查看: 2077|回复: 27

研究一个星期了,fluxion钓鱼的正确姿态

[复制链接]

主题

好友

56

积分

新兵上阵

签到天数: 1 天

[LV.1]初来乍到

发表于 2017-7-6 20:55 |显示全部楼层
Anywlan微信公众号
本帖最后由 pgshow 于 2017-7-6 20:59 编辑

刚接触无线安全,就被 Fluxion 这种钓鱼的方式吸引了,但是下回来实验时发现跟视频教程演示的不一样,然后不断的深入研究了一个星期,跨了无数个坑,感觉钓鱼机制还是不够完美,坑很多,分享一下这几天的经验,希望后面的同学少走弯路。

坑一:
首先不得不说一下 fluxion 的下载地址,需要翻墙才能访问。

网上公布那个 https://github.com/deltaxflux/fluxion.git 应该已经被禁掉了,所以作者又开了另一个 https://github.com/FluxionNetwork/fluxion ,号称 Fluxion 2。

我下载到 kali 上测试,结果该软件无法建立 web 服务器,所以钓鱼页面也访问不了。在一些英文的资料里,提到该版本是在 lighttpd 1.4.39-1 下测试通过的,所以我想让 kali 还原到  lighttpd 1.4.39-1 ,结果用 apt-get 命令 kali 也没法安装老版本的 lighttpd,此办法就行不通了。


然后我又把 github 上另外的 fluxion 版本下回来试,终于有个靠谱的了,https://github.com/MuhammadOmar125/fluxion 的能够正常运行,而且新增了很多页面,其中有个 tp-link 的钓鱼页做得很不错,可惜是英文。先不管,看实战中能不能成功。

坑二:
由于新版本使用步骤与视频演示有很大不同,所以实际使用时又遇到一个坑,必须要用 fluxion 先抓包,再伪装AP来攻击,不然用户在登录页无论怎么输密码,都提示密码错误。最坑的是必须是 fluxion 本次启动时抓的包才能用来钓鱼,先前抓的包用不了,从水滴拷进去的包也用不了。

下面是有效的步骤(在wifislax里测试的):
1.选择wifi目标后,进入选项1


2.然后直接回车


3.继续选1


4.第一个或者第二个都可以


5.程序会让wifi一直掉线,直到右上角出现握手包为止(真暴力),出现握手包后,不要犹豫,输入1,检查握手包


6.程序会直接进入这一步,选1开始伪装ap


7.输入32,也就是我建好的中文 tp-link 页面,你也可以自己改写成其他路由器品牌的页面。然后就是耐心等待鱼儿上钩了。



坑三:
AP伪装好了,但是访问钓鱼页却很慢,有时需要10秒钟才能打开,可能是我8187网卡速率的问题,所以我又自己重写了一个钓鱼页,体积是原来的十分之一,还是中文的,有兴趣可以下去玩玩。中文页面在 Site 目录下的 Upgrade-TP-LINK_CN 中。
另外 fluxion 这个文件,里面使用 python 写的,控制着 lighttpd 的web目录绑定和钓鱼页面文件的转移,如果你要新增页面文件,就要改写里面的路径才行。

坑四:
还是那个老问题,如果对方手机几乎不用浏览器,那就看不到钓鱼页,所以我试了几个AP热点都没人输密码。如果能像 360wifi 那种,连上去的时候浏览器自动弹一个窗口出来该多好,搜了一下这种技术叫 captive portal ,可惜我是个小菜,写不了开发,有兴趣的自己去研究吧。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?我要加入

x

评分

1

查看全部评分

主题

好友

56

积分

新兵上阵

签到天数: 1 天

[LV.1]初来乍到

发表于 2017-7-6 22:27 |显示全部楼层
ggdkd 发表于 2017-7-6 21:37
这玩意儿早就玩过了 感觉几乎没什么用吧 很少有人上钩。感觉还不如用WiFi密码库呢 几率还高一点

我对面一排门面,我开着万能钥匙下去走一圈,就可以获取10几个密码了,破握手包我也玩过。我是觉得钓鱼可能某些情况下会有用,所以才想去研究一下,结果发现这技术其实不好用啊。
回复

使用道具 举报

主题

好友

4656

积分

少校

签到天数: 521 天

[LV.9]以坛为家II

发表于 2017-7-6 21:37 |显示全部楼层
这玩意儿早就玩过了 感觉几乎没什么用吧 很少有人上钩。感觉还不如用WiFi密码库呢 几率还高一点
回复

使用道具 举报

主题

好友

1232

积分

上尉

签到天数: 25 天

[LV.4]偶尔看看III

发表于 2017-7-6 21:55 |显示全部楼层
谢谢分享   佩服楼主钻研精神
回复

使用道具 举报

主题

好友

282

积分

少尉

签到天数: 1 天

[LV.1]初来乍到

发表于 2017-7-6 22:35 |显示全部楼层
钓鱼其实是个学习过程,其实反过来你开个fack ap然后把密码上传万能钥匙就很好用
回复

使用道具 举报

主题

好友

7224

积分

中校

签到天数: 715 天

[LV.9]以坛为家II

发表于 2017-7-6 23:06 |显示全部楼层
还没玩过钓鱼不知从何学起
回复

使用道具 举报

主题

好友

282

积分

少尉

签到天数: 1 天

[LV.1]初来乍到

发表于 2017-7-6 23:19 |显示全部楼层
装个最新linux发行版因多带软件的,如kali,ywr..............
回复

使用道具 举报

主题

好友

1万

积分

上校

签到天数: 1562 天

[LV.Master]伴坛终老

发表于 2017-7-7 00:17 |显示全部楼层
早就放弃钓鱼了,但还是赞赏楼主这种探索精神
回复

使用道具 举报

主题

好友

386

积分

少尉

签到天数: 20 天

[LV.4]偶尔看看III

发表于 2017-7-7 04:28 |显示全部楼层
我被这个 fiuxion坑惨了  在kalinux上 怎么都没用 后来就没有研究了  还是老老实实的 跑包吧
回复

使用道具 举报

主题

好友

5503

积分

中校

签到天数: 631 天

[LV.9]以坛为家II

发表于 2017-7-7 06:27 |显示全部楼层
还没玩过钓鱼不知从何学起
回复

使用道具 举报

主题

好友

481

积分

少尉

签到天数: 3 天

[LV.2]偶尔看看I

发表于 2017-7-7 07:34 |显示全部楼层
谢谢楼主分享
回复

使用道具 举报

主题

好友

9652

积分

中校

签到天数: 602 天

[LV.9]以坛为家II

发表于 2017-7-7 09:01 |显示全部楼层
佩服楼主钻研精神
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

关闭

站长推荐 上一条 /1 下一条

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图

GMT+8, 2017-8-19 00:31

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表