唉,是不是经常看到王者荣耀领皮肤的链接?账号密码一输~然后就没有然后了,23333333
不过讲真,你仔细留意一下,那些界面挺low的,记得有一次,简单看下那个钓鱼网站的源码就会知道,它把用户输入的账号密码直接写到了同目录下的一个txt里,然后那个txt可以直接拿下来,23333333
今天呢!我们教大家做一个高端一点的钓鱼网站,但是,提前声明:笔者职业为安全工作者,也未曾利用任何钓鱼网站制造骗局;今天的教程也不过是站在攻与防的对立面,让大家对钓鱼网站更加警觉,请勿用于非法用途!
今天所使用的工具依然是setoolkit~
老规矩,先给大家再提醒一遍~因为他会借助msf,所以开机先启动postgresql数据库,然后呢,如果你直接setoolkit启动会看到如下报错!原因:权限不足!所以请使用sudo setoolkit启动~
我们正常打开平台后,依旧选择“1”社会工程学攻击。
我们选择今天需要用到的website Attack Vectors,即“2”,然后,参见作者解释,我们选择列表中的“3”,即盗取目标身份认证信息如账号密码。这里大家可已经看到了,其中“2”是根据目标浏览器漏洞获取目标系统shell,严格来讲,这完全是msf的功能,我们暂不在此平台做演示。
然后,我们参见作者解释,选择网站克隆功能,从系统提示来看,此平台不仅支持HTTP站点,而且还支持HTTPS的站点。
我们随便选择一个常用的站点作为本次实验对象吧,emmmm,淘宝?
分别输入克隆目标和我们的作为服务的伪装服务器!setoolkit将会为你自动拉起apache,不管你是默认apache还是apache2,此处解放双手,无需预启动。
然后去我们的伪装站点看下成果,emmmmm,请自行对比两图~除了url不一样,完全一致。
我们看下后台捕获到的数据,emmmm,什么?你问我密码呢?给某宝留点面子好伐,好歹大平台,密码采用了加密传输,这没办法,但是,我们工作或生活中常见的平台显然并没有加密传输,即使进行了密码加密,十有八九也算不安全的加密方式,你单依靠js就可以逆向破解。
这时候你就要问了,此时用户会有察觉么?接下来又会如何?
setoolkit在钓鱼操作执行以后会将会话重定向到真实网站,从用户角度的感受就是:我刚刚输入错了?我点到了什么嘛?没关系,再输一遍就是啦~显然,这一遍是他的正常登录操作,虽然失败了一次,但绝大多数人不会察觉这一点的。
这是时候,会不会有人打断我:你的IP地址也太假了!怎么可能没有察觉!
好的、老板~请各位大佬静候【浅谈社工】钓鱼网站(下)——DNS劫持与欺骗。emmmm,顺便一说关于【浅谈社工】U盘游戏(下),我的U盘还在路上,稳住!
最后,总结一下今天的连招:【1、2、3、2】