PJzhang:国外主流站点钓鱼网站示例工具shellphish

猫宁！！！

参考链接：https://www.uedbox.com/post/58583/

这个是这个项目的github地址

https://github.com/thelinuxchoice/shellphish

git clone https://github.com/thelinuxchoice/shellphish.git

看看里面的内容

执行shellphish脚本，这个脚本的名字本来就是shell钓鱼的意思

这里执行脚本

bash shellphish.sh为好

sh shellphish.sh是乱码的

sh和bash是有稍许区别的，鉴于这个脚本的第一行是#!/bin/bash，那么我们就用bash去执行命令

这里共有18个海外站点，19项是自定义项，99是退出项

这里需要一个海外的IP才可以成行，否则钓鱼链接打不开

我们选择instagram，然后选择第二项的Ngrok，生成一个ngrok.io的子域名，复制出来，发给别人，看看有什么效果，每次的域名是不一样的。

这个url对应instagram的登录页面

https://8f710aa9.ngrok.io/login.html

与此同时，在终端命令出现了对方的ip和使用的浏览器的类型

现在我输入我的instagram的账号密码，它很快跳转到真实的instagram站点了，如果我的账号密码是真实的，那么会直接登录成功

账号密码也被别人获取了，如果这个被发到某一个公开论坛，可能会有很多人点击，攻击者可以获取大量账号密码了，并且集中在instagram/saved.ip.txt文件中。

例如www.instegram.com，和www.instagram.com只是一个字母存在差异，还是很能迷惑人的，你能保证自己不上当？

再试一下谷歌的，这一次我们，forwarding option选择01，选择默认端口3333，可以自定义端口的。

https://eluvies.serveo.net/login.html，做的还真像，填写账号密码，在终端命令行也获取了我的ip，user-agent还有账号密码

另外有一点非常重要，注意到没有钓鱼网站为了逼真化，采用的都是https啊，很多钓鱼站用的是http。

钓鱼攻击的确是一种物美价廉的攻击方式，性价比很高。

如果想要实现完美攻击，可以自定义站点，国内QQ邮箱就存在很多钓鱼站。

在github上也可以赞助作者的分享精神哦。