正文
PJzhang:国外主流站点钓鱼网站示例工具shellphish
小程序:扫一扫查出行
【扫一扫了解最新限行尾号】
复制小程序
【扫一扫了解最新限行尾号】
复制小程序
猫宁!!!
参考链接:https://www.uedbox.com/post/58583/
这个是这个项目的github地址
https://github.com/thelinuxchoice/shellphish
git clone https://github.com/thelinuxchoice/shellphish.git
看看里面的内容
执行shellphish脚本,这个脚本的名字本来就是shell钓鱼的意思
这里执行脚本
bash shellphish.sh为好
sh shellphish.sh是乱码的
sh和bash是有稍许区别的,鉴于这个脚本的第一行是#!/bin/bash,那么我们就用bash去执行命令
这里共有18个海外站点,19项是自定义项,99是退出项
这里需要一个海外的IP才可以成行,否则钓鱼链接打不开
我们选择instagram,然后选择第二项的Ngrok,生成一个ngrok.io的子域名,复制出来,发给别人,看看有什么效果,每次的域名是不一样的。
这个url对应instagram的登录页面
https://8f710aa9.ngrok.io/login.html
与此同时,在终端命令出现了对方的ip和使用的浏览器的类型
现在我输入我的instagram的账号密码,它很快跳转到真实的instagram站点了,如果我的账号密码是真实的,那么会直接登录成功
账号密码也被别人获取了,如果这个被发到某一个公开论坛,可能会有很多人点击,攻击者可以获取大量账号密码了,并且集中在instagram/saved.ip.txt文件中。
例如www.instegram.com,和www.instagram.com只是一个字母存在差异,还是很能迷惑人的,你能保证自己不上当?
再试一下谷歌的,这一次我们,forwarding option选择01,选择默认端口3333,可以自定义端口的。
https://eluvies.serveo.net/login.html,做的还真像,填写账号密码,在终端命令行也获取了我的ip,user-agent还有账号密码
另外有一点非常重要,注意到没有钓鱼网站为了逼真化,采用的都是https啊,很多钓鱼站用的是http。
钓鱼攻击的确是一种物美价廉的攻击方式,性价比很高。
如果想要实现完美攻击,可以自定义站点,国内QQ邮箱就存在很多钓鱼站。
在github上也可以赞助作者的分享精神哦。