吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 5318|回复: 91
上一主题 下一主题

[Web] 记录一次wifi钓鱼的调试 ——新手

  [复制链接]
跳转到指定楼层
楼主
Fiverya 发表于 2019-11-8 21:25 回帖奖励
最近在学习一个wifi钓鱼的东西,模拟某网站(以下简称A)的登录,并在后台储存账号密码到数据库中。


原理很简单,将A的网页下载下来放到本地服务器上,然后搭建wifi,使连接wifi的人访问登录界面时实际上是访问本地服务器。


本来模块挺成熟了,前两天测试正常,今天测试的时候发现点了登录没反应???


倒腾半天无果。但是不是完全没用。
当我输入A的ip时,点击登录没有反应,但是当我输入127.0.0.1访问A时,功能却是正常的。用手机测试也是正常的。


而当我用其他浏览器时,也是正常的,只有用我常用的谷歌浏览器没有反应。换了别人的电脑,发现别人的电脑也是这样,一度怀疑,难道谷歌浏览器还能自动辨别钓鱼网站???


然后打开F12进行调试,发现我在点击登录的时候,出现了一个404 的访问



然后深挖,发现有关的字符串在某个js文件里


但是我的服务器里没有放js文件啊,我只有php文件。


突然想到可能是浏览器的缓存,于是我立马删除一下试试





试了一下,果然好了!


这下我懂了,之所以谷歌浏览器不行,是因为我之前用它正常登陆过,缓存了js文件,所以直接访问该ip时仍会调用js,导致登录失败。而其他浏览器没有缓存,所以均可正常登陆。
而访问127.0.0.1时,由于ip不同,所以浏览器也不会调用js,也能正常运行。


我网站的思路是点击登录的button以后,会提交form表单通过action到另外一个1.php,这个php的功能是将账号密码写入数据库。但是js运行在action之前?





百度了一下明明是php先运行,为什么js会阻挡我的action呢?后来我发现了这么一篇博客:



于是我赶紧打开js文件看一看  果然是submit函数



当认证不通过时,会返回false

就是这个false阻止了action的执行,无法跳转到用来储存账号密码的1.php中。


而由于本地并没有连接服务器,所以这个submit只能得到一个404,一直返回false。


好,知道问题的原因以后就得改了,不能清除浏览器的缓存了,这样只能指标不治本,得从根源上解决。


一个方法是直接删掉 index.php(即登录页面)里边的js调用的有关部分,
另一个思路就是把js文件也下载下来放到本地服务器,但是把return false  改成 return  true,哈哈有点像逆向里边直接把  je  改成  jne  一样。

但是为了防止其他错误产生,还是直接第一种吧。

欢迎大家一起交流。

免费评分

参与人数 33吾爱币 +22 热心值 +26 收起 理由
更强的晓晓 + 1 我很赞同!
lyslxx + 1 + 1 我很赞同!
967LH + 1 我很赞同!
wdnmd8843 + 1 我很赞同!
Tetsu + 1 + 1 我很赞同!
tobyong + 1 我很赞同!
拖地僧 + 1 我很赞同!
a17806218736 + 1 一脸懵逼
一个boy + 1 + 1 楼主可以出个详细点的教程吗 谢谢哦 在实验室 学校想装下b
盘踞 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
FPX我们是冠军 + 1 用心讨论,共获提升!
wangch1 + 1 我很赞同!
52路人甲 + 1 我很赞同!
tkdwtkdw + 1 我很赞同!
浮生xs若梦 + 1 + 1 我很赞同!
Liqingyuan + 1 + 1 我很赞同!
zggvampire + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Walt + 1 + 1 热心回复!
doywb + 1 热心回复!
霉菌 + 1 我很赞同!
gky86886 + 1 + 1 以前遇到过 哈哈哈
dissadmi + 1 + 1 用心讨论,共获提升!
生有涯知无涯 + 1 用心讨论,共获提升!
开跑车捡垃圾 + 1 我很赞同!
tgwl123 + 1 我很赞同!
xiaoke1230 + 1 + 1 我很赞同!
中暑山庄 + 1 我很赞同!
ljh15 + 1 + 1 十年前的52回来了
201 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Chlrun + 1 + 1 我很赞同!
1051496412 + 1 + 1 我很赞同!
考拉熊 + 1 我很赞同!
xu15219367909 + 1 + 1 路过赞一个

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

来自 2#
 楼主| Fiverya 发表于 2019-11-9 08:37 <
tla2008 发表于 2019-11-9 08:20
能分享一下怎么搭建钓鱼场景么,我也想尝试玩一下

简单来说
1.配置路由器,将访问某页面的请求转发到你的电脑上,这里使用到iptables的一些命令即可完成
2.搭建本地服务器环境,搭建数据库,下载原始网页,做一些修改,网上都有集成的apache服务器环境,下载下来一键式安装,代码部分就得自己摸索着改了

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
tla2008 + 1 + 1 用心讨论,共获提升!

查看全部评分

推荐
生有涯知无涯 发表于 2019-11-9 23:23
对于一些警觉性比较高的人这个方法还有待改进,就拿我来说,遇到疑似钓鱼网站会随便输入账号密码,这样就骗不到了。不知这个设想能否实现:假如说想山寨LOL的官网(简称L),自己的网站为H,当点击登录时H用输入的账号密码去L登录,假如L返回正确就跳转到L,L返回错误H就返回和L错误时一样的界面,这样更具有迷惑性。
推荐
a192424 发表于 2019-11-9 07:41
5#
lep52 发表于 2019-11-9 06:57
学习一下
6#
tla2008 发表于 2019-11-9 08:20
能分享一下怎么搭建钓鱼场景么,我也想尝试玩一下
7#
北欧王座 发表于 2019-11-9 09:05
虽然看不太懂,但是感觉好厉害的
8#
zhangyang580 发表于 2019-11-9 09:22
学习学习了  年轻有为
9#
捞乜都掂 发表于 2019-11-9 10:01
虽然看不太懂,但是感觉好厉害的。想学习一下
头像被屏蔽
10#
卡瓦酷依 发表于 2019-11-9 10:13
提示: 该帖被管理员或版主屏蔽
11#
ABKing 发表于 2019-11-9 10:33
谢谢楼主分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-11-21 23:05

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表