一、环境 kali、DVWA 二、步骤 首先打开kali,输入setoolkit 依次选择选项1-选项2-选项3-选项2 输入钓鱼网站的网址(默认为本地网址) 输入要克隆的网址URL 这里我的网址如图,将网址复制 然后模拟攻击场景,攻击者向受害者发送了一条钓鱼链接,此链接与DVWA的登陆页面完全一样,受害者点击之后并进行登陆信息 点击login之后,用户信息就被setoolkit进行获取 三、结合XSS存储型 另外一个思路就是结合XSS存储型漏洞,将页面跳转的脚本嵌入到留言板内,当用户访问此留言板时便会自动跳转到钓鱼网站。