邮箱:service@hongdaqianqiu.com
大家都应该知道网络钓鱼是什么吧,那么接下来这篇文章会来讲述如何利用Metasploit制造一个键盘窃听网站。
网络钓鱼的历史:
网络钓鱼技术始于1987年,于1995年被第一次发现。
攻击者通过钓鱼技术获取受害者的一些信息,包括用户名、密码、信用卡细节等等。
一般来说,攻击者会制造一个假冒的网站诱惑受害者进入并输入他的信息,比如仿造gmail、雅虎、facebook的登录框。
Javascript keylogger简介:
Javascript keylogger可以捕捉通过网络的键盘击键事件。
使用JavaScript keylogger的优势在于:他不需要我们预先拥有一个服务器空间,然后再上传一个假冒的网页,写伪造的页面、插链接
![clip_image001[4]](http://hongdaqianqiu.com/wp-content/uploads/2016/07/072121aiL.png "clip_image001[4]")
再写个蛋疼的采集脚本(如下图)…![clip_image002[4]](http://hongdaqianqiu.com/wp-content/uploads/2016/07/072123kg3.png "clip_image002[4]")
使用Metasploit制造键盘窃听网站:
1. 打开msfconsle
![clip_image004[4]](http://hongdaqianqiu.com/wp-content/uploads/2016/07/07213082R.jpg "clip_image004[4]")
2.搜索Keylogger
![clip_image006[4]](http://hongdaqianqiu.com/wp-content/uploads/2016/07/072135b79.jpg "clip_image006[4]")
3.使用auxiliary/server/capture/http_javascript_keylogger模块
![clip_image008[4]](http://hongdaqianqiu.com/wp-content/uploads/2016/07/0721377rH.jpg "clip_image008[4]")
4.查看模块配置情况
![clip_image010[4]](http://hongdaqianqiu.com/wp-content/uploads/2016/07/072140eam.jpg "clip_image010[4]")
5.我们这里以rapid7提供的Demo为例(页面比较简单)进行配置:
Set demo true
Set uripath keylogger
6.执行攻击模块
![clip_image012[4]](http://hongdaqianqiu.com/wp-content/uploads/2016/07/072141cGE.jpg "clip_image012[4]")
7.现在攻击者可以通过许多社工手段,引诱受害者浏览我们构造的钓鱼网站URL。
![clip_image014[4]](http://hongdaqianqiu.com/wp-content/uploads/2016/07/072143MR4.jpg "clip_image014[4]")
8.当受害者访问我们的网站并进行键盘输入时,一切都被记录在攻击者的msfconsole中。
![clip_image016[4]](http://hongdaqianqiu.com/wp-content/uploads/2016/07/072146bd4.jpg "clip_image016[4]")
总结:
本文仅仅只是一个基础的演示实例。
而在实际渗透测试中,我们还可以结合DNS欺骗等技术,制做更加逼真的钓鱼场景。
本文转自secer博客由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号
