故事背景
在一个夜黑风高的夜晚,Red为了排解心中的寂寞难耐,决定通过写题的方式来回味自己在xujcoj上流逝的宝贵青春。遗憾的是,他把自己的账号密码弄丢了。隔壁一向坏事做尽的DZT让他烦闷已久,于是,他便对DZT的账号打起了主意……
方法
要想制作一个钓鱼网站,就需要满足以下几点条件:
1)一个与原网站高度相似的html页面
2)一台能够与受害者主机有直接或间接联系的终端
虽然看着简单,但单要完成第一步可以说就已经让一些人够呛。所以,想要在Windows上用一般的方法来实现这一目的,显然是比较复杂的。所以Red便下意识地将目光转向了kali。好在kali集成了一款十分强大的工具setoolkit
下面就是我们今天的犯罪嫌疑人Red的操作步骤
在kali命令行中输入setoolkit,就可以打开这一工具。第一次打开需要输入y来进行工具依赖的安装
会出现以下内容
拉到下方,会出现如下内容
翻译后内容如下
社会工程学攻击
快速追踪测试
第三方模块
升级软件
升级配置
帮助
输入1
鱼叉式网络攻击
网页攻击
传染媒介式
建立payload和listener
邮件群发攻击
Arduino基础攻击
无线接入点攻击
二维码攻击
Powershell攻击
第三反方模块
输入2
Java applet攻击
Metasploit浏览器攻击
钓鱼网站攻击
标签钓鱼攻击
网站jacking攻击
多种网站攻击
全屏幕攻击
输入3
网站模板
站点克隆
用自己的网站
输入2,这里进行网站克隆,默认状态下对本地ip回车即可,将oj的登陆网站输入进来,等待捕获输入信息即可。这里用账号:admin,密码:IST22006来输入,可以看到如下内容
可以看到成功捕获,钓鱼网站制作成功~
怎样让外网访问到?
这就需要用到一种技术:内网穿透
内网穿透的目的是:让外网能访问你本地的应用,例如在外网打开你本地http://127.0.0.1 指向的Web站点。
那怎么才能实现内网穿透呢?现有工具有花生壳,natapp,小米球工具,前两个都是收费的,最后一个生成的域名前缀是自己设置的,穿透域名是xx.ngrok.xiaomiqiu.cn.有兴趣的可以玩一下。