setoolkit克隆网站获取用户信息

一、环境

kali、DVWA

二、步骤

1. 首先打开kali，输入setoolkit
   
2. 依次选择选项1-选项2-选项3-选项2
   
   
   
   
3. 输入钓鱼网站的网址（默认为本地网址）
   
4. 输入要克隆的网址URL
   
   这里我的网址如图，将网址复制

1. 然后模拟攻击场景，攻击者向受害者发送了一条钓鱼链接，此链接与DVWA的登陆页面完全一样，受害者点击之后并进行登陆信息
   
   点击login之后，用户信息就被setoolkit进行获取
   

三、结合XSS存储型

另外一个思路就是结合XSS存储型漏洞，将页面跳转的脚本嵌入到留言板内，当用户访问此留言板时便会自动跳转到钓鱼网站。