唉，是不是經常看到王者榮耀領面板的連結？賬號密碼一輸~然後就沒有然後了，23333333
不過講真，你仔細留意一下，那些介面挺low的，記得有一次，簡單看下那個釣魚網站的原始碼就會知道，它把使用者輸入的賬號密碼直接寫到了同目錄下的一個txt裡，然後那個txt可以直接拿下來，23333333

今天呢！我們教大家做一個高階一點的釣魚網站，但是，提前宣告：筆者職業為安全工作者，也未曾利用任何釣魚網站製造騙局；今天的教程也不過是站在攻與防的對立面，讓大家對釣魚網站更加警覺，請勿用於非法用途！

今天所使用的工具依然是setoolkit~
老規矩，先給大家再提醒一遍~因為他會藉助msf，所以開機先啟動postgresql資料庫，然後呢，如果你直接setoolkit啟動會看到如下報錯！原因：許可權不足！所以請使用sudo setoolkit啟動~

  翻車

我們正常開啟平臺後，依舊選擇“1”社會工程學攻擊。

  社會工程學攻擊

我們選擇今天需要用到的website Attack Vectors，即“2”，然後，參見作者解釋，我們選擇列表中的“3”，即盜取目標身份認證資訊如賬號密碼。這裡大家可已經看到了，其中“2”是根據目標瀏覽器漏洞獲取目標系統shell，嚴格來講，這完全是msf的功能，我們暫不在此平臺做演示。

  釣魚網站

然後，我們參見作者解釋，選擇網站克隆功能，從系統提示來看，此平臺不僅支援HTTP站點，而且還支援HTTPS的站點。

  站點克隆

我們隨便選擇一個常用的站點作為本次實驗物件吧，emmmm，淘寶？

  目標站點

分別輸入克隆目標和我們的作為服務的偽裝伺服器！setoolkit將會為你自動拉起apache，不管你是預設apache還是apache2，此處解放雙手，無需預啟動。

  克隆目標站點

然後去我們的偽裝站點看下成果，emmmmm，請自行對比兩圖~除了url不一樣，完全一致。

  偽裝站點   嘗試登入

我們看下後臺捕獲到的資料，emmmm，什麼?你問我密碼呢？給某寶留點面子好伐，好歹大平臺，密碼採用了加密傳輸，這沒辦法，但是，我們工作或生活中常見的平臺顯然並沒有加密傳輸，即使進行了密碼加密，十有八九也算不安全的加密方式，你單依靠js就可以逆向破解。

  後臺捕獲

這時候你就要問了，此時使用者會有察覺麼？接下來又會如何？
setoolkit在釣魚操作執行以後會將會話重定向到真實網站，從使用者角度的感受就是：我剛剛輸入錯了？我點到了什麼嘛？沒關係，再輸一遍就是啦~顯然，這一遍是他的正常登入操作，雖然失敗了一次，但絕大多數人不會察覺這一點的。

這是時候，會不會有人打斷我：你的IP地址也太假了！怎麼可能沒有察覺！
好的、老闆~請各位大佬靜候【淺談社工】釣魚網站（下）——DNS劫持與欺騙。emmmm，順便一說關於【淺談社工】U盤遊戲（下），我的U盤還在路上，穩住！

最後，總結一下今天的連招:【1、2、3、2】