setoolkit是一个为社会工程设计的开源渗透测试框架。SET具有许多自定义攻击向量,可让您快速进行可信的攻击。

setoolkit 目录结构

modules
readme
README.md
requirements.txt
seautomate
seproxy
setoolkit
setup.py
seupdate
src

**setoolkit启动 **

通过./setoolkit启动。看到如下图形,启动成功。

默认会有如下选项

  1. Social-Engineering Attacks ##社会工程学攻击

  2. Penetration Testing (Fast-Track) ##快速追踪测试

  3. Third Party Modules ##第三方模块

  4. Update the Social-Engineer Toolkit ##升级软件

  5. Update SET configuration ##升级配置

  6. Help, Credits, and About ##帮助

  7. Exit the Social-Engineer Toolkit ##退出

这里制作个钓鱼网站为例子,选择1。

  1. Spear-Phishing Attack Vectors ## 鱼叉式网络钓鱼

  2. Website Attack Vectors ##网页攻击 钓鱼

  3. Infectious Media Generator ## 感染性性攻击,就是木马

  4. Create a Payload and Listener ##建立payloaad和listener

  5. Mass Mailer Attack ## 邮件群发攻击

  6. Arduino-Based Attack Vector ## Arduino基础攻击

  7. Wireless Access Point Attack Vector ##无线接入点攻击

  8. QRCode Generator Attack Vector ##二维码攻击

  9. Powershell Attack Vectors ##Powershell攻击

  10. Third Party Modules ##第三反模块

  11. Return back to the main menu.

选择2 网站攻击进行钓鱼。

  1. Java Applet Attack Method ## java程序攻击

  2. Metasploit Browser Exploit Method ##Metasploit 浏览器漏洞攻击

  3. Credential Harvester Attack Method ##钓鱼网站攻击

  4. Tabnabbing Attack Method

  5. Web Jacking Attack Method ## 网站jacking攻击

  6. Multi-Attack Web Method ## 多种网站攻击方式

  7. HTA Attack Method

  8. Return to Main Menu

选择3 钓鱼网站攻击。既然是网站钓鱼,就一定有网站的样式,这里是选择自己网站的样式,选择一个好的模板才能更好的社工。这里可以根据按照自己的喜欢自行选择。

  1. Web Templates ## web

  2. Site Cloner ## 网站克隆设置

  3. Custom Import ## 自定义导入

  4. Return to Webattack Menu

**这里只是演示,我选择1。**之后输入用户请求提交地址。我本地演示,输入我本地地址,用来获取用户信息。

set:webattack> IP address for the POST back in Harvester/Tabnabbing [192.168.31.188]:192.168.31.188

设置成功之后,默认带了3个模板供我们选择。这里我选择2 google的登录页面。

  1. Java Required
  2. Google
  3. Twitter

选择2之后,服务启动,如下说明访问当前地址80端口即可。

set:webattack> Select a template:2[*] Cloning the website: http://www.google.com
[*] This could take a little bit...The best way to use this attack is if username and password form fields are available. Regardless, this captures all POSTs on a website.
[*] The Social-Engineer Toolkit Credential Harvester Attack
[*] Credential Harvester is running on port 80
[*] Information will be displayed to you as it arrives below:

浏览器输入启动服务机器的ip+80端口;即可看到如下google登录页面。


在页面中试着输入账号密码,这里账号密码随意输入,对不对都行。之后点即 Sign in进行登录。随后控制台出现如下内容。

192.168.31.123 - - [25/Jul/2020 22:48:32] "GET / HTTP/1.1" 200 -
192.168.31.123 - - [25/Jul/2020 22:48:33] "GET /favicon.ico HTTP/1.1" 404 -
[*] WE GOT A HIT! Printing the output:
PARAM: GALX=SJLCkfgaqoM
PARAM: continue=https://accounts.google.com/o/oauth2/auth?
zt=ChR
PARAM: service=lso
PARAM: dsh=-73818871067
PARAM: _utf8=?
PARAM: bgresponse=js_disab
PARAM: pstMsg=1
PARAM: dnConn=
PARAM: checkConnection=
PARAM: checkedDomains=youtube
POSSIBLE USERNAME FIELD FOUND: Email=123456
POSSIBLE PASSWORD FIELD FOUND: Passwd=654321
PARAM: signIn=Sign+in
PARAM: PersistentCookie=yes
[*] WHEN YOU'RE FINISHED, HIT CONTROL-C TO GENERATE A REPORT.

这里很清楚的发现,用户输入的Email为123456,密码是654321。

读到这里了,如果对你有帮助就留个赞吧。

另外关注公众号java内功心法回复我要当架构即可领取java方向必备进阶资料。

【安全系列】setoolkit钓鱼相关推荐

  1. 钓鱼Pishing小结

    最近学习xss,对于xss钓鱼的理解不是很深入,所以学习了几篇钓鱼有关的文章,这里算是自己的总结以加深自己的印象,参考了不少的文章,在此感谢前辈们的探索和指教! DNS欺骗钓鱼 定义 DNS欺骗就是攻 ...

