6&width=576&cache=v2)
全部准备好,需要重新编译安装,后续每次修改页面都需要重新编译安装。
页面测试
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F0dbc82f2-e395-4fbf-a6c6-48b541226378%2FUntitled.png?table=block&id=ed4c2742-7b23-4cd6-85b2-e487dcd14d54&t=ed4c2742-7b23-4cd6-85b2-e487dcd14d54&width=528&cache=v2)
启动后将会发布一个web页面,注意本机80端口不能冲突:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F8b72f99e-f879-4471-ab27-9f84bd8a11a7%2FUntitled.png?table=block&id=6a2335ee-fafb-4fdd-a820-b731b76880a2&t=6a2335ee-fafb-4fdd-a820-b731b76880a2&width=528&cache=v2)
手机连接WIFI后会提示需要认证,强制跳转至指定页面:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F4936e277-90af-4a9a-ab2d-f769e475f945%2FUntitled.png?table=block&id=0469cfa9-b9b9-4821-ae5a-f232497d35e4&t=0469cfa9-b9b9-4821-ae5a-f232497d35e4&width=336&cache=v2)
输入账号密码后,屏幕会显示:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F32892cbf-a4f6-4810-9886-0e01d5d0a15e%2FUntitled.png?table=block&id=300ae3d5-bcc3-45ac-86e5-a324a7ae833c&t=300ae3d5-bcc3-45ac-86e5-a324a7ae833c&width=528&cache=v2)
🧿实验总结
- 安全意识的重要性:通过使用WiFi-pumpkin搭建钓鱼WiFi和如何防止钓鱼攻击,可以提高我们的网络安全意识和保护自身的数据和隐私。
- 了解网络工具:通过学习和使用网络工具,我们可以更好地了解网络安全领域的知识、技术和工具,帮助我们更好地保护自己的网络安全。
- 风险管理:了解钓鱼攻击的风险和后果,可以帮助我们更好地管理我们在网络上的行为,并更好地了解如何防止和应对类似的攻击。
- 法律问题:在实践中使用钓鱼WiFi可能会涉及到法律问题,例如侵犯他人隐私等。因此,在使用网络工具时,我们需要遵守法律法规,以免违法风险。
🔍参考资料
- 作者:百川🌊
- 链接:https://www.baichuanweb.cn/article/example-47
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。