type
status
date
slug
summary
tags
category
icon
password
Property
Jun 23, 2023 11:48 AM
📘实验任务
利用虚拟机安装
WIFI-Pumpkin,完成制作钓鱼功能,详细记录过程,完成实验报告。📱实验环境
- Windows10
- 无线网卡:Ralink802.11n(RT3070L)
- 虚拟机:VMvare
- Kali: kali-linux-2021.2-virtualbox-amd64.ova
🗒️实验步骤
1.查看当前系统下Python的版本是否符合实验要求
wifipumpkin3官方文档中提到,仅支持Linux安装,以及Mac OS X的docker安装。本实验在Kali Linux下进行安装。
wifipumpkin3需要依赖于Python3.7或者更高的版本.
2.安装系统软件包、依赖
- 安装系统软件包、依赖
- 下载
wifipumpkin3
- 安装 hostapd 、 pyqt5
4.检验
pyqt5是否安装完成
3.编译安装wifipumpkin3
- 先切换到
wifipumpkin3目录
- 执行:
- 将无线网卡挂载到Kali Linux上
4.启动wifipumpkin3
- 然后启动wifipumpkin3
- 启动后会一直处于监听状态
5.通过手机连接查看对应开放的Wifi
在手机上查看,发现成功分配 ip 且有网络,连接之后手机可以正常访问网络,不过期间所有流量都会被监听。查看虚拟机 kali ,显示已有手机连接并且显示连接的手机型号。
用手机进行登录操作时, wifipumpkin3 会自动抓取到账号密码,并且会显示到屏幕上。
- 被钓鱼者的角度:不要随意连接公共的、陌生的
wifi进行上网,这样做很危险,重要的个人信息(比如密码)很容易被窃取。
- 攻击者角度:只要稍加制作钓鱼页面,并将
wifi名字取一个看起来官方又正式的名字,加上很多人都有蹭网的心理,很容易就能非法获取到蹭网者的个人信息。
6.自定义钓鱼页面
假设钓鱼场景发生现实生活中例如学校,一般的校园网接入后会强制跳转到认证界面,输入账号密码认证成功后才可以上网。利用wifipumpkin3的插件功能,可以轻松实现强制跳转到自定义的认证界面。
准备素材
这一步需要将认证界面的html、css、js、等静态文件都下载到本地,并且修改至完全一样。
wifipumpkin3有几个默认的钓鱼页面素材,位置在
wifipumpkin3/config/templates目录结构如下:
wifipumpkin3/wifipumpkin3/plugins/captiveflask
目录中存放了每个钓鱼页面的py文件,新增自定义的钓鱼页面也需要新建一个对应文件名的py文件,这里直接复制一个,修改一下里面的名字即可:
在
wifipumpkin3/config/app/captive-portal.ini文件中新增一行:
最后一步,修改
wifipumpkin3/bin/captiveflask文件,使request参数对应钓鱼页面的input参数。
全部准备好,需要重新编译安装,后续每次修改页面都需要重新编译安装。
页面测试
启动后将会发布一个web页面,注意本机80端口不能冲突:
手机连接WIFI后会提示需要认证,强制跳转至指定页面:
输入账号密码后,屏幕会显示:
🧿实验总结
- 安全意识的重要性:通过使用WiFi-pumpkin搭建钓鱼WiFi和如何防止钓鱼攻击,可以提高我们的网络安全意识和保护自身的数据和隐私。
- 了解网络工具:通过学习和使用网络工具,我们可以更好地了解网络安全领域的知识、技术和工具,帮助我们更好地保护自己的网络安全。
- 风险管理:了解钓鱼攻击的风险和后果,可以帮助我们更好地管理我们在网络上的行为,并更好地了解如何防止和应对类似的攻击。
- 法律问题:在实践中使用钓鱼WiFi可能会涉及到法律问题,例如侵犯他人隐私等。因此,在使用网络工具时,我们需要遵守法律法规,以免违法风险。
🔍参考资料
- 作者:百川🌊
- 链接:https://www.baichuanweb.cn/article/example-47
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
