所需工具:setoolkit,花生殼
(此方法主要針對沒有服務器,沒有空間的攻擊者.有服務器或者空間可以直接上傳setoolkit的生成源碼到服務器或者空間.)
1.setoolkit克隆一個站點
|-------測試本地克隆的站點
驗證碼那里不能正常顯示,可以自己修改index.html
測試是能記錄登陸的賬號和密碼.
2.花生殼映射主機IP.
|------IP填寫我自己本機IP端口寫80,測試如下
3.現在可以用你映射的域名或者ip來訪問(注:記得加上端口,比如我的是112.187.55.23:19957)
|-----但是這里你自己登陸網站是可以抓到密碼的,但是別人登陸就不行
|-----這里我們修改IP為我們轉發的IP地址
4.好了,現在可以訪問頁面.
(說明下這里為什么要用ip,因為目標網站就是ip的,為了混淆,讓別人更容易上鈎)
|-----因為基友之前已經社工到了群,然后開始ddos讓目標站被d死.之后偽造一個教育局發布的信息讓別人登陸這個偽造的網站,結果如下.
|____偽造教育局發布的信息:
|____釣魚返回的結果:
|_____select和sid可以審查元素找到
|_____成功登陸后台
注:此文章只做技術經驗交流.轉載請注明原處.