web安全基础(1)揭秘黑客钓鱼网站的制作

钓鱼网站的实验,我的目标是监听对方键盘且输入账号密码后自动跳转正常的网页(如:某邮箱某网站的客户登录界面,输入账号密码后记录,且跳转)

1、搭建环境

先在kali(服务器)上下载phpstudy(小皮)

wget -O install.sh https://notdocker.xp.cn/install.sh && sudo bash install.sh

ad1a1b7183123830

访问内网连接,如果使用的是服务器的话,那就访问外网连接输入账号密码

ad1a1b7183123847

登录CS

首先配置一个监听器

ad1a1b7183124132

ad1a1b7183124145

2.攻击—>钓鱼攻击—>克隆网站

ad1a1b7183124204

这里使用学习通做钓鱼网站(如果一个网站不支持HTTP协议的话,那么无法克隆,因为CS不能克隆HTTPS的网站)

ad1a1b7183124232

先简单测试一下能否进行键盘监听

ad1a1b7183124243

ad1a1b7183124254

这里监听到了,那么我们开始实现我们的想法:当受害者打开钓鱼网站输入自己的正确的账号密码(此时账号密码已经被记录下来了),为了不使受害者产生怀疑,这里我们实现在点击登录之后,跳转到真实的学习通页面(一般人会以为是网站卡住了或者以为自己账号密码输入错误了)

如何实现:

ad1a1b7183124318

定位到登录的HTML代码,将onclick的事件改为跳转到真实的学习通页面

代码如下:

onclick=”window.location.href=’http://passport2.chaoxing.com/login?fid=&refer=https://www.baidu.com/link?url=U-uBLmyoPE32ds4wWS0Br88q0tgT750dI9i29AgW_dL8tBX2Xf_eKhmaatwoeYW_&wd=&eqid=d3414cc10001093e0000000663da0f3d'”

经过测试达到预期效果

这个时候将修改HTML代码后的网页源代码复制到新建的一个HTML文件

ad1a1b7183124338

然后将该HTML上传到kali的phpstudy中,这样就把钓鱼网站部署到了kali(服务器)上

ad1a1b7183124349

访问试一下效果:

ad1a1b7183124357

ad1a1b7183124404

监听功能正常,点击登录跳转到真实页面也正常

© 版权声明
THE END
喜欢就支持一下吧
点赞7 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称常用语 夸夸
夸夸
还有吗!没看够!
表情代码图片

    暂无评论内容