渗透测试-社会工程学攻击

于 2024-04-19 11:24:40 发布
阅读量1.5k 收藏 41
点赞数 18
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN6047_/article/details/137954923
版权

目录

一、社会工程学的概念

二、Kali Linux 2中的社会工程学工具包

1、社会工程学(SET)启动的二种方法:

(1)菜单启动:

(2)命令行启动:

2、社会工程学(SET)的主菜单:

3、“社会工程学攻击”菜单:

三、用户名和密码的窃取

信用盗取攻击方法

1、选择:Social-Engineering Attacks(社会工程学攻击)-- Website Attack Vectors(网站攻击向量)--Credential Harvester Attack Method(信用盗取攻击方法)

(一)社会工程学攻击

(二)网站攻击向量

(三)信用盗取攻击方法

2、选择创建伪造网站的方式

常见3种方式:

3、输入用来接收窃取到的用户名和密码的IP地址

4、输入一个用来克隆的网址

5、在靶机(32位Windows7)中访问这个伪造的网站

(1)输入Kali的IP

(2)填写用户名和密码(靶机)

(3)查看浏览器是否跳转?

6、返回Kali虚拟机,看到哪些信息?

四、自动播放文件攻击

1.选择社会工程学攻击

2.选择感染式媒介生成器

3.选择攻击模块Standard Metasploit Executable

4.选择Windows Reverse_TCP Meterpreter and send back to attacker

5.设置攻击载荷的ip(kali本机)和端口55555:

6.系统自动生成两个文件

7.随后生成监听器,选择yes

8.生成完成

9.在tmp创建tex.t目录,把payload.exe和autorun.inf存放在此

10.把两个文件下载到桌面然后在win7打开

运行payload:

11.查看kali是否建立会话

​编辑查看会话:

进入会话:

12.ls查看test信息

13.查看c盘文件信息

14.建立lzzy文件目录

ls查看建立成功:

15.删除lzzy文件目录

五、总结

一、社会工程学的概念

     社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗等危害手段取得自身利益的手法,是通过研究受害者心理,并以此诱使受害者做出配合,从而达到自身目的的方法。

二、Kali Linux 2中的社会工程学工具包

1、社会工程学(SET)启动的二种方法:

(1)菜单启动:

(2)命令行启动:

命令:

setoolkit

2、社会工程学(SET)的主菜单:

(1)Social-Engineering Attacks(社会工程学攻击)

(2)Penetration Testing (Fast-Track)(渗透测试)

(3)Third Party Modules(第三方模块)

(4)Update the Social-Engineer Toolkit(升级软件)

(5)Update SET configuration(升级SET配置)

(6)Help, Credits, and About(帮助)

(99)Exit the Social-Engineer Toolkit(退出)

3、“社会工程学攻击”菜单:

(1)Spear-Phishing Attack Vectors(鱼叉式钓鱼攻击向量)

(2)Website Attack Vectors(网站攻击向量)

(3)Infectious Media Generator(媒介感染攻击)

(4)Create a Payload and Listener (创建Payload和Listener)

(5)Mass Mailer Attack(海量邮件攻击)

(6)Arduino-Based Attack Vector (基于Arduino的攻击向量)

(7)Wireless Access Point Attack Vector(无线热点攻击向量)

(8)QRCode Generator Attack Vectors(二维码攻击向量)

(9)Powershell Attack Vector(powershell 攻击向量)

(10)Third Party Modules(第三方模块)

(99)Return back to the main menu(返回主菜单)

 

三、用户名和密码的窃取

测试目标单位的用户是否会严格遵守管理协议,是否对来历不明的地址做了充分防御。

菜单: Social-Engineering Attacks / Website Attack Vectors/Credential Harvester Attack Method

实验环境:填写如下IP地址

Kali 2主机IP:  192.168.151.128                  

靶机(32位Windows7)的IP:  192.168.151.129                    

信用盗取攻击方法

1、选择:Social-Engineering Attacks(社会工程学攻击)-- Website Attack Vectors(网站攻击向量)--Credential Harvester Attack Method(信用盗取攻击方法)

(一)社会工程学攻击

(二)网站攻击向量

(三)信用盗取攻击方法

2、选择创建伪造网站的方式

常见3种方式:

Web Templates(网站模块)

Site Cloner(网站克隆)---- 选择这种方式!

Custom Import(自定义导入)

3、输入用来接收窃取到的用户名和密码的IP地址

(Kali本机)

4、输入一个用来克隆的网址

(IBM的测试网站:www.testfire.net/bank/login.aspx)

www.testfire.net/bank/login.aspx

结果:成功启动了伪造好的网站服务器

5、在靶机(32位Windows7)中访问这个伪造的网站

(1)输入Kali的IP

(2)填写用户名和密码(靶机)

(填写用户名(amiliya)和密码(123456)之后,单击“Login”提交)

(3)查看浏览器是否跳转?

