网页钓鱼---钓鱼网页的制作与危害上线

免责声明:

本文仅供了解攻击方攻击手法反制使用,切勿用于非法用途

前言

欢迎来到我的博客

个人主页:北岭敲键盘的荒漠猫-CSDN博客

基础能力要求

如果仅仅造个页面的话,不需要什么基础。但是如果想要让这个钓鱼页面能够真正实现攻击,得要求制作者有一定的前端开发能力(主要是js)。

钓鱼原理

这个其实要看钓鱼者的思路有多开阔。

传统的钓鱼手法是指造一个一模一样的页面配合邮件等,通过记录目标的进行钓鱼。

但是如果思路开阔的话是可以玩许多我们自己的骚套路的。

比如伪装下载上线木马,定位目标位置等骚操作就看自己的开发能力和脑洞了。

制作钓鱼页面

评价:快速制作出可以实现功能的钓鱼页面,但是过于死板,加解密等难以绕过。适合懒人。

toolkit页面制作

这个工具是个社会工程工具集合,里面有钓鱼页面功能。

也是一个比较老的工具了,我记得当年高中的时候就看到过这玩意。

所以功能可能有点逊色于现代的。有时候还不稳定,不一定能给克隆下来,而且可能会出错,对方如果加密,我们抓取的还是加密的数据。

(但是你是非专业,仅仅想要跟朋友装x,纯计算机小白,但是想要在不懂行的人中装大佬的话首选,因为他基本上不用你干啥事)

kali中自带,拿出来玩即可。

这个绿绿的,开袋即食。

选1,社工攻击

 选2,web相关的攻击

选3,钓鱼

选2,站点克隆

然后会问你架设到哪个ip上,因为高级的钓鱼一般手撸,这里大体整理一下操作,不去搞服务器ip了

 克隆的网址

他很多时候会克隆失败,玄学克隆。

克隆一个登录页面玩玩

这里以京东为例,(仅供攻击方手法案例演示,切勿私下搞)

因为他登录的方式相对比较多。

把url给toolkit,它提示在80端口克隆,我们访问80端口

他给克隆的。

很明显,他这确实有些bug,玩玩可以,真拿去钓鱼嗯不太行。

写点东西吧

用户名是对了,但是密码是加密传输的,显然看不到啥东西。(钓鱼页面都这样)

看起来比较假,不太行刑。。。

goblin页面制作

描述:这个工具相对靠谱一点,但是要是进行大规模拓展更改还是比较麻烦。

下载:https://github.com/xiecat/goblin

运行

运行后生成goblin.yaml配置文件

打开里面可以配置什么端口克隆什么网页。

这里继续克隆京东

 配置到9000(原8083跟yakit抓包冲突)

发现访问的页面居然是真的京东页面,这你妹的钓集贸呀。

大概率是源码中有跳转的代码,让前端自动跳转(这类得大改代码删除修改需要手工了。。)

再换个,学习通,嗯,老早就看他不爽了!

看文件夹中的这个文件

这个文件是日志,用于看操作者对网页进行操作的文件。

我们现在登录页面,输入一下我们的账号密码

日志里生成数据包信息,账号密码如下

 不过经过加密了,得靠在插件里进行js逆向或者修改代码了。

然后再仔细看yaml文件里

底下这个东西是插件。

这个插件需要我们自己写,可以完成我们想要实现的功能。

插件需要放到这个文件夹中

 里面要用yaml格式文件

 具体插件用法:插件替换模块 | Goblin

手工页面制作

简单,但是不简单。

可以很快的把页面给克隆下来,但是这是个单纯的页面,需要我们自己进行大量的修改。

但是同样,这样经过大量修改的页面才是真正能够钓到鱼的高级钓鱼页面。

找到页面,在浏览器中ctrl+s保存下来。

这样京东的页面就能保存下来了!

