nginx反向代理钓鱼

前言

Nginx 反向代理确实用得很多，之前也写过如何配置反向代理，可参考《nginx 反向代理配置[1]》

反向代理钓鱼原理

相当于所有流量会先到我们服务器上，然后再到目标服务器上，那么就可以当中间人获取所有的流量，当然也就包括各类凭证信息了。

搭建过程

环境

ubuntu

Nginx（）

确认是否安装成功

启动 nginx

配置反代

反代配置文件

创建单独的反代配置文件

写入如下内容：

引用配置文件

编辑 ，在 http{}中添加 2。句话，比如在

两行下面添加 2 句：

reverse

这样就可以把反向代理配置文件引用到，接着重启即可

效果演示

原网站/要伪造的网站：

1

使用反向代理访问的效果，可见一模一样

2

在我们搭建的反代服务器中输入账号密码，可见成功记录了账号、密码和 Cookie 值

pass参考资料

[1]

nginx反向代理配置: https://blog.gm7.org/%E4%B8%AA%E4%BA%BA%E7%9F%A5%E8%AF%86%E5%BA%93/99.%E6%9A%82%E6%9C%AA%E5%88%86%E7%B1%BB/05.nginx/nginx%E5%8F%8D%E5%90%91%E4%BB%A3%E7%90%86%E9%85%8D%E7%BD%AE.html