文章前言
在社工钓鱼过程中,网站钓鱼是一种较为常见的钓鱼方式,比较常见的思路有以下几种:
-
第一种:通过购买服务器以及域名自我架设钓鱼网站,之后投放钓鱼网站页面给受害者并诱导其进行认证来窃取用户凭证,更有甚者可以在获取到网站的源码的情况下克隆一个类似的网站,窃取用户的资产、实名认证信息等,当然这种更加适用于有攻击团队,例如:APT组织
-
第二种:通过克隆目标网站的登录认证页面,之后通过短连接的方式或者直接以链接(Link)的方式发送给受害者用户使其进行访问认证,从而窃取登录认证凭据信息,用户登录之后往往会重定向到正常的登录页面使其二次登录,大多数情况下用户都会以为自己输入了错误的密码或者将多个站点的密码混淆了,而不会过于纠结,从而二次登录正常的网站实现认证
-
第三种:通过结合DNS欺骗的方式在内网中实施钓鱼攻击
上面的第一种思路说白了就是在第二种思路的基础之上加上了域名伪造以及网站源码,第一种相较于第二种更加逼真,而且更加适合投入实战中使用,第二种对于有安全意识的人员来说已然不奏效,本篇文章将主要基于第二种思路进行一系列的演示~
钓鱼实践
Google钓鱼
实验说明
在这里我们的目的是通过钓鱼的方式来窃取用户的Google登录凭证信息,攻击者可以通过setookit来完成一系列的钓鱼操作,其中关于网站IP的隐藏方式可以通过短连接的方式来进行欺骗
实验步骤
Step 1:启动Setookit
Select from the menu:
1) Social-Engineering Attacks //社会工程学攻击
2) Penetration Testing (Fast-Track) //快速追踪测试
3) Third Party Modules //三方模块
4) Update the Social-Engineer Toolkit //更新软件
5) Update SET configuration //更新配置
6) Help, Credits, and About //帮助
99) Exit the Social-Engineer Toolkit //退出
Step 2:选择\\”Social-Engineering Attacks\\”
Select from the menu:
1) Spear-Phishing Attack Vectors //鱼叉式网络钓鱼
2) Website Attack Vectors //网页攻击
3) Infectious Media Generator //传染媒介攻击(木马)
4) Create a Payload and Listener //建立payload和listener
5) Mass Mailer Attack //邮件群发攻击
6) Arduino-Based Attack Vector //Arduino基础攻击
7) Wireless Access Point Attack Vector //无线接入点攻击
8) QRCode Generator Attack Vector //二维码攻击
9) Powershell Attack Vectors //Powershell攻击
10) Third Party Modules //第三方模块
99) Return back to the main menu. //返回上级
Step 3:选择\\”Website Attack Vectors\\”
1) Java Applet Attack Method //Java Applet攻击
2) Metasploit Browser Exploit Method //Metasploit浏览器漏洞攻击
3) Credential Harvester Attack Method //钓鱼网站攻击
4) Tabnabbing Attack Method //标签钓鱼攻击
5) Web Jacking Attack Method //网站jacking攻击
6) Multi-Attack Web Method //多种网站攻击
7) HTA Attack Method //HTA攻击模式
99) Return to Main Menu //返回上级
Step 4:选择\\”Credential Harvester Attack Method\\”
1) Web Templates //网站模板
2) Site Cloner //克隆网站
3) Custom Import //自定义的网站
99) Return to Webattack Menu
Step 5:选择\\”Web Templates\\”
Step 6:之后选择\\”Google\\”并回车,启动服务
Step 7:将虚假钓鱼页面发送给受害者并诱导其进行认证
http://192.168.174.129
Step 8:成功捕获用户的账户密码
Step 9:之后登录页面消失直接跳转至Google界面还需要进行二次认证
第三方站点
实验说明
在这里我们需要对第三方站点进行克隆操作,之后将登录认证页面的链接发送给第三方用户诱导其访问并认证,从而窃取其认证信息
实验步骤
Step 1:选择目标站点
http://x.xx.x.x/login
Step 2:启动Setookit进行网站克隆
Step 3:诱导用户访问并进行登录认证
Step 4:之后获取到用户的登录认证密码
Step 5:跳转到正常的网站进行认证
QQ登录网站
实验说明
在这里我们需要自我构造一个QQ登录认证页面,之后记录登录认证信息
实验步骤
Step 1:部署服务
Step 2:诱导用户访问
Step 3:成功捕获到用户账户信息
Step 4:提示使用其他方式登录
QQ空间钓鱼
实验说明
伪造一个QQ空间登录页面,之后诱导用户通过移动端访问并进行身份认证,之后完成钓鱼
实验步骤
钓鱼页面
尝试登录:
之后跳转到正常登录页面:
此时我们的账号密码已在手:
文末小结
本篇文章主要介绍了钓鱼网站的几种示例,在实战中我们可以通过注册域名或者短连接的方式来提高可信度和钓鱼的成功率
原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34208.html