靶场搭建

靶机下载地址：Napping: 1.0.1 ~ VulnHub

直接解压双击ova文件即可

使用软件：靶机VirtualBox，攻击机VMware

攻击机：kali

信息收集

arp-scan -l

上帝之眼直接来

看看网站

可以注册账号，那就先试试。

注册完后登入哦。

要输入link，先试试。

发现我们输入什么网站，他就跳转到什么网站，这么会存在Tabnabbing攻击

使用正常网站A的a标签设置为恶意网站B，恶意网站B中利用window.opener修改原先页面A页面，进而无征兆把访问正常网站A页面修改为钓鱼网站C页面。

两个可以利用点：

1、使用a标签，并且target=_blank,没有使用rel="noopener/noreferrer"属性

2、使用window.open

web攻击

写个页面就好了

ip是攻击机ip

还有一个是正常页面随便写

我们在这个目录下启动一下python3的http服务，开放端口为80，跟恶意页面的端口区分开来，然后我们监听一下恶意页面的8000端口

这里需要添加一个web服务有的话能直接点，我就用的我的靶机了。

监听一下端口。

然后我就翻车了，靶机连不上网。（校园网就是不太行）