<li id="fw3su"></li>
  • <li id="fw3su"></li>
  • <div id="fw3su"><tr id="fw3su"></tr></div>
    <dl id="fw3su"></dl>
  • <div id="fw3su"><tr id="fw3su"></tr></div>
  • <sup id="fw3su"></sup>
    <progress id="fw3su"></progress><div id="fw3su"><tr id="fw3su"></tr></div><input id="fw3su"><ins id="fw3su"></ins></input>

    Modlishka:一款灵活且功能强大的反向代理工具

    Modlishka是一个灵活而强大的反向代理,可以将道德网络钓鱼活动提升到新的水平。

    它的目的是:

    帮助渗透测试人员开展有效的网络钓鱼活动。 可以很快创建和实施足够的安全解决方案。 提高社区对现代网络钓鱼技术和策略的认识。 支持需要通用反向代理的其他开源项目。

    特点

    支持大多数2FA身份验证方案(按设计) 无需网站模板(只需将Modlishka指向目标域 – 在大多数情况下,它将自动处理)。 通过自定义新技术完全控制来自受害者浏览器的TLS流量。 通过配置选项提供灵活且易于配置的网络钓鱼方案。 基于JavaScript paylaod的模式注入 从所有?#29992;?#21644;安全标题中删除网站。 获取用户凭证(使用基于URL参数的上下文传递标识符)。 支持插件扩展。 无国籍设计。可以为任意数量的用户轻松扩展 – 例如 通过DNS负载均衡器。 Web面板,包含已收集凭据和用户会话模拟(beta POC)的摘要。 免费后门 Go语言编写。

    实操

    “一张图片胜过千言万语”:Modlishka针对示例标准2FA(SMS)启用的身份验证方案:

    < https://vimeo.com/308709275 >注意:这里选择google.com只是为了概念。

    安装

    最新的源代码版本可以从这里(zip)或这里(tar)获取。使用’go get’获取代码:

    $ go get -u github.com/drk1wi/Modlishka

    编译二进制文件:

    $ cd $GOPATH/src/github.com/drk1wi/Modlishka/
    $ make

    # ./dist/proxy -h
    Usage of ./dist/proxy:
          
      -cert string
            base64编码TLS证书
      
      -certKey string
            base64编码TLS证书密钥
      
      -certPool string
            base64编码?#29616;?#26426;构证书
      
      -config string
            JSON配置文件。方便而不用命令行开关。
      -credParams string
              具有正则匹配。例如:base64 (username_regex), base64 (password_regex)
      -debug
            输出调试信息
      -disableSecurity
            禁用反ssrf等安全特性。禁用它的风险自负
      
      -jsRules string
            逗号?#25351;?#30340;URL模式列表和将被注入的JS base64编码的有效负载。
      
      -listeningAddress string
            监听地址(默认为“127.0.0.1”)
      
      -listeningPort string
            监听端口(默认为“443”)
      
      -log string
            将请求写入本地文件
      
      -phishing string
            要创建的网络钓鱼域名-例如:target.co
      
      -plugins string
            逗号?#25351;?#30340;启用插件名称列表(默认为“all”)
      -postOnly
            只记录HTTP POST请求
      
      -target string
            代理的主要目标-例如:https://target.com
      -targetRules string
            逗号?#25351;?#30340;“字符串”模式及其替换项列表。
      
      -targetRes string
            需要通过代理的目标子域的逗号?#25351;?#21015;表
      
      -terminateTriggers string
            逗号?#25351;?#30340;url列表从目标的原点,这将触发会话终止
      
      -terminateUrl string
            在会话终止之后重定向的URL
      
      -tls
            启用TLS(默认为false)
      
      -trackingCookie string
            用于跟踪受害者的HTTP cookie的名称(默认“id”)
      
      -trackingParam string
            用于跟踪受害者的HTTP参数的名称(默认“id”)

    *参考来源 github ,由周大涛编译,转载请注明来自FreeBuf.COM

    我来评几句
    登录后评论

    已发表评论数()

    相关站点

    +订阅
    热门文章
    11选五