所需工具:setoolkit,花生壳
(此方法主要针对没有服务器,没有空间的攻击者.有服务器或者空间可以直接上传setoolkit的生成源码到服务器或者空间.)
1.setoolkit克隆一个站点
|-------测试本地克隆的站点
验证码那里不能正常显示,可以自己修改index.html
测试是能记录登陆的账号和密码.
2.花生壳映射主机IP.
|------IP填写我自己本机IP端口写80,测试如下
3.现在可以用你映射的域名或者ip来访问(注:记得加上端口,比如我的是112.187.55.23:19957)
|-----但是这里你自己登陆网站是可以抓到密码的,但是别人登陆就不行
|-----这里我们修改IP为我们转发的IP地址
4.好了,现在可以访问页面.
(说明下这里为什么要用ip,因为目标网站就是ip的,为了混淆,让别人更容易上钩)
|-----因为基友之前已经社工到了群,然后开始ddos让目标站被d死.之后伪造一个教育局发布的信息让别人登陆这个伪造的网站,结果如下.
|____伪造教育局发布的信息:
|____钓鱼返回的结果:
|_____select和sid可以审查元素找到
|_____成功登陆后台
注:此文章只做技术经验交流.转载请注明原处.