⽹络安全学习:渗透测试钓鱼案例,夯实基础
简介
请注意:
本⽂仅⽤于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是⾃⾏搭建的环境进⾏渗透的。我将使⽤Kali Linux作为此次学习的攻击者机器。这⾥使⽤的技术仅⽤于学习教育⽬的,如果列出的技术⽤于其他任何⽬标,本站及作者概不负责。
名⾔:
你对这⾏的兴趣,决定你在这⾏的成就!
⼀、前⾔
⽹络钓鱼是社会⼯程学攻击⽅式之⼀,主要是通过对受害者⼼理弱点、本能反应、好奇⼼、信任、贪婪等⼼理陷阱进⾏诸如欺骗、伤害等危害⼿段!
⽹络钓鱼攻击是个⼈和公司在保护其信息安全⽅⾯⾯临的最常见的安全挑战之⼀。⽆论是获取密码等,
还是其他敏感信息,⿊客都在使⽤电⼦邮件、社交媒体、电话和任何可能的通信⽅式窃取有价值的数据。
⽹络钓鱼攻击的兴起对所有组织都构成了重⼤威胁。重要的是,如果他们要保护⾃⼰的信息,所有组织都应该知道如何发现⼀些最常见的⽹络钓鱼。同样还要熟悉攻击者⽤来实施这些的⼀些最常见的技术类型。
这篇主要演⽰如何利⽤XSS植⼊钓鱼,获得管理员内部电脑权限!
strike a chord with
⼆、环境介绍seek和seek for的区别
⿊客(攻击者):
IP:192.168.1.9
系统:kali.2020.4
kali上作为cs的服务端!
VPS服务器:
办公电脑:
系统:windwos7
双⽹卡:
192.168.175.153
10.10.1.5ajax登录成功跳转页面
⽬前kali上运⾏了Cobalt strike ,攻击者在⾃⼰的公⽹VPS服务器上制作了后门页⾯钓鱼,通过渗透发
现thinkphp贷款平台页⾯存在XSS 漏洞利⽤,通过插⼊XSS-js代码,植⼊链接,最终⿊客控制管理员办公电脑的过程!!
三、XSS演⽰
此次演⽰贷款thinkphp平台在公⽹服务器上!
1、注册账号密码
进⼊个⼈中⼼!
注册⽤户名密码!
登录⽤户名密码后,普通⽤户界⾯!点击设置!
输⼊结算信息,测试下!
电影网站源码完整版2、存在XSS漏洞
python基础知识测试输⼊:
测试结果修改成功!查看下前端…
查看源代码-编辑后查看到没变动,XSS代码还是存在…说明存在XSS攻击3、注册XSS平台
stm32单片机最小系统介绍

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。