九、Kali Linux 2 社会工程学工具
社会工程学工具
社会工程学是一种通过研究受害者心理,并以此诱使受害者做出配合,从而达到自身目的的方法。其实我一直觉得社会工程学和中国古代的“千术”十分类似,二者都是“欺骗的艺术”。历史上最著名的黑客米特尼克在他的作品《反欺骗的艺术》中第一次提到社会工程学,长期以来在网络安全领域中,社会工程学指的就是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗等危害手段取得自身利益的手法。近年来,利用社会工程学从事犯罪已成迅速上升的趋势,给网络安全造成了极大的隐患。
一、社会工程学的概念
社会工程学是一种通过研究受害者心理,并以此诱使受害者做出配合,从而达到自身目的的方法。其实我一直觉得社会工程学和中国古代的“千术”十分类似,二者都是“欺骗的艺术”。历史上最著名的黑客米特尼克在他的作品《反欺骗的艺术》中第一次提到社会工程学,长期以来在网络安全领域中,社会工程学指的就是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗等危害手段取得自身利益的手法。近年来,利用社会工程学从事犯罪已成迅速上升的趋势,给网络安全造成了极大的隐患。
二、Kali Linux 2 系统中的社会工程学工具包
在Kali Linux 2中也包含了一款目前在世界上极为流行的工具-SET。利用这些工具,再加上使用者的演技,常常会让受害者在不知不觉中就掉入到陷阱中。不过限于“当地法律和法规的限制”,这里我们探讨的范围仅限于SET这款工具包的使用方法。 SET这款工具的全称为 Social-Engineer Toolkit(社会工程学工具包),是由美国著名黑客David Kennedy (ReL1K)所编写。需要注意的是这并不只是一款单独的工具,而是常用的社会工程学工具的集合,其中包含了许多的渗透测试工具。
三、用户名和密码的盗取
这里的第三项是一种专门用来盗取用户信息的工具,如图所示。通过这个工具可以迅速地克隆出一个网址,这个网址需要登录名和密码,用户在输入了登录名和密码之后,就会被Kali服务器所窃取。
四、自动播放文件攻击
我们经常会遇见这样一种令人十分烦恼的木马文件,例如只要U盘插到计算机上,就会立刻执行的病毒。SET中也提供了这种功能。
图中的第3种就是常见媒介感染,这里面的媒介指的是光盘和U盘等,目前光盘已经极为少见了,所以我们这里只介绍了U盘方式。
五、使用 Arduino 伪装键盘
通常我们在将一个外部存储设备连接到计算机上时,杀毒软件一定会进行检查。但是也有特殊的情况,比如当USB接口的鼠标和键盘等设备连接到系统上时,是会忽略掉这些检查的,近年来,很多黑客开始将入侵的着手点放在了这里。
计算机安全领域的热门话题之一是被称为“BadUSB”的USB漏洞。该漏洞由Karsten Nohl和 Jakob Lell共同发现,在拉斯维加斯举行的2014年度BlackHat安全大会上公布,他们通过将USB闪存中的固件进行了可逆并重新编程,相当于改写了U盘的操作系统。由于计算机上的杀毒软件无法访问到U盘存放固件的区域,因此也就意味着杀毒软件和U盘格式化都无法应对固件改写造成的安全隐患。
六、快捷的 HID 攻击工具 USB RUBBER DUCKY
虽然 Arduino Leonardo 并不太复杂,但是由于很多人没有接触过它,所以很快有人发明了更快捷的硬件,USB RUBBER DUCKY(USB 橡皮鸭),自2010年以来,USB橡皮鸭就一直深受黑客、渗透测试人员以及IT专家的欢迎。
七、HTA 文件攻击欺骗方式
最后来介绍一种HTA Attack方法,这种方法和第一种Java Applet其实很像:
八、通过计划任务实现持续性攻击
Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序或脚本的工作。但是目前这个工具经常被黑客或者渗透测试者利用,从而实现持续性攻击。普通情况下,通过计划任务实现持续性攻击不需要用到管理员的权限,但是如果你希望能获得更加灵活的操作,例如指定用户登录时或者系统空闲时执行某个任务,还是会需要用到管理员的权限。
总结:
本章介绍了一个全新的攻击方式:社会工程学。鉴于单纯地针对目标漏洞展开攻击的方式成功率已经越来越低,越来越多的黑客在攻击中采用了各种各样的社会工程学方式。作为一个渗透测试人员,社会工程学是一项必不可少的技能。本章首先介绍了Kali Linux 2中社会工程学工具包的基本使用方法,它提供了大量成熟的社会工程学攻击方式;然后我们就其中最为经典的几种攻击方式进行了介绍;最后还介绍了一些硬件渗透测试技术。
九、Kali Linux 2 社会工程学工具相关推荐
- 社会工程学工具 SET 伪造网站
目录 SET工具包 启动 菜单 用户名和密码的窃取 第一步 Social-Engineering Attacks 第二步 Site Clone 第三步访问伪造网站 获取信息 按照<Kali Li ...