但是注意,这个页面也可能会点别的按钮跳到真的京东。

 代码就已经有了,剩下的就需要我们大量的修改密码。

下面哪些乱七八糟的修改大多针对手工页面制作的措施

加密信息处理

网站端口对接基本会对重要的信息进行加密。

正常情况下我们克隆的页面发送消息是这样的。

 我们克隆的网页中包含了加密的代码,然后我们实际上接收的信息是数据包中发送的信息。

那么就会出现我们明明抓到了目标输入的内容,但是钓鱼网页带了加密,咱直接gg看不懂。

处理这个东西有两种方法。

源码级js逆向或者删除

总归一句话,找这个地方的代码,然后要么把加密给删除了,要么就是在接收界面跟后端一样,自定义一个解密函数,然后抓取到用户的数据包之后,进行逆向解密。

这个不多做描述了。

主要看开发能力。

中途拦截获取明文数据

这个是原本的发送模式

当然这里是咱钓鱼页面,登录表单一般发不出去(但是不完全绝对)

 我们现在进行网页修改,让他出现这种情况。

我们在用户输入后点击登录按钮的时候,单独执行一串代码,让他把输入的参数内容直接传给我们的钓鱼后端文件,然后我们直接接收保存下来即可。

相比于js逆向,我们需要处理的代码量更加小。

具体操作包括:(懒人方法,开发好可以玩的花一点,因为这样固定gpt生成几段代码就可以完成)

看参数名

插入传递参数,监听按钮的代码

后端创建监听的代码

从页面找对应代码

比较简单,直接对相应的位置右键开开发者工具即可

从这里面看参数名称

然后看提交按钮的标签

现在知道了对应参数后开始写代码。

懒人要有懒人的方法,gpt起来干活!

 把代码写成一个文件

在原代码表单处加上这个

然后再创建一个php的接收文本

放到phpstudy里测试

完美绕过加密

不同登录方式的攻击

1.密码登录

如上述方式即可进行钓鱼攻击。

2.短信登录

短信登录通常不回对参数进行加密(但是还是得看对方网站,不绝对)

需要更加精进的开发技巧,因为短信具有时效性,需要我们设置脚本如果发现接收到了数据必须立马通知我们。

3.二维码登录

也需要很好的开发能力。

思路就是,我们自己去看二维码,然后把二维码存下来摆到钓鱼网站上,并且时刻检测二维码过期情况,他扫描之后我们就能够登录了。

二维码钓鱼攻击小演示

这个二维码其实就是一张图片

简洁的html代码

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>扫码登录京东</title>
</head>

<body>
    <h1>扫码登录京东</h1>
    <img src="https://open.weixin.qq.com/connect/qrcode/051qvN6m14GGFa1m" alt="请扫码">
</body>

</html>

效果大家自行观看吧

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mfbz.cn/a/886074.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Android 简单实现联系人列表+字母索引联动效果

Android 简单实现联系人列表+字母索引联动效果

效果如上图。 Main Ideas 左右两个列表左列表展示人员数据&#xff0c;含有姓氏首字母的 header item右列表是一个全由姓氏首字母组成的索引列表&#xff0c;点击某个item&#xff0c;展示一个气泡组件(它会自动延时关闭)&#xff0c; 左列表滚动并显示与点击的索引列表item …
阅读更多...
Meta首款多模态Llama 3.2开源:支持图像推理,还有可在手机上运行的版本 | LeetTalk Daily...

Meta首款多模态Llama 3.2开源:支持图像推理,还有可在手机上运行的版本 | LeetTalk Daily...

“LeetTalk Daily”&#xff0c;每日科技前沿&#xff0c;由LeetTools AI精心筛选&#xff0c;为您带来最新鲜、最具洞察力的科技新闻。 Meta最近推出的Llama Stack的发布标志着一个重要的里程碑。这一新技术的推出不仅为开发者提供了强大的多模态能力&#xff0c;还为企业和初…
阅读更多...
基于单片机的多路温度检测系统

基于单片机的多路温度检测系统

**单片机设计介绍&#xff0c;基于单片机CAN总线的多路温度检测系统设计 文章目录 前言概要功能设计设计思路 软件设计效果图 程序设计程序 前言 &#x1f497;博主介绍&#xff1a;✌全网粉丝10W,CSDN特邀作者、博客专家、CSDN新星计划导师&#xff0c;一名热衷于单片机技术探…
阅读更多...
详细介绍:API 和 SPI 的区别

详细介绍:API 和 SPI 的区别

文章目录 Java SPI (Service Provider Interface) 和 API (Application Programming Interface) 的区别详解目录1. 定义和目的1.1 API (Application Programming Interface)1.2 SPI (Service Provider Interface) 2. 使用场景2.1 API 的应用场景2.2 SPI 的应用场景 3. 加载和调…
阅读更多...
Python的异步编程

