本文主要介绍如何结合 xss平台 利用xss漏洞 然后,伪造一个钓鱼登陆页,然后,实现钓鱼,获取 用户和密码,之后传到我们的公网服务器中
首先我们需要一个存在xss漏洞的网站,不管是反射或存储,只要它有txtx ,然后呢你还得有一台公网服务器,当然在局域网中的话就可以考虑用自己的物理机开一个web服务器。用来接收钓鱼页 post回来的用户和密码。然后呢 随便去个xss平台注册 ,我注册的是这个xss平台。
关于xss漏洞 就不细说了 网上资料也很多,反正记住xss不止打cookie,有xss漏洞 我们就可以插入js代码 ,既然能插入js代码,那么我们能干的事就很多,这篇文章利用的思路是 ,用xss漏洞插入一段js代码,只不过这段代码我已经提前部署在xss平台里,这段js代码的功能就是 当xss代码被执行后,能弹出一个alert,提示你登陆过期,然后用一个frame 覆盖整个页面,然后呢这个frame的src是我们公网上搭的一个钓鱼页 ,当然我们得事先把这个钓鱼页做好。然后一般的人就认为可能真的“登陆过期”了,其实页面还是在之前那个xss页面,只不过呢 我们在当前页面生成一个frame 覆盖了整个页面。并且我们url是没有 跳转的,所以说,欺骗性是很强的。
好 废话不多说 ,这里我自己搭建了一个存在xss漏洞的页面,他们是论坛中存在xss漏洞 来看我疯狂操作。。 大佬莫笑。。。
首先 登陆上去