- Kali Linux菜单中各工具功能大全
网络安全重磅福利:入门&进阶全套282G学习资源包免费分享! 名称 类型 使用模式 功能 功能评价 dmitry 信息收集 whois查询/子域名收集/端口扫描 whois并不简单明了:子域名 ...
- kali linux菜单中各工具功能
名称 类型 使用模式 功能 功能评价 dmitry 信息收集 whois查询/子域名收集/端口扫描 whois并不简单明了:子域名和邮箱依赖google:端口扫描速度一般 dnmap 信息收集 用于组 ...
- kali linux 截图位置,Kali Linux中使用截图工具
Kali Linux中默认好像没有安装截图工具,于是网上找了下,本打算安装shutter,但估计是源的问题没成功,一不小心发现了Scrot, 因为可以命令行截图的缘故,就试了下,参考: https:/ ...
- kali linux怎样下载全部工具,Kali Linux工具大全
原标题:Kali Linux工具大全 本系列将以介绍工具的使用方法为主要目标,并不会刻意将每个工具定位到渗透测试标准的哪个具体阶段.具体内容我将根据自己的理解角度和实用经验来进行展开,所以它肯定不会是 ...
- kali linux set工具,求助: 社会工程学工具set 出现错误for kali linux.
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 It's easy to update using the PenTesters Framework! (PTF) Visit https://githu ...
- Kali linux安装漏洞扫描工具Nessus安装指南
引子:Nessus是著名信息安全服务公司tenable推出的一款漏洞扫描与分析软件,号称是"世界上最流行的漏洞扫描程序,全世界超过75,000个组织在使用它".尽管这个扫描程序可以 ...
- Kali linux安装漏洞扫描工具Nessus指南
引子:Nessus是著名信息安全服务公司tenable推出的一款漏洞扫描与分析软件,号称是"世界上最流行的漏洞扫描程序,全世界超过75,000个组织在使用它".尽管这个扫描程序可以 ...
- kali linux Web渗透扫描工具:nikto、skipfish
一.Nikto Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件CGIs:超过625种服务器版本:超过230种特定服务器问题. ...
- KALI LINUX 安装PS画图工具——gimp(超级详细图解)
0x01 查找官源gimp安装包 >>> apt-cache search gimp | grep ^gimp 0x02 给咱们KAILI安装gimp及help文件 >> ...
最新文章
- java io文件流序列化_Java——Properties集合,Object序列化流与反序列化流,打印流,commons-IO文件工具类...
- ABAP 对字符串公式进行计算
- 微信小程序接入腾讯地图sdk地图 用户自选位置。踩坑+代码实现
- python array函数_Python 中的range()函数与array()函数
- 工作中影响提高的一些想法
- Python 之父退休,C 语言之父与世长辞,各大编程语言创始人现状大曝光!
- 计算机公式与函数乘法,excel常用函数乘法公式的使用方法
- 高考还没结束,这份试卷已经流出,你能拿多少分?
- 设置log缓存_全局变量、事件绑定、缓存爆炸?Node.js内存泄漏问题分析
- 做互联网项目一定要做可循环,可积累的事情
- azure db 设置时区_在Azure Cosmos DB中应用字段运算符和对象
- WPF内嵌WCF服务对外提供接口
- SSL/TLS的X.509证书
- java环境变量的设置方法_Java环境变量配置方法详解
- python自动化运维博客_python自动化运维记录
- access统计班级人数_使用ACCESS查询统计分数段人数
- 如何使用免费软件实现iPad当Windows电脑副屏的效果
- 如何使用Python生成数据分析报告
- 产品打磨日记-给SA交待的任务
- web前端dya07--ES6高级语法的转化rendervue与webpackexport