Python的异步编程

什么是协程&#xff1f; 协程不是计算机系统提供&#xff0c;程序员人为创造。 协程也可以被称为微线程&#xff0c;是一种用户态内的上下文切换技术。简而言之&#xff0c;其实就是通过一个线程实现代码块相互切换执行。 实现协程有那么几种方法&#xff1a; greenlet&…
阅读更多...
Qt/C++ 解决调用国密SM3,SM4加密解密字符串HEX,BASE64格式转换和PKCS5Padding字符串填充相关问题

Qt/C++ 解决调用国密SM3,SM4加密解密字符串HEX,BASE64格式转换和PKCS5Padding字符串填充相关问题

项目中遇到了需要与JAVA WEB接口使用SM3,SM4加密数据对接的需求&#xff0c;于是简单了解了下SM3与SM4加密算法在C环境下的实现。并使用Qt/C还原了在线SM3国密加密工具和在线SM4国密加密解密工具网页的示例功能的实现 目录导读 前言SM3算法简介SM4算法简介 实现示例字符串HEX,B…
阅读更多...
慢病中医药膳养生食疗管理微信小程序、基于微信小程序的慢病中医药膳养生食疗管理系统设计与实现、中医药膳养生食疗管理微信小程序的开发与应用(源码+文档+定制)

慢病中医药膳养生食疗管理微信小程序、基于微信小程序的慢病中医药膳养生食疗管理系统设计与实现、中医药膳养生食疗管理微信小程序的开发与应用(源码+文档+定制)

博主介绍&#xff1a; ✌我是阿龙&#xff0c;一名专注于Java技术领域的程序员&#xff0c;全网拥有10W粉丝。作为CSDN特邀作者、博客专家、新星计划导师&#xff0c;我在计算机毕业设计开发方面积累了丰富的经验。同时&#xff0c;我也是掘金、华为云、阿里云、InfoQ等平台…
阅读更多...
计算机网络:计算机网络体系结构 —— 专用术语总结

计算机网络:计算机网络体系结构 —— 专用术语总结

文章目录 专用术语实体协议服务服务访问点 SAP 服务原语 SP 协议数据单元 PDU服务数据单元 SDU 专用术语 实体 实体是指任何可以发送或接收信息的硬件或软件进程 对等实体是指通信双方处于相同层次中的实体&#xff0c;如通信双方应用层的浏览器进程和 Web 服务器进程。 协…
阅读更多...
docker 部署 Seatunnel 和 Seatunnel Web

docker 部署 Seatunnel 和 Seatunnel Web

docker 部署 Seatunnel 和 Seatunnel Web 说明&#xff1a; 部署方式前置条件&#xff0c;已经在宿主机上运行成功运行文件采用挂载宿主机目录的方式部署SeaTunnel Engine 采用的是混合模式集群 编写Dockerfile并打包镜像 Seatunnel FROM openjdk:8 WORKDIR /opt/seatunne…
阅读更多...
【在Linux世界中追寻伟大的One Piece】System V共享内存

【在Linux世界中追寻伟大的One Piece】System V共享内存

目录 1 -> System V共享内存 1.1 -> 共享内存数据结构 1.2 -> 共享内存函数 1.2.1 -> shmget函数 1.2.2 -> shmot函数 1.2.3 -> shmdt函数 1.2.4 -> shmctl函数 1.3 -> 实例代码 2 -> System V消息队列 3 -> System V信号量 1 -> Sy…
阅读更多...
基于两分支卷积和 Transformer 的轻量级多尺度特征融合超分辨率网络 !

基于两分支卷积和 Transformer 的轻量级多尺度特征融合超分辨率网络 !

