网络渗透:如何黑掉学校的教务系统?(译)
首页
阅读:
admin
2019-11-10 06:37

  本文作者Ace(黑客社区认识的,应该是化名),译者阿瑜,译文有改动。请注意,本文只用作技术分享,请尊重法律,尊重作为一个黑客的良知。

  嗨,大家好!看起来你们很多人都在上学,希望像“战争游戏”的黑客那样么?我会写一篇关于如何入侵在线评分系统的教程。在本教程中,我将告诉您如何窃取学校系统的登录数据。如果你们的学校仍然在使用纸质方式记录成绩,那本教程不适合你。

  现在,您需要了解一些关于计算机如何在网络上进行通信的基础知识(如果您熟悉这一点并对TCP / IP的工作方式有一般性的了解,那请直接前往第二步)。

  让我们先从IP地址开始。基本上网络上的每台计算机都有一个IP地址,像“192.168.1.101”或“10.0.0.10”,它是您当前网络中计算机的IP或者说是您计算机的“地址”,就像每个房子都有邮寄地址用来接收邮件一样。

  接下来是关于网络通信的。基本上所有的计算机都通过“路由器”或“交换机”发送信息,这些信息将被通过各种线路(如网线)上传到互联网,反之亦然。在这个过程中,路由器会将其地址广播给网络上的每台计算机并说“嘿,兄弟们!我是192.168.1.1,我是你们的默认网关!通过我发送您的所有请求,我将竭诚为您服务!”然后所有计算机都愉快地通过路由器发送请求。

  路由器(我没问你啊!但还是接受了这个信息):”好的,谢谢你,未来我会以你的方式发送数据!“

  黑客的电脑:”嘿,192.168.1.100(熊大的计算机)!我是你的路由器!“

  熊大的电脑:(没有问,但接受这个信息)”好的,谢谢你,我会通过你发送我的请求!”

  现在,黑客已将自己置于一个非常有利的位置!他现在是路由器和熊大推送其信息所必须的“代理”或计算机。

  所以现在如果熊大想要访问网页,那么熊大的所有数据都会通过黑客的计算机发送到路由器,反之亦然。

  目前,市面上的大多数进行“在线评分”的站点都会在将数据发送到路由器之前对其数据进行加密,以免遭受此类攻击。

  我们可以使用像“Cain&Abel”这样的软件来解决这个问题。这类软件会通过欺骗熊大的SSL证书来绕过检查,但是这不能百分百成功,因为熊大将收到“SSL证书错误”的警告消息。幸运的是,在最常用的Internet Explorer版本中,此消息只是一个简单的“吧啦吧啦错误,请单击此处继续”,大多数用户会选择忽略它并单击确定。确定之后用户就会连接到网站,而你仍然可以看到他们在做什么!

  对了,您还需要安装Cain&Abel来进行这次攻击!这是一款内置各种乐趣的Windows hacktool!(阿瑜按,下载链接不方便发,会被审查君抓住,您可以关注阿瑜之后问阿瑜要φ(* ̄0 ̄))

  最后您安装了所有东西并启动了Cain。如果Windows提醒您应用权限确认,请确保您允许其接入互联网。现在,您需要单击左上角的嗅探器按钮。

  启动了“Sniffer”功能后,您的计算机将捕获它发送/接收的任何流量。此时,这些流量只是您访问过的网站,至于如何看到其他人的互联网活动我们来看第三步。

  这时会弹出一个窗口,默认设置很好,不用修改。开始扫描当前子网上的每个人(这意味着会扫描到与您相同的路由器/交换机后面的每个人)。

  您现在将通过您自己的计算机监视每个用户的流量,您可以看到他们正在做什么并窃取他们的在线密码。

  现在单击“+”按钮将一些计算机添加到您的poison列表中。这时应该会弹出一个新窗口。

  我们需要选择左侧的第一个IP地址,这是路由器地址,通过它您可以捕获发送到路由器的所有数据。在右栏中选择EVERYTHING。然后单击“OK”。

  窗口里会列出我们偷的所有密码。由于我们需要获取在线学校评分系统的密码,所以单击“HTTP”部分。单击之后,我们就可以实时查看所有正在捕获的密码。

  需要注意的一点是,Cain目前只能捕获它可以识别的密码数据。它可能无法理解什么是密码数据,什么不是。

  我们可以通过单击顶部的“Configure”按钮来指定我们希望Cain捕获的内容。

  单击“Configure”之后会弹出一个菜单,转到“HTTP字段”选项卡,选择顶部列中的所有内容之后点击“Removal all”全部清除。

  现在您需要知道学校评分系统的用户名和密码的字段名称。转到评分登录页面(如果您不知道URL可以从上面的数据中获取它)。

  现在回到Cain,单击加号按钮,在弹出的对话框内输入这两个字段并单击“OK”以添加这些名称字段。

  很严肃的提醒:在主机上安装任何程序之前,请确保使用虚拟机并启用VirusTotal扫描检查以保护您的隐私。

  觉得这篇文章不错就给阿瑜点个赞吧,喜欢阿瑜的小伙伴们也可以关注阿瑜的百家号——阿瑜聊技术,每天都会有精彩内容分享哦!