在这个项目中,我演示了网络钓鱼如何使用名为 Zphisher 的 Kali Linux 工具工作,该工具仅用于教育目的。Zphisher 是一种开源网络钓鱼工具,它提供了广泛的模板,可以自定义这些模板以满足攻击者的教育需求。
Zphisher 提供了一个基于 Web 的界面,允许攻击者在他们可以控制的 Web 服务器上创建和托管网络钓鱼页面。这些页面可以设计为模仿合法网站,例如社交媒体平台、流媒体服务或电子邮件提供商。
设置网络钓鱼页面后,攻击者可以发送包含虚假页面链接的电子邮件或消息。当受害者点击链接并输入其登录凭据或其他敏感信息时,Zphisher 会捕获该链接并将其存储在攻击者的服务器上。
在整个项目中,我坚持道德标准,从未从事非法或恶意活动。但是,作为网络安全爱好者,了解潜在的漏洞和攻击媒介对于更好地防范它们至关重要。
免責聲明:
本文中描述的所有信息、技术和工具仅用于教育目的。您可以自行决定使用本文中的任何内容,我不对对任何系统或您自己造成的任何损害负责。未经个人或组织事先同意,使用本文中描述的所有工具和技术来攻击个人或组织是高度非法的。您必须遵守所有适用的地方、州和联邦法律。对于因使用此处信息而造成的任何误用或损害,我不承担任何责任。
LinkedIn网络钓鱼链接
我在 Kali Linux 中运行了 bash 脚本来启动 Zphisher。
Zphisher内部。有很多不同的选项可供选择。
在第一个演示中,我通过输入相应的数字来使用 LinkedIn。
键入 14 →按 Enter。
用于此演示的端口转发服务是 Cloudflared。
键入 02 →按 Enter。
键入 n 表示无自定义端口。
键入 y 以更改掩码 URL。按 Enter 键。
键入自定义 URL:jbtechtesting.com。 按 Enter 键。
已创建网络钓鱼链接。
我选择并复制了 URL 3 链接。
我打开了一个新的网络浏览器并粘贴了网络钓鱼 URL,这把我带到了 LinkedIn 登录页面。
我单击“是”继续演示。
URL 3 网络钓鱼链接将我们带到 LinkedIn 登录页面,我们可以在其中输入凭据。
注意:用户名为 [email protected],密码为Demonstration。
我点击了不保存。
提交用户名和密码后,它似乎没有从LinkedIn页面执行任何操作。尽管如此,它还是被重新路由到实际的LinkedIn登录页面,用户很可能会再次尝试登录。
回到Zphisher,我们得到了第一次登录虚假LinkedIn页面的结果。我们可以看到我们有受害者的 IP 地址、帐户用户名和密码。
另一种看待它的方法是:
CD 放入 ZPhisher 目录→ CD 放入 zphisher 工具。
键入 ls →按 Enter。
键入 cd auth →按 Enter。
键入 ls →按 Enter。
键入的猫usernames.dat→按回车键。
我们可以看到LinkedIn用户名:[email protected] 和通行证:演示。
Instagram 网络钓鱼链接
在第二个演示中,我使用了Instagram。
我选择了选项 02 →按了 Enter。
我选择了选项 03 →按了 Enter。此链接诱使受害者通过单击并登录来获得 1000 名关注者。
我选择了 02 →按了 Enter。
我输入了 N 表示 No Custom Port。
我键入 y 来屏蔽 URL 和自定义 URL:jbtechtesting.com。
我选择并复制了 URL 3 链接。
我打开了一个新的网络浏览器并粘贴了 URL 3 链接,该链接将我带到了免费 Instagram 关注者试用登录页面。
注意:用户名 [email protected] 和密码演示2。
我点击了提交查询,将我重定向到真正的Instagram登录页面。
现在回到 Zphisher,我们有 Instagram 登录尝试的结果。我们可以看到我们有受害者的 IP 地址、Instagram 帐户用户名和密码。
ls → cd auth → ls → cat usernames.dat
我们可以看到 Instagram 用户名:[email protected] 和 Pass:Demonstration2。
Zphisher 是安全研究人员、道德黑客和渗透测试人员用来测试组织系统的安全性并教育员工了解网络钓鱼攻击和恶意行为者的危险性的强大工具。
感谢您的阅读!
原文始发于微信公众号(安全狗的自我修养):使用 Zphisher 创建网络钓鱼链接
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论