钓鱼攻击之：WEB 钓鱼

郑重声明：
本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。

钓鱼攻击之：WEB 钓鱼

目录

• 钓鱼攻击之：WEB 钓鱼
  • 1 网站克隆
  • 2 伪造网站钓鱼
    • 2.1 生成 HTA 文件后门
    • 2.2 网站克隆下载Payload文件
    • 2.3 网站克隆与 meterpreter 会话联动

1 网站克隆

当客户端访问 http://192.168.0.2:680/ 时，就会显示 http://www.baidu.com 页面并在 WEB 日志中返回键盘记录数据

2 伪造网站钓鱼

2.1 生成 HTA 文件后门

• 让访问伪造网站的受害者下载一个插件，但是这个文件不能是EXE文件这种很容易被发现的文件， 因此，HTML应用程序（HTML Application，HTA）文件就成了最好的选择。
• HTA文件可以使用HTML中的绝大多数标签、脚本等。直接将HTML保存成HTA文件，就是一个能够独立运行的软件。与普通HTML网页相比， HTA文件多了一个HTA:APPLICATION标签，这个标签提供了一系列面向软件的功能。最重要的是， 它能够让你访问客户的计算机，而不用担心安全的限制。运行HTA文件，会调用%SystemRoot%\system32\mshta.exe(HTML Applicationhost)执行。

2.2 网站克隆下载Payload文件

1. 配置文件托管：

   

2. 验证文件下载功能

   http://192.168.0.2:780/update

   

3. 创建克隆网站并关联文件下载

   

4. 验证效果

   打开百度的同时弹出软件下载窗口。

   

5. 点击打开弹出新的 CS 会话

   

2.3 网站克隆与 meterpreter 会话联动

1. 配置 MSF 监听会话请求

   得到 Payload：http://192.168.0.2:180/update

   

2. 创建克隆网站并关联 Meterpreter Payload

   

3. XP 上访问 CS 生成的 Payload

   http://192.168.0.2:280/

   

4. 获取到 Meterpreter 会话