时光途径’BlogEvilginx phishlet是纯文本规则集(YAML格式),被输入到Evilginx引擎中,它们正在定义正确地代理特定站点所需的子域,在中继数据包中替换的字符串,要捕获的cookie等。在那些网络钓鱼中,我们有一些常规变量,例如:
name:Phishlet名称(用于evilginx2)-
author:作者名称 -
min_ver:版本号 -
proxy_hosts 代理主机
phish_sub:子域名,将在网络钓鱼的主机名中添加前缀。就像Gretzky建议的那样,保留它与原始子域名相同的名称。orig_sub:合法网站上使用的原始子域名domain:我们定位的网站域名session:仅对于将返回身份验证Cookie的子域,将其设置为true。is_landing:如果您希望以后在生成网络钓鱼网址时使用此子域,则将其设置为true
- sub_filters 过滤参数
hostname:网站的原始主机名,将对其进行替换sub:来自原始主机名的子域名。用作替代辅助剂domain:原始主机名的域名(类似于sub)search:在HTTP数据包正文中搜索内容的正则表达式。replace:将替换所有出现的字符串search(支持正则表达式)mimes:仅在进行域搜索和替换之前将考虑的MIME类型数组。redirect_only:仅当在生成的网络钓鱼URL中设置了重定向URL(真或假)时,才使用此sub_filter
- auth_tokens
这里我们定义成功登录时要捕获的cookie。我们稍后可以将捕获的cookie导入浏览器(对于
chrome通过EditThisCookie经常提到的方法 )domain:将为其保存Cookie的原始域keys:应捕获的Cookie名称数组(使用特定名称[‘PHPSESSID’]或使用正则表达式[‘。*,regexp’]捕获所有cookie)
- auth_urls 指定将触发会话捕获的URL数组(支持正则表达式)
- 例如我们的自定义示例:–’/ ex /’
- user_regex
key:POST请求的名称。参数re:正则表达式,例如(。*)将捕获整个键值对
- pass_regex
key:POST请求的名称。钥匙re:正则表达式,例如(。*)将捕获整个值
- landing_path 登录页面的URL路径列表。
- 例如对于 facebook:–’/login.php’