已经跳转了。

6、返回Kali虚拟机,看到哪些信息?

用户名和密码已被获取。

四、自动播放文件攻击

菜单: Social-Engineering Attacks / Infectious Media Generator

实验环境:填写如下IP地址

Kali 2主机IP: 192.168.151.128                   

靶机 32位Windows7          的IP:  192.168.151.129         

1.选择社会工程学攻击

2.选择感染式媒介生成器

3.选择攻击模块Standard Metasploit Executable

4.选择Windows Reverse_TCP Meterpreter and send back to attacker

5.设置攻击载荷的ip(kali本机)和端口55555:

6.系统自动生成两个文件

7.随后生成监听器,选择yes

8.生成完成

9.在tmp创建tex.t目录,把payload.exe和autorun.inf存放在此

命令:cp -r /root/.set/autorun/* /tmp/text

cp -r /root/.set/autorun/* /tmp/text

命令:cp -r /root/.set/payload.exe /tmp/text

cp -r /root/.set/payload.exe /tmp/text

10.把两个文件下载到桌面然后在win7打开

运行payload:

11.查看kali是否建立会话

查看会话:

进入会话:

12.ls查看test信息

13.查看c盘文件信息

14.建立lzzy文件目录

命令:

mkdir lzzy

ls查看建立成功:

