持久型 XSS 钓鱼
文章目录[隐藏]
环境搭建
setoolkit 克隆站点
Setoolkit 是一个万能的社工工具(社会工程学工具集合)
你同意服务条款吗? y
选择 1:社会工程攻击
Select from the menu:
1) Social-Engineering Attacks # 社会工程攻击
2) Penetration Testing (Fast-Track) # 渗透测试(快速通道)
3) Third Party Modules # 第三方模块
4) Update the Social-Engineer Toolkit # 更新社会工程师工具包
5) Update SET configuration # 更新 SET 配置
6) Help, Credits, and About # 帮助,积分和关于
99) Exit the Social-Engineer Toolkit # 退出社会工程师工具包选择 2 网站攻击载体
Select from the menu:
1) Spear-Phishing Attack Vectors # 矛网钓鱼攻击载体
2) Website Attack Vectors # 网站攻击载体
3) Infectious Media Generator # 传染媒介发生器
4) Create a Payload and Listener # 创建有效负载和侦听器
5) Mass Mailer Attack # 群发邮件攻击
6) Arduino-Based Attack Vector # 基于 Arduino 的攻击向量
7) Wireless Access Point Attack Vector # 无线接入点攻击向量
8) QRCode Generator Attack Vector # QRcode 生成器攻击向量
9) Powershell Attack Vectors # PowerShell 攻击向量
10) Third Party Modules # 第三方模块
99) Return back to the main menu. #返回主菜单选择 3: 凭证收割机攻击
1) Java Applet Attack Method #Java小程序攻击方法
2) Metasploit Browser Exploit Method #Metasploit浏览器攻击方法
3) Credential Harvester Attack Method #凭证收割机攻击方法
4) Tabnabbing Attack Method #禁忌攻击法
5) Web Jacking Attack Method #网络劫持攻击方法
6) Multi-Attack Web Method #多攻击Web方法
7) HTA Attack Method #HTA攻击方法
99) Return to Main Menu #返回主菜单选择 2 站点克隆
1) Web Templates #网页模板
2) Site Cloner #站点克隆
3) Custom Import 设置侦听 IP 地址保持默认回车即可,然后输入 URL 进行克隆,到这里克隆成功。
我们打开浏览器访问IP:
可以看到密码已经被截获
CVE-2022-0609
Chrome远程代码执行(需要关闭沙盒,比较鸡肋不做复现)
影响版本:Chrome: <=89.0.4389.114
参考链接:https://blog.csdn.net/csdnmmd/article/details/122860192