FBI warring:使用 Grabify 或类似工具进行追踪和收集个人信息应该遵循相关法律法规和隐私政策,避免未经授权的监控行为。
Grabify 是一个在线的工具,允许用户通过生成和共享追踪链接来获取有关点击该链接的访问者的信息。通过使用 Grabify,我们可以收集点击链接的用户的 IP 地址、地理位置、设备类型、操作系统和浏览器等信息,通常用于监控流量来源、进行网络钓鱼测试、调查欺诈活动或者收集有关点击行为的数据。
Grabify 的工作原理非常简单:
- 生成追踪链接:在 Grabify 网站上输入你希望追踪的原始 URL,然后生成一个 Grabify 追踪链接。
- 共享链接:将生成的 Grabify 链接发送给你希望追踪的目标用户。
- 收集数据:一旦目标用户点击了链接,Grabify 会记录他们的相关信息并在仪表板上显示。
1. 打开 Grabify:
https://grabify.link/
2. 输入你想追踪的原始 URL,例如baidu.com,我们就在输入框输入百度的 URL:
点击 Create URL 即可生成,生成后如下:
New URL 就是你发给他人的链接,但是注意最好换一个 domain,因为这个工具太知名了,避免被人反钓鱼,换成如下域名:
钓鱼测试时还可以改扩展伪装:
可改参数还挺多:
3. 钓鱼测试:
其他人点击链接有这么个手机信息的过程,然后重定向到百度:
可以看面板,到底谁在点击,再看看更多信息:
创建链接可以像下面这样,看起来更真实:
Grabify 不仅是钓鱼测试的利器,对于渗透测试者来说,它同样是一个非常有用的工具。
渗透测试者可以利用 Grabify 的追踪功能,收集目标的相关信息,为后续的测试活动提供情报支持:
- 收集IP、设备信息、网络配置
- 真钓鱼...
- PoC 验证,可以生成一个包含追踪链接的漏洞利用代码(重定向之前的链接对方看不出),再发送给目标用户,验证其是否会被漏洞影响。
无论是做钓鱼测试还是渗透,使用 Grabify 或类似工具进行追踪和收集个人信息要现有授权,遵循相关法律法规和隐私政策,避免未经授权的监控行为。
原文始发于微信公众号(imBobby的自留地):企业钓鱼演练(和渗透测试)神器:Grabify
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论