所需工具:setoolkit,花生壳

(此方法主要针对没有服务器,没有空间的攻击者.有服务器或者空间可以直接上传setoolkit的生成源码到服务器或者空间.)

1.setoolkit克隆一个站点

　　|-------测试本地克隆的站点

验证码那里不能正常显示,可以自己修改index.html

测试是能记录登陆的账号和密码.

2.花生壳映射主机IP.

　　|------IP填写我自己本机IP端口写80,测试如下

3.现在可以用你映射的域名或者ip来访问(注:记得加上端口,比如我的是112.187.55.23:19957)

　　|-----但是这里你自己登陆网站是可以抓到密码的,但是别人登陆就不行

　　|-----这里我们修改IP为我们转发的IP地址

4.好了,现在可以访问页面.

　　(说明下这里为什么要用ip,因为目标网站就是ip的,为了混淆,让别人更容易上钩)

　　|-----因为基友之前已经社工到了群,然后开始ddos让目标站被d死.之后伪造一个教育局发布的信息让别人登陆这个伪造的网站,结果如下.

　　　　|____伪造教育局发布的信息:

　　　　

　　　　|____钓鱼返回的结果:

　　　　

　　　　|_____select和sid可以审查元素找到

　　　　|_____成功登陆后台

　　　　

注:此文章只做技术经验交流.转载请注明原处.