SET社会工程学攻击
目录
- SET框架结构
- 钓鱼网站(1-2-3)
- 默认模板(1-2-3-1)
- 站点克隆(1-2-3-2)
- 二维码(1-8)
- 远控木马(1-4)
- 参考
总结了网上关于SET的相关文章,合并成了这篇学习笔记
Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET)
,它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准。
SET框架结构
- Social-Engineering Attacks #社会工程攻击
- Penetration Testing (Fast-Track) #渗透测试(快速通道)
- Third Party Modules #第三方模块
- Update the Social-Engineer Toolkit #更新社会工程师工具包
- Update SET configuration #更新SET配置
- Help, Credits, and About #帮助,学分和关于
- Exit the Social-Engineer Toolkit #退出社会工程师工具包
钓鱼网站(1-2-3)
在SET的选项种,依次输入1、2、3进入到钓鱼网站模块中
网络环境:
win10物理机 | 192.168.43.90 |
---|---|
kali | 192.168.239.141 |
win7 | 192.168.239.132 |
注意:实验的时候,每完成一次实验,请完全退出SET;浏览器也使用无痕模式,避免影响实验效果
默认模板(1-2-3-1)
默认模板中提供了3种模板,分别是:
- Java Required
所以,这种攻击手法的思路就是创建了一个类似的网站,诱骗受害者输入账密
- 在kali中输入
sudo setoolkit
启动工具 - 依次输入1、2、3、1,进入到默认模板功能项
- 接着需要设置用于钓鱼的IP地址(此处默认Kali本机IP,同时会默认设定80端口)
- 输入
ss -antplu | grep 80
检查到80端口没有被占用 - 如果占用的话(一般是apache占用),执行命令
systemctl stop apache2
关闭Apache服务
- 输入
- 选择钓鱼的网站(下面选择谷歌登录)
- win10(受害者)访问kali的ip地址(会看到长着Google样子的钓鱼网站)
- win10(受害者)输入账密,登录后会进行跳转到谷歌官网,即:google.com
- kali捕获到刚才win10输入的账号和密码,攻击成功
站点克隆(1-2-3-2)
除了选择 SET 自带的三个登录站点的模板外,SET 也允许攻击者自己选择站点进行克隆,伪造钓鱼网站。
- 在kali中输入
sudo setoolkit
启动工具 - 依次输入1、2、3、2,进入到站点克隆
- 接着需要设置用于钓鱼的IP地址(此处默认Kali本机IP,同时会默认设定80端口)
- 输入
ss -antplu | grep 80
检查到80端口没有被占用 - 如果占用的话(一般是apache占用),执行命令
systemctl stop apache2
关闭Apache服务
- 输入
- 克隆你需要的一个站点
这里我使用inurl:login
随便在网上搜一个登录窗口,作为实验演示
接着将监听的地址设为本机IP(直接 Enter 键默认也行),然后将克隆的网站地址设置为某网站的登录页面,即可成功克隆并进入监听状态:
win10(受害者)访问kali的地址
- kali捕获到刚才win10输入的账号和密码,攻击成功
二维码(1-8)
其实有点无聊,所谓二维码攻击就是把一个URL地址转换为一个二维码,网上有很多在线平台(如草料二维码等)可以帮助我们生成各式各样的二维码。所以这里不打推荐SET工具。
- 在kali中输入
sudo setoolkit
启动工具 - 依次输入1、8,进入到默认模板功能项
- 输入某网站的地址,获得相关二维码文件
- 查看二维码
- 手机扫描一下,打开了相关网站
远控木马(1-4)
小声bb
SET社会工程学攻击相关推荐
- 2008社工新书《黑客社会工程学攻击》
保留一份以免淡忘了. 这本书写的非常的好,对于想深入了解这门艺术的人看是个不错的选择. --------------部分目录------------------------ 第一章.黑客时代的 ...
- 黑客社会工程学攻击的八种常用伎俩
著名黑客Kevin Mitnick在上世纪90年代让"黑客社会工程学"这个术语流行了起来,不过这 个简单的概念本身(引诱某人去做某事,或者泄露敏感信息)却早有年头了. 专家们认为, ...
- 渗透测试--3.1.社会工程学攻击
目录 社会工程学攻击 SET介绍 一.建立克隆钓鱼网站收集目标凭证 二.set工具集之木马欺骗实战反弹链接 三.后渗透阶段 1.查看主机系统信息 2.到处用户密码的hash值 3.获得shell控制台 ...
- 社会工程学攻击案例-伪装木马
社会工程学攻击案例-伪装木马 msfpayload 做后门程序 root@bt:~# mkdir /root/example_01 //生成目录,名称为example_01 //将putty软件拷贝到 ...
- 黑客社会工程学攻击2 新书来袭
黑客社会工程学攻击2 黑手不出,谁与争锋!阔别4年,社工尸再现江湖. 2008年 <黑客社会工程学攻击>上市,它是当时国内第一本"社工尸"图书,启智中国式社工黑商.荣获 ...
- 社会工程学攻击之网站钓鱼
前言 网络给了我们方便的同时,但也并不总是那么美好.还记得邀请苍蝇到它的客厅做客的蜘蛛吗?还记得帮助蝎子渡河的乌龟吗?这些故事都包含了猎物的天真和猎手的肮脏.互联网也是如此,其中中充斥着诱惑的陷阱.阴 ...
- 什么是社会工程学?如何防范社会工程学攻击
黑客技术就像魔术,处处充满了欺骗. 不要沉迷于网络技术,人才是突破信息系统的关键. 只要敢做就能赢. 在电影<我是谁:没有绝对安全的系统>中,主角本杰明充分利用自己高超的黑客技术,非法入侵 ...
- 警惕! ”黑帽子“的社会工程学攻击
警惕! "黑帽子"的社会工程学攻击 防范社会工程学攻击的简单技巧与姿势 互联网是人.组织机构与电脑之间相互联系的迷宫.而最简单的攻击方式便是找出关系中的薄弱环节.通常人是这三者中最 ...
- 深度社会工程学攻击,你了解多少?
(NB:此篇文章,是RSA2021会议上一篇文章的翻译和总结.这篇总结发表于绿盟科技2021/07的期刊中,以伏影实验室的名义.所以,如要转载,请注明出处!!!) 1. 深度社会学攻击特点解读 Bio ...
最新文章
- 比特币的货币属性是什么?
- 洛谷P4513 小白逛公园
- 【OpenCV3】cv::compare()使用详解
- App乱世,3721离我们有多远
- junit测试方法_JUnit测试方法订购
- 缓存穿透、击穿、雪崩什么的傻傻分不清楚?看了这篇文后,我明白了
- ResNet在分别在Keras和tensorflow框架下的应用案例
- php 合并数组对象,JS内数组合并方法与对象合并实现步骤详解
- L2-009. 抢红包-PAT团体程序设计天梯赛GPLT
- python 继承与多态
- LINUX信息命令查看大全
- 如何构建自己的计算机,第四部分:安装Windows和加载驱动程序
- YML解析框架SnakeYaml简介
- 服务器双向同步文件,lsyncd配置两台服务器文件双向实时同步
- pr软件,设置软件的首选项,导入素材的快捷键,文件导入的几种方式
- 图片资源类型转换为bitmap
- A*算法实现9宫格拼图游戏最优解
- Java编写生成的验证码
- 给陈景润之子陈由伟的一封公开信
- 声源定位与stm32示例
热门文章