网页钓鱼---钓鱼网页的制作与危害上线

北岭敲键盘的荒漠猫

于 2024-10-02 14:21:06 发布

阅读量905

点赞数 28

分类专栏：渗透测试 # 红队apt 文章标签：安全

本文链接：https://blog.csdn.net/2302_79590880/article/details/142660334

版权

渗透测试同时被 2 个专栏收录

8 篇文章 0 订阅

订阅专栏

红队apt

2 篇文章 0 订阅

订阅专栏

免责声明:

本文仅供了解攻击方攻击手法反制使用，切勿用于非法用途

前言

欢迎来到我的博客

个人主页:北岭敲键盘的荒漠猫-CSDN博客

基础能力要求

如果仅仅造个页面的话，不需要什么基础。但是如果想要让这个钓鱼页面能够真正实现攻击，得要求制作者有一定的前端开发能力(主要是js)。

钓鱼原理

这个其实要看钓鱼者的思路有多开阔。

传统的钓鱼手法是指造一个一模一样的页面配合邮件等，通过记录目标的进行钓鱼。

但是如果思路开阔的话是可以玩许多我们自己的骚套路的。

比如伪装下载上线木马，定位目标位置等骚操作就看自己的开发能力和脑洞了。

制作钓鱼页面

评价:快速制作出可以实现功能的钓鱼页面，但是过于死板，加解密等难以绕过。适合懒人。

toolkit页面制作

这个工具是个社会工程工具集合，里面有钓鱼页面功能。

也是一个比较老的工具了，我记得当年高中的时候就看到过这玩意。

所以功能可能有点逊色于现代的。有时候还不稳定，不一定能给克隆下来，而且可能会出错，对方如果加密，我们抓取的还是加密的数据。

(但是你是非专业，仅仅想要跟朋友装x，纯计算机小白，但是想要在不懂行的人中装大佬的话首选，因为他基本上不用你干啥事)

kali中自带，拿出来玩即可。

这个绿绿的，开袋即食。

选1，社工攻击

选2，web相关的攻击

选3，钓鱼

选2，站点克隆

然后会问你架设到哪个ip上，因为高级的钓鱼一般手撸，这里大体整理一下操作，不去搞服务器ip了

克隆的网址

他很多时候会克隆失败，玄学克隆。

克隆一个登录页面玩玩

这里以京东为例，(仅供攻击方手法案例演示，切勿私下搞)

因为他登录的方式相对比较多。

把url给toolkit，它提示在80端口克隆，我们访问80端口

他给克隆的。

很明显，他这确实有些bug，玩玩可以，真拿去钓鱼嗯不太行。

写点东西吧

用户名是对了，但是密码是加密传输的，显然看不到啥东西。(钓鱼页面都这样)

看起来比较假，不太行刑。。。

goblin页面制作

描述:这个工具相对靠谱一点，但是要是进行大规模拓展更改还是比较麻烦。

下载:https://github.com/xiecat/goblin

运行

运行后生成goblin.yaml配置文件

打开里面可以配置什么端口克隆什么网页。

这里继续克隆京东

配置到9000(原8083跟yakit抓包冲突)

发现访问的页面居然是真的京东页面，这你妹的钓集贸呀。

大概率是源码中有跳转的代码，让前端自动跳转(这类得大改代码删除修改需要手工了。。)

再换个,学习通，嗯，老早就看他不爽了！

看文件夹中的这个文件

这个文件是日志，用于看操作者对网页进行操作的文件。

我们现在登录页面，输入一下我们的账号密码

日志里生成数据包信息，账号密码如下

不过经过加密了，得靠在插件里进行js逆向或者修改代码了。

然后再仔细看yaml文件里

底下这个东西是插件。

这个插件需要我们自己写，可以完成我们想要实现的功能。

插件需要放到这个文件夹中

里面要用yaml格式文件

具体插件用法:插件替换模块 | Goblin

手工页面制作

简单，但是不简单。

可以很快的把页面给克隆下来，但是这是个单纯的页面，需要我们自己进行大量的修改。

但是同样，这样经过大量修改的页面才是真正能够钓到鱼的高级钓鱼页面。

找到页面，在浏览器中ctrl+s保存下来。

这样京东的页面就能保存下来了！

但是注意，这个页面也可能会点别的按钮跳到真的京东。

代码就已经有了，剩下的就需要我们大量的修改密码。

下面哪些乱七八糟的修改大多针对手工页面制作的措施

加密信息处理

网站端口对接基本会对重要的信息进行加密。

正常情况下我们克隆的页面发送消息是这样的。

我们克隆的网页中包含了加密的代码，然后我们实际上接收的信息是数据包中发送的信息。

那么就会出现我们明明抓到了目标输入的内容，但是钓鱼网页带了加密，咱直接gg看不懂。

处理这个东西有两种方法。

源码级js逆向或者删除

总归一句话，找这个地方的代码，然后要么把加密给删除了，要么就是在接收界面跟后端一样，自定义一个解密函数，然后抓取到用户的数据包之后，进行逆向解密。

这个不多做描述了。

主要看开发能力。

中途拦截获取明文数据

这个是原本的发送模式

当然这里是咱钓鱼页面，登录表单一般发不出去(但是不完全绝对)

我们现在进行网页修改，让他出现这种情况。

我们在用户输入后点击登录按钮的时候，单独执行一串代码，让他把输入的参数内容直接传给我们的钓鱼后端文件，然后我们直接接收保存下来即可。

相比于js逆向，我们需要处理的代码量更加小。

具体操作包括：(懒人方法，开发好可以玩的花一点，因为这样固定gpt生成几段代码就可以完成)

看参数名

插入传递参数，监听按钮的代码

后端创建监听的代码

从页面找对应代码

比较简单，直接对相应的位置右键开开发者工具即可

从这里面看参数名称

然后看提交按钮的标签

现在知道了对应参数后开始写代码。

懒人要有懒人的方法，gpt起来干活！

把代码写成一个文件

在原代码表单处加上这个

然后再创建一个php的接收文本

放到phpstudy里测试

完美绕过加密

不同登录方式的攻击

1.密码登录

如上述方式即可进行钓鱼攻击。

2.短信登录

短信登录通常不回对参数进行加密(但是还是得看对方网站，不绝对)

需要更加精进的开发技巧，因为短信具有时效性，需要我们设置脚本如果发现接收到了数据必须立马通知我们。

3.二维码登录

也需要很好的开发能力。

思路就是，我们自己去看二维码，然后把二维码存下来摆到钓鱼网站上，并且时刻检测二维码过期情况，他扫描之后我们就能够登录了。

二维码钓鱼攻击小演示

这个二维码其实就是一张图片

简洁的html代码

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>扫码登录京东</title>
</head>

<body>
    <h1>扫码登录京东</h1>
    <img src="https://open.weixin.qq.com/connect/qrcode/051qvN6m14GGFa1m" alt="请扫码">
</body>

</html>

效果大家自行观看吧