Evilginx phishlet是纯文本规则集(YAML格式),被输入到Evilginx引擎中,它们正在定义正确地代理特定站点所需的子域,在中继数据包中替换的字符串,要捕获的cookie等。在那些网络钓鱼中,我们有一些常规变量,例如:
name
:Phishlet名称(用于evilginx2)-
author
:作者名称 -
min_ver
:版本号 -
proxy_hosts 代理主机
phish_sub
:子域名,将在网络钓鱼的主机名中添加前缀。就像Gretzky建议的那样,保留它与原始子域名相同的名称。orig_sub
:合法网站上使用的原始子域名domain
:我们定位的网站域名session
:仅对于将返回身份验证Cookie的子域,将其设置为true。is_landing
:如果您希望以后在生成网络钓鱼网址时使用此子域,则将其设置为true
- sub_filters 过滤参数
hostname
:网站的原始主机名,将对其进行替换sub
:来自原始主机名的子域名。用作替代辅助剂domain
:原始主机名的域名(类似于sub)search
:在HTTP数据包正文中搜索内容的正则表达式。replace
:将替换所有出现的字符串search
(支持正则表达式)mimes
:仅在进行域搜索和替换之前将考虑的MIME类型数组。redirect_only
:仅当在生成的网络钓鱼URL中设置了重定向URL(真或假)时,才使用此sub_filter
- auth_tokens
这里我们定义成功登录时要捕获的cookie。我们稍后可以将捕获的cookie导入浏览器(对于
chrome
通过EditThisCookie
经常提到的方法 )domain
:将为其保存Cookie的原始域keys
:应捕获的Cookie名称数组(使用特定名称[‘PHPSESSID’]或使用正则表达式[‘。*,regexp’]捕获所有cookie)
- auth_urls 指定将触发会话捕获的URL数组(支持正则表达式)
- 例如我们的自定义示例:–’/ ex /’
- user_regex
key
:POST请求的名称。参数re
:正则表达式,例如(。*)将捕获整个键值对
- pass_regex
key
:POST请求的名称。钥匙re
:正则表达式,例如(。*)将捕获整个值
- landing_path 登录页面的URL路径列表。
- 例如对于 facebook:–’/login.php’