钓鱼网站的实验,我的目标是监听对方键盘且输入账号密码后自动跳转正常的网页(如:某邮箱某网站的客户登录界面,输入账号密码后记录,且跳转)
1、搭建环境
先在kali(服务器)上下载phpstudy(小皮)
wget -O install.sh https://notdocker.xp.cn/install.sh && sudo bash install.sh
访问内网连接,如果使用的是服务器的话,那就访问外网连接输入账号密码
登录CS
首先配置一个监听器
2.攻击—>钓鱼攻击—>克隆网站
这里使用学习通做钓鱼网站(如果一个网站不支持HTTP协议的话,那么无法克隆,因为CS不能克隆HTTPS的网站)
先简单测试一下能否进行键盘监听
这里监听到了,那么我们开始实现我们的想法:当受害者打开钓鱼网站输入自己的正确的账号密码(此时账号密码已经被记录下来了),为了不使受害者产生怀疑,这里我们实现在点击登录之后,跳转到真实的学习通页面(一般人会以为是网站卡住了或者以为自己账号密码输入错误了)
如何实现:
定位到登录的HTML代码,将onclick的事件改为跳转到真实的学习通页面
代码如下:
onclick=”window.location.href=’http://passport2.chaoxing.com/login?fid=&refer=https://www.baidu.com/link?url=U-uBLmyoPE32ds4wWS0Br88q0tgT750dI9i29AgW_dL8tBX2Xf_eKhmaatwoeYW_&wd=&eqid=d3414cc10001093e0000000663da0f3d'”
经过测试达到预期效果
这个时候将修改HTML代码后的网页源代码复制到新建的一个HTML文件
然后将该HTML上传到kali的phpstudy中,这样就把钓鱼网站部署到了kali(服务器)上
访问试一下效果:
监听功能正常,点击登录跳转到真实页面也正常
本网站内容及资料来源于网络,并不代表本站观点和对其真实性负责,也不构成任何其他建议;部分内容是由网友自主投稿和发布、编辑整理上传,对此类内容本站仅提供交流平台,不为其版权负责;所提供的信息,只供参考之用,不保证信息的准确性、有效性、及时性和完整性;如果您发现网站上有侵犯您的知识产权的内容,请与我们取得联系,我们会及时修改或删除。文章版权归作者所有,原创作品未经允许请勿转载。投诉请联系:admin@chnhonker.com
暂无评论内容