唉含末,是不是經(jīng)巢率埃看到王者榮耀領(lǐng)皮膚的鏈接?賬號(hào)密碼一輸~然后就沒(méi)有然后了佣盒,23333333
不過(guò)講真挎袜,你仔細(xì)留意一下,那些界面挺low的肥惭,記得有一次盯仪,簡(jiǎn)單看下那個(gè)釣魚(yú)網(wǎng)站的源碼就會(huì)知道,它把用戶(hù)輸入的賬號(hào)密碼直接寫(xiě)到了同目錄下的一個(gè)txt里蜜葱,然后那個(gè)txt可以直接拿下來(lái)全景,23333333
今天呢!我們教大家做一個(gè)高端一點(diǎn)的釣魚(yú)網(wǎng)站牵囤,但是爸黄,提前聲明:筆者職業(yè)為安全工作者,也未曾利用任何釣魚(yú)網(wǎng)站制造騙局揭鳞;今天的教程也不過(guò)是站在攻與防的對(duì)立面炕贵,讓大家對(duì)釣魚(yú)網(wǎng)站更加警覺(jué),請(qǐng)勿用于非法用途野崇!
今天所使用的工具依然是setoolkit~
老規(guī)矩称开,先給大家再提醒一遍~因?yàn)樗麜?huì)借助msf,所以開(kāi)機(jī)先啟動(dòng)postgresql數(shù)據(jù)庫(kù)乓梨,然后呢鳖轰,如果你直接setoolkit啟動(dòng)會(huì)看到如下報(bào)錯(cuò)!原因:權(quán)限不足扶镀!所以請(qǐng)使用sudo setoolkit啟動(dòng)~
我們正常打開(kāi)平臺(tái)后蕴侣,依舊選擇“1”社會(huì)工程學(xué)攻擊。
我們選擇今天需要用到的website Attack Vectors狈惫,即“2”睛蛛,然后,參見(jiàn)作者解釋?zhuān)覀冞x擇列表中的“3”胧谈,即盜取目標(biāo)身份認(rèn)證信息如賬號(hào)密碼忆肾。這里大家可已經(jīng)看到了,其中“2”是根據(jù)目標(biāo)瀏覽器漏洞獲取目標(biāo)系統(tǒng)shell菱肖,嚴(yán)格來(lái)講客冈,這完全是msf的功能,我們暫不在此平臺(tái)做演示稳强。
然后场仲,我們參見(jiàn)作者解釋?zhuān)x擇網(wǎng)站克隆功能和悦,從系統(tǒng)提示來(lái)看,此平臺(tái)不僅支持HTTP站點(diǎn)渠缕,而且還支持HTTPS的站點(diǎn)鸽素。
我們隨便選擇一個(gè)常用的站點(diǎn)作為本次實(shí)驗(yàn)對(duì)象吧,emmmm亦鳞,淘寶馍忽?
分別輸入克隆目標(biāo)和我們的作為服務(wù)的偽裝服務(wù)器!setoolkit將會(huì)為你自動(dòng)拉起apache燕差,不管你是默認(rèn)apache還是apache2遭笋,此處解放雙手,無(wú)需預(yù)啟動(dòng)徒探。
然后去我們的偽裝站點(diǎn)看下成果瓦呼,emmmmm,請(qǐng)自行對(duì)比兩圖~除了url不一樣测暗,完全一致央串。
我們看下后臺(tái)捕獲到的數(shù)據(jù),emmmm偷溺,什么?你問(wèn)我密碼呢蹋辅?給某寶留點(diǎn)面子好伐,好歹大平臺(tái)挫掏,密碼采用了加密傳輸,這沒(méi)辦法秩命,但是尉共,我們工作或生活中常見(jiàn)的平臺(tái)顯然并沒(méi)有加密傳輸,即使進(jìn)行了密碼加密弃锐,十有八九也算不安全的加密方式袄友,你單依靠js就可以逆向破解。
這時(shí)候你就要問(wèn)了霹菊,此時(shí)用戶(hù)會(huì)有察覺(jué)么剧蚣?接下來(lái)又會(huì)如何?
setoolkit在釣魚(yú)操作執(zhí)行以后會(huì)將會(huì)話(huà)重定向到真實(shí)網(wǎng)站旋廷,從用戶(hù)角度的感受就是:我剛剛輸入錯(cuò)了鸠按?我點(diǎn)到了什么嘛?沒(méi)關(guān)系饶碘,再輸一遍就是啦~顯然目尖,這一遍是他的正常登錄操作,雖然失敗了一次扎运,但絕大多數(shù)人不會(huì)察覺(jué)這一點(diǎn)的瑟曲。
這是時(shí)候饮戳,會(huì)不會(huì)有人打斷我:你的IP地址也太假了!怎么可能沒(méi)有察覺(jué)洞拨!
好的扯罐、老板~請(qǐng)各位大佬靜候【淺談社工】釣魚(yú)網(wǎng)站(下)——DNS劫持與欺騙。emmmm烦衣,順便一說(shuō)關(guān)于【淺談社工】U盤(pán)游戲(下)篮赢,我的U盤(pán)還在路上,穩(wěn)琢鹜凇启泣!
最后,總結(jié)一下今天的連招:【1示辈、2寥茫、3、2】
