一、环境
kali、DVWA
二、步骤
- 首先打开kali,输入setoolkit
- 依次选择选项1-选项2-选项3-选项2
- 输入钓鱼网站的网址(默认为本地网址)
- 输入要克隆的网址URL
这里我的网址如图,将网址复制
- 然后模拟攻击场景,攻击者向受害者发送了一条钓鱼链接,此链接与DVWA的登陆页面完全一样,受害者点击之后并进行登陆信息
点击login之后,用户信息就被setoolkit进行获取
三、结合XSS存储型
另外一个思路就是结合XSS存储型漏洞,将页面跳转的脚本嵌入到留言板内,当用户访问此留言板时便会自动跳转到钓鱼网站。