cdxy.me
Cyber Security / Data Science / Trading

 

0写在前面

本文主要为提升同学们的安全意识,促进学校采取必要措施保障学生的隐私安全.

涉及的原理很简单:全站HTTP,密码以明文传输,可被简单抓包分析获取.

请能够理解这句话并实践过的朋友可以直接点关闭了^_^本文并不是讲技术的。

其余小伙伴请往下看。


 

 

1危害性

威胁种类:用户帐号密码可被轻易窃取

威胁范围:你在北交校内拥有的全部帐号(包括校园网,课程平台,邮箱,选课系统,各类平台等等)

操作难度:低(计算机/软件/电信学院的朋友们相信都可以轻松复现,只需要一台安装了抓包工具的电脑,拿到学活,坐一天,几百个帐号轻松到手)


 

2起因

事情源于某次教室里我在乌云交漏洞,文字描述写的兴高采烈,旁边的xxx大牛悄悄打开了mac嗅探到了我提交的内容.

然后我问他你开嗅探干嘛,他说想抓几个校园网帐号.

我才反映过来,进入校园网的登录界面,它用的是HTTP.

后来测试了学校内的主要站点,发现这个问题真的广泛存在.

随后一阵心慌,作为信息安全爱好者,这两天用校园网的时候,每次登录输密码都不会安心.

3谁都能看的懂的原理分析

你在填写完用户名和密码,点击登录之后,会发生什么?

你写了封表白信,包了个信封,邮了靠谱的快递.

一名上海的快递小哥,拿上这个信件,送到上海快件中心,然后快件从上海一路向北到达哈尔滨,哈尔滨的快递小哥把你的信扔到村口的信箱.大伙儿一看,要拿本人携身份证签收,就都散了,只有你的女神能拆这个快递并看到信的内容.(HTTPS)

你写了封表白信,写的明信片,没信封,盖了个章就往外邮.

取件小哥一看,呦嗬小伙儿可以的!然后送到上海快件中心,然后快件从上海一路向北到达哈尔滨,路上你的明信片被人看了个遍,哈尔滨的快递小哥把你的信扔到村口的信箱.大伙儿一看,呦嗬小伙儿可以的!你女神拿到明信片的时候,知道无数人已经看到了吗?(HTTP)

这里不做技术性解释。

简单的说,你登录 百度 谷歌 163 淘宝 京东 时,就是第一种情况,因为他们用的是HTTPS.

而你在学校里登录 校园网 邮箱 教务处 课程平台 教务系统 时,就是第二种情况,因为我们用的是HTTP.

你虚不虚?反正我有点虚.


 

4正片开始

其实最开始想用这个题目:教你如何轻松拿下你室友的帐号。

使用的工具是wireshark,一款普通工具,基本听说过”抓包”的应该都知道wireshark,自行百度.

 

教务处

首先A开启wireshark,抓流量包.

B访问教务处,输入账号和密码,点击登录.

2015-12-07 19_45_13屏幕截图_副本  

然后我们在A的wireshark里就会看到这样的结果,可以清晰的看到账号及密码:

2015-12-07 19_45_01屏幕截图_副本  

无线校园网

我们再测试一下其他站点,比如无线校园网的登录界面,结果如下(为保护隐私已手动打码),同样直接拿到账号密码:

2015-12-07 19_36_57屏幕截图_副本

完整的HTTP数据包看post的数据:

2015-12-07 19_35_56屏幕截图_副本

URP教务系统

同样直接拿到。

2015-12-07 19_51_25屏幕截图_副本

邮件系统登录

这个数据包是用ettercap抓到的,同样是一款普遍的嗅探软件,这个软件可以过滤掉冗杂的数据,准确的挑出你的用户名和密码(由于是真是数据,已手工打码),红色箭头处标明了是校邮箱。

2015-12-07 18_53_49屏幕截图_副本 邮件系统是支持SSL的,下次小伙伴在使用校邮箱时,千万记住勾选下方的SSL,这样就可以避免此类密码泄露的情况发生,如下图。

QQ截图20151207220444


 

5解决问题

  我看了校内几个重要的登录界面,都是HTTP,其他不常用的系统更不用说,估计都是这样。  

它的危害还是挺大的: 一台正在嗅探无线连接的电脑,能拿到一两个大教室内的用户数据。 一台宿舍连上网线的电脑,能拿到到几十甚至上百台电脑收发的数据。 关键的是,抓包这个技术并不高端,相信计算机/电信/软件学及其他学院对计算机网络比较熟识的朋友,百度一下wireshark使用方法,就能掌握了。  

关于自动化利用

写个脚本,开启无线的监听模式,调用ettercap抓包过滤并处理输出,python一百行足够。 带着电脑到学活自习一天,晚上回来一看,几百条账号get。

你丫还敢利用,都是同学都是革命战友啊!  

改善

这个问题的解决方式只能寄希望于学校整改系统了。作为一个安全专业的学生,真心没法安心使用校园网,所以花些时间写这个没有技术含量的东西。希望大家提高安全意识,同时也想呼吁一下学校赶快把关键的系统登录做成HTTPS吧。