当前的单图像超分辨率&#xff08;SISR&#xff09;算法有两种主要的深度学习模型&#xff0c;一种是基于卷积神经网络&#xff08;CNN&#xff09;的模型&#xff0c;另一种是基于Transformer的模型。前者利用不同卷积核大小的卷积层堆叠来设计模型&#xff0c;使得模型能够更…
阅读更多...
OpenFeign微服务部署

OpenFeign微服务部署

一.开启nacos 和redis 1.查看nacos和redis是否启动 docker ps2.查看是否安装nacos和redis docker ps -a3.启动nacos和redis docker start nacos docker start redis-6379 docker ps 二.使用SpringSession共享例子 这里的两个例子在我的一个博客有创建过程&#xff0c…
阅读更多...
rtmp协议转websocketflv的去队列积压

rtmp协议转websocketflv的去队列积压

websocket server的优点 websocket server的好处&#xff1a;WebSocket 服务器能够实现实时的数据推送&#xff0c;服务器可以主动向客户端发送数据 1 不需要客户端不断轮询。 2 不需要实现httpserver跨域。 在需要修改协议的时候比较灵活&#xff0c;我们发送数据的时候比较…
阅读更多...
Linux云计算 |【第四阶段】RDBMS1-DAY3

Linux云计算 |【第四阶段】RDBMS1-DAY3

主要内容&#xff1a; 子查询&#xff08;单行单列、多行单列、单行多列、多行多列&#xff09;、分页查询limit、联合查询union、插入语句、修改语句、删除语句 一、子查询 子查询就是指的在一个完整的查询语句之中&#xff0c;嵌套若干个不同功能的小查询&#xff0c;从而一…
阅读更多...
安宝特案例 | 某知名日系汽车制造厂,借助AR实现智慧化转型

安宝特案例 | 某知名日系汽车制造厂,借助AR实现智慧化转型

案例介绍 在全球制造业加速数字化的背景下&#xff0c;工厂的生产管理与设备维护效率愈发重要。 某知名日系汽车制造厂当前面临着设备的实时监控、故障维护&#xff0c;以及跨地域的管理协作等挑战&#xff0c;由于场地分散和突发状况的不可预知性&#xff0c;传统方式已无法…
阅读更多...
大模型部署——NVIDIA NIM 和 LangChain 如何彻底改变 AI 集成和性能

大模型部署——NVIDIA NIM 和 LangChain 如何彻底改变 AI 集成和性能

DigiOps与人工智能 人工智能已经从一个未来主义的想法变成了改变全球行业的强大力量。人工智能驱动的解决方案正在改变医疗保健、金融、制造和零售等行业的企业运营方式。它们不仅提高了效率和准确性&#xff0c;还增强了决策能力。人工智能的价值不断增长&#xff0c;这从它处…
阅读更多...
Html 转为 MarkDown

Html 转为 MarkDown

在 RAG 中,通常需要将 HTML 转为 Markdown,有很多第三方 API 都支持 HTML 的转换,本文使用一个代码文档的例子 https://www.joinquant.com/help/api/help#name:Stock,将聚宽 API 转为 Markdown。本文通过两种方式进行实现,使用收费和开源的解决方案。聚宽 API 格式转为 Ma…
阅读更多...
【Linux】几种常见配置文件介绍

【Linux】几种常见配置文件介绍

配置文件目录 linux 系统中有很多配置文件目录 /etc/systemd/system /lib/systemd/system /usr/lib/systemd/system 【结果就是这个目录配置文件是源头】 这三者有什么样的关系呢&#xff1f; 以下是网络上找的资料汇总&#xff0c;并加了一些操作验证。方便后期使用 介…
阅读更多...
鸿蒙NEXT开发环境搭建(基于最新api12稳定版)

鸿蒙NEXT开发环境搭建(基于最新api12稳定版)

注意&#xff1a;博主有个鸿蒙专栏&#xff0c;里面从上到下有关于鸿蒙next的教学文档&#xff0c;大家感兴趣可以学习下 如果大家觉得博主文章写的好的话&#xff0c;可以点下关注&#xff0c;博主会一直更新鸿蒙next相关知识 专栏地址: https://blog.csdn.net/qq_56760790/…
阅读更多...
Linux 进程的基本概念及描述

Linux 进程的基本概念及描述

目录 0.前言 1. 什么是进程 1.1 进程的定义与特性 1.2 进程与线程的区别 2.描述进程 2.1 PCB (进程控制块) 2.2 task_struct 3.查看进程 3.1 查看进程信息 3.1.1 /proc 文件系统 3.1.2 ps 命令 3.1.2 top 和 htop 命令 3.2 获取进程标识符 3.2.1使用命令获取PID 3.2.2 使用C语言…
阅读更多...
最新文章

Copyright @ 2022~2023