使用wifipumpkin3快速搭建钓鱼WIFI

使用wifipumpkin3快速搭建钓鱼WIFI

正式使用之前,推荐查看wifipumpkin3官方文档:

https://wifipumpkin3.github.io/

安装

wifipumpkin3官方文档中提到,仅支持Linux安装,以及Mac OS X的docker安装。

本次在Kali Linux下进行安装。

wifipumpkin3需要依赖于Python3.7或者更高的版本,由于Kali Linux自带Python3.8,所以安装Python的过程在此不再叙述。

安装系统软件包、依赖

1
sudo apt install libssl-dev libffi-dev build-essential

下载wifipumpkin3

1
2
git clone https://github.com/P0cL4bs/wifipumpkin3.git
cd wifipumpkin3

安装hostapd、pyqt5

1
2
sudo apt-get install hostapd
sudo apt install python3-pyqt5

检验pyqt5是否安装完成

1
python3 -c "from PyQt5.QtCore import QSettings; print('done')"

如果打印done则安装完成,否则失败。

编译安装wifipumpkin3

确保当前在wifipumpkin3目录下,然后执行

1
sudo python3 setup.py install

简单使用

首先需要将网卡挂载到Kali Linux上。

然后启动wifipumpkin3

1
sudo wifipumpkin3

wifipumpkin3有点类似msf,交互界面简单配置即可搭建完成

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 设置网络接口
set interface wlan0

# 设置钓鱼wifi的ssid
set ssid demo

# 设置代理插件
set proxy noproxy

# 忽略pydns_server的所有日志
ignore pydns_server

# 启动
start

启动后会一直处于监听状态

手机搜索发现开放wifi,进行连接之后,随便找个登录页面登录

效果:连接之后手机可以正常访问网络,不过期间所有流量都会被监听,进行登录操作时,wifipumpkin3会自动抓取到账号密码,并且会显示到屏幕上。

自定义钓鱼页面

假设钓鱼场景发生在XX大学里,一般的校园网接入后会强制跳转到认证界面,输入账号密码认证成功后才可以上网。

利用wifipumpkin3的插件功能,可以轻松实现强制跳转到自定义的认证界面。

准备素材

这一步需要将认证界面的html、css、js、等静态文件都下载到本地,并且修改至完全一样。

wifipumpkin3有几个默认的钓鱼页面素材,位置在

1
wifipumpkin3/config/templates

目录结构如下

preview.png为预览图片,static目录放置了页面的静态文件,templates目录放置了登录页面以及登录成功跳转后的页面。

将自定义的页面静态资源路径改为以static为当前路径,例如:static/css/login.css

然后将制作好的素材复制到wifipumpkin3/config/templates目录下

wifipumpkin3/wifipumpkin3/plugins/captiveflask目录中存放了每个钓鱼页面的py文件,新增自定义的钓鱼页面也需要新建一个对应文件名的py文件,这里直接复制一个,修改一下里面的名字即可

wifipumpkin3/config/app/captive-portal.ini文件中新增一行

1
School=false

最后一步,修改wifipumpkin3/bin/captiveflask文件,使request参数对应钓鱼页面的input参数。

全部准备好,需要重新编译安装,后续每次修改页面都需要重新编译安装。

1
sudo python3 setup.py install

页面测试

1
2
3
4
5
6
set interface wlan0
set ssid School
set proxy captiveflask
set captiveflask.School true
proxies
start

启动后将会发布一个web页面,注意本机80端口不能冲突

手机连接WIFI后会提示需要认证,强制跳转至指定页面

输入账号密码后,屏幕会显示

wifipumpkin3还有很多好玩的姿势,就靠大家亲自挖掘啦。

文章作者: Linuz
文章链接: https://linuz.me/2021/05/06/Using-wifipumpkin3-phishing-wifi/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Linuz's Blog
敢不敢赏脸一次