美文网首页TIDE_网络安全
【浅谈社工】钓鱼网站(上)

【浅谈社工】钓鱼网站(上)

作者: RabbitMask | 来源:发表于2019-01-09 09:58 被阅读114次

    唉,是不是经常看到王者荣耀领皮肤的链接?账号密码一输~然后就没有然后了,23333333
    不过讲真,你仔细留意一下,那些界面挺low的,记得有一次,简单看下那个钓鱼网站的源码就会知道,它把用户输入的账号密码直接写到了同目录下的一个txt里,然后那个txt可以直接拿下来,23333333

    今天呢!我们教大家做一个高端一点的钓鱼网站,但是,提前声明:笔者职业为安全工作者,也未曾利用任何钓鱼网站制造骗局;今天的教程也不过是站在攻与防的对立面,让大家对钓鱼网站更加警觉,请勿用于非法用途!

    今天所使用的工具依然是setoolkit~
    老规矩,先给大家再提醒一遍~因为他会借助msf,所以开机先启动postgresql数据库,然后呢,如果你直接setoolkit启动会看到如下报错!原因:权限不足!所以请使用sudo setoolkit启动~

    翻车

    我们正常打开平台后,依旧选择“1”社会工程学攻击。

    社会工程学攻击

    我们选择今天需要用到的website Attack Vectors,即“2”,然后,参见作者解释,我们选择列表中的“3”,即盗取目标身份认证信息如账号密码。这里大家可已经看到了,其中“2”是根据目标浏览器漏洞获取目标系统shell,严格来讲,这完全是msf的功能,我们暂不在此平台做演示。

    钓鱼网站

    然后,我们参见作者解释,选择网站克隆功能,从系统提示来看,此平台不仅支持HTTP站点,而且还支持HTTPS的站点。

    站点克隆

    我们随便选择一个常用的站点作为本次实验对象吧,emmmm,淘宝?

    目标站点

    分别输入克隆目标和我们的作为服务的伪装服务器!setoolkit将会为你自动拉起apache,不管你是默认apache还是apache2,此处解放双手,无需预启动。

    克隆目标站点

    然后去我们的伪装站点看下成果,emmmmm,请自行对比两图~除了url不一样,完全一致。

    伪装站点 尝试登录

    我们看下后台捕获到的数据,emmmm,什么?你问我密码呢?给某宝留点面子好伐,好歹大平台,密码采用了加密传输,这没办法,但是,我们工作或生活中常见的平台显然并没有加密传输,即使进行了密码加密,十有八九也算不安全的加密方式,你单依靠js就可以逆向破解。

    后台捕获

    这时候你就要问了,此时用户会有察觉么?接下来又会如何?
    setoolkit在钓鱼操作执行以后会将会话重定向到真实网站,从用户角度的感受就是:我刚刚输入错了?我点到了什么嘛?没关系,再输一遍就是啦~显然,这一遍是他的正常登录操作,虽然失败了一次,但绝大多数人不会察觉这一点的。

    这是时候,会不会有人打断我:你的IP地址也太假了!怎么可能没有察觉!
    好的、老板~请各位大佬静候【浅谈社工】钓鱼网站(下)——DNS劫持与欺骗。emmmm,顺便一说关于【浅谈社工】U盘游戏(下),我的U盘还在路上,稳住!

    最后,总结一下今天的连招:【1、2、3、2】

    相关文章

      网友评论

        本文标题:【浅谈社工】钓鱼网站(上)

        本文链接:https://www.haomeiwen.com/subject/terwrqtx.html