  2. php钓鱼怎么使用方法,初学钓鱼最详细的方法教程

    钓鱼看起来很简单,谁都会钓,但是要想钓好鱼.钓多鱼是很复杂的,它受很多因素制约.我认为主要受四大因素制约.即时间.地点.气候和水情,它是由鱼的本性即趋食.趋温.趋氧决定的. 四大因素相会关联,缺一不可 ...

  3. loot recycler_loot++ - MC百科搜索 - MC百科|最大的Minecraft中文MOD百科

    你是否厌倦了打怪只掉落腐肉蜘蛛眼骨头这些无聊的东西?这个模组增加了生物掉落战利品袋功能.袋子分为五个等级,寻常(白).不寻常(绿).稀有(蓝).史诗(紫).传奇(黄).四个同等级袋子可以组成一个高等级 ...

  4. 创宇区块链|5 月安全月报

    前言 五月以来,币价虽然在不断下滑然而发生的安全事件的数量却在显著攀升,据 知道创宇区块链安全实验室[被黑事件档案库] 数据显示:该月发生的安全事件超 37 起,其中跑路骗局和网络钓鱼事件频发,而 T ...

  5. 巴比特 | 元宇宙每日必读:厦门、广州、杭州等地开“卷”元宇宙,基金、人才、产业园提供多样支持...

    ‌ 摘要:近日,多条元宇宙领域的重磅消息接连传来:厦门"元宇宙产业人才基地"揭牌,广州天河成立元宇宙联合投资基金,杭州钱塘区"元宇宙"产业园开园,从南到北,各地 ...

  6. php.c drcom,drcom

    Error: Component pep-text-card is not exist in this environment. {"data":{"id":& ...

  7. loot recycler_loot - MC百科搜索 - MC百科|最大的Minecraft中文MOD百科

    你是否厌倦了打怪只掉落腐肉蜘蛛眼骨头这些无聊的东西?这个模组增加了生物掉落战利品袋功能.袋子分为五个等级,寻常(白).不寻常(绿).稀有(蓝).史诗(紫).传奇(黄).四个同等级袋子可以组成一个高等级 ...

  8. 使用setoolkit 进行钓鱼攻击

    该实验仅用于学习,请不要实现违法目的 该攻击在kali虚拟机和阿里云的Ubuntu 16.04下进行 在Ubuntu 16.04下安装setoolkit 由于setoolkit无法用apt安装,所以需 ...

  9. setoolkit的钓鱼攻击

    试验设备 Linux kali 5.9.0版本 在kail中setoolkit自带,无需下载,运行时需要赋予root权限 打开我们所需要的工具 setoolkit //打开工具 会跳出很多选项 Soc ...

最新文章

  1. R语言plot函数可视化、ggplot2可视化把图像标题(title)的部分内容着色实战:标题的部分内容配置不同的色彩、副标题(subtitle)的内容配置不同的色彩
  2. #翻译NO.3# --- Spring Integration Framework
  3. c语言交换a b(运算符),关于编程语言:是否有一个复合赋值运算符用于a = b
  4. tensorflow加载训练好的模型实例
  5. linux ssh和scp,Linux SSH 与 SCP命令简述
  6. C# 读写Ini文件
  7. db2和mysql语句区别_db2和mysql语法的区别是什么
  8. k8s边缘节点_边缘计算,如何啃下集群管理这块硬骨头?
  9. 新手与大佬学习方式的差异
  10. SpringSecurity-1-前言,登录原理
  11. Java学习:抽象类与接口
  12. Apache Jmeter压力测试
  13. mysql数据库url正确的是_下面关于连接mysql下的mydb数据库的url,编写正确的是()...
  14. 圆形矢量场field driven strength效果
  15. 交换机和路由器的区别_交换机和路由器有什么区别 交换机和路由器区别介绍【详解】...
  16. Android默认时区、语言设置
  17. 少儿编程scratch -- 提高篇
  18. python趋势回归_python使用LASSO回归预测股票收益
  19. 点与有向线段的位置关系
  20. (九)巴菲特与索罗斯的投资习惯:术业有专攻

热门文章

  1. 【学习笔记】深入理解及个人感悟JavaWeb
  2. 404 Note Found Team's First Blood
  3. 不朽凡人 第五百四十一章 再见温连汐
  4. Excel文件写入和解析
  5. 如何在忙碌之余学习数据科学?
  6. 【php毕业设计】基于php+mysql+apache的网络数据包分析工具设计与实现(毕业论文+程序源码)——网络数据包分析工具
  7. 微信小程序导入云开发数据库表报错问题解决
  8. web渗透测试在线网站
  9. springboot身体健康诊疗系统毕业设计源码181049
  10. 深度学习之生成对抗网络(5)纳什均衡