15.删除lzzy文件目录

可以看到lzzy文件目录已被删除,本次攻击成功。

五、总结

本次实验简单介绍了社会工程学、用户名和密码窃取与自动播放文件攻击的方法。

22计算机网络技术1班潘泽恒
关注
  • 18
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Metasploit渗透测试指南.pdf
12-10
英文版:Metasploit: The Penetration Tester's Guide 内容简介 《Metasploit渗透测试指南》介绍Metasploit——近年来最强大、最流行和最有发展前途的开源渗透测试平台软件,以及基于Metasploit进行网络渗透测试与安全漏洞研究分析的技术、流程和方法。 《Metasploit渗透测试指南》共有17章,覆盖了渗透测试的情报搜集、威胁建模、漏洞分析、渗透攻击和后渗透攻击各个环节,并包含了免杀技术、客户端渗透攻击社会工程学、自动化渗透测试、无线网络攻击等高级技术专题,以及如何扩展Metasploit情报搜集、渗透攻击与后渗透攻击功能的实践方法,《Metasploit渗透测试指南》一步一个台阶地帮助初学者从零开始建立起作为渗透测试者的基本技能,也为职业的渗透测试工程师提供一本参考用书。《Metasploit渗透测试指南》获得了Metasploit开发团队的一致好评,Metasploit项目创始人HD Moore评价《Metasploit渗透测试指南》为:“现今最好的Metasploit框架软件参考指南”。 《Metasploit渗透测试指南》适合网络与系统安全领域的技术爱好者与学生,以及渗透测试与漏洞分析研究方面的安全从业人员阅读。
教主Kali与Python黑客.4.社会工程学攻击
10-14
教主Kali与Python黑客.4.社会工程学攻击
Metasplioit渗透测试指南
06-21
《metasploit渗透测试指南》介绍metasploit——近年来最强大、最流行和最有发展前途的开源渗透测试平台软件,以及基于metasploit进行网络渗透测试与安全漏洞研究分析的技术、流程和方法。 《metasploit渗透测试指南》共有17章,覆盖了渗透测试的情报搜集、威胁建模、漏洞分析、渗透攻击和后渗透攻击各个环节,并包含了免杀技术、客户端渗透攻击社会工程学、自动化渗透测试、无线网络攻击等高级技术专题,以及如何扩展metasploit情报搜集、渗透攻击与后渗透攻击功能的实践方法,本书一步一个台阶地帮助初学者从零开始建立起作为渗透测试者的基本技能,也为职业的渗透测试工程师提供一本参考用书。
社会工程学攻击的实例化.pdf
08-07
“解决所有漏洞问题和所有防御方面的技术问题并不能保障企业和组织的信息安全,往往你会倒在你根本无从研究或定义的那些点上!恩,不信你看看索尼!” ----------摘自推特上的热门段子 社会工程学攻击伴随着APT攻击的持续走热,也变成了安全圈的热门词汇,而社会工程学个人认为并不是一门技术,大众所看到的玄之又玄的各种案例与奇技淫巧几乎是无法复制或者套用的,那么就更谈不上学习和研究。所以,将社会工程学攻击实例化将是一个不错的选择,议题从多个国内外的实际攻击案例,来分析和制作基本的社会工程学攻击实例模型。试图使每一个安全从业人员能够轻松套用攻击测试的流程实例,针对企业组织进行有效测试与制定更好的防御策略。
渗透测试 ( 9 ) --- 社会工程攻击工具 setoolkit
墨鱼菜鸡
07-11 1763
github 地址:https://github.com/trustedsec/social-engineer-toolkit kali工具 -- setoolkit(克隆网站及利用):https://blog.csdn.net/weixin_41489908/article/details/103851057 1、社会工程学概念 社会工程学通常以...
渗透测试-社会工程学与APT攻击
lza20001103的博客
05-05 1628
社会工程学与APT攻击
Kali渗透测试社会工程学工具
Liu_Bruce的博客
05-18 4641
Kali渗透测试社会工程学工具 人是网络安全中一个远比设备和程序更重要的因素。在网络安全中,社会工程学攻击的目标 就是人。在现实中,往往人的一点疏忽就导致了网络中的所有防御手段形同虚设。 1.1 社会工程学的概念 社会工程学是一个通过研究受害者心理,并以此诱使受害者做出配合,从而达到自身目的的学科。黑客米特尼克(Mitnick)在他的作品《反欺骗的艺术》中第一次提到社会工程学,他认为长期以来在网络安全领域中,社会工程学指的就是利用受害者的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱的手段,一些犯罪分
渗透测试--3.1.社会工程学攻击
我是个好人呀,????
05-18 2378
当心来路不明的服务供应商等人的电子邮件、即时简讯以及电话。在提供任何个人信息之前验证其可靠性和权威性;永远不要点击来自未知发送者的电子邮件中的嵌入链接,如果有必要就使用搜索引擎寻找目标网站或手动输入网站URL;永远不要在未知发送者的电子邮件中下载附件,如果有必要可以在保护视图中打开附件,这个在许多操作系统中是默认启用的;使用强大的防火墙来保护你的电脑空间,及时更新杀毒软件同时提高垃圾邮件过滤器的门槛;
社会工程学工具集
06-26
这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准。SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身存在的弱点。使用SET可以传递攻击载荷到目标系统,收集目标系统数据...
【推荐】最新超全的渗透测试学习基础教程集合(84份).zip
08-04
09.社会工程学之基础概念、IP获取、IP物理定位、文件属性; 10.论文之基于机器学习算法的主机恶意代码; 11.虚拟机VMware+Kali安装入门及Sqlmap基本用法; 12.Wireshark安装入门及抓取网站用户名密码(一); 13....
Backtrack渗透测试学习笔记.rar
06-14
关于讲解 backtrack 的入侵与渗透的中文资料,文中从信息收集,身份识别,社会工程学攻击,metasploit 运用层攻击,局域网攻击,维持访问等几个方面对 Back|Track 做一个介绍
Mastering-Kali-Linux-for-Advanced-Penetration-Testing-Second-Edition:掌握Kali Linux进行高级渗透测试-第二版,由Packt发行
05-28
掌握用于高级渗透测试的Kali Linux-第二版 这是发行的的代码存储库。 它包含从头到尾完成本书所必需的所有支持项目文件。 关于这本书 本书将带您作为测试人员或安全从业人员,进行渗透测试人员和黑客所进行的侦察,...
security-101:学习计算机安全和测试
06-03
安全-101 学习计算机安全和测试其他人的工作仓库、博客 图书树莓派渗透测试 了解网络黑客 树莓派网络食谱 安全工程,第 2 版罗斯·安德森黑帽蟒黑客和渗透测试人员的 Python 编程 使用 Kali Linux 进行 Web 渗透测试...
6.3 社会工程学攻击
weixin_43263566的博客
08-15 2102
6.3 社会工程学攻击
Kali常见攻击手段_kali攻击
最新发布
weixin_51725318的博客
12-27 2050
Kali常见攻击手段
Kali linux渗透测试系列————28、Kali linux 渗透攻击社会工程学攻击
Fly_鹏程万里
05-16 4056
社会工程学社会工程学是利用人性的弱点体察、获取有价值信息的实践方法,它是一种期盼的艺术。在缺少目标系统的必要信息时,社会工程学技术是渗透测试人员获取信息的至关重要的手段。对于素有类型的组织而言,人都是安全防范措施李最为薄弱的一个环节,也是整个安全基础设施最脆弱的层面。从安全的角度来看,社会工程学是以获取特定信息为目标的操纵他人的有力武器。很多单位都使用社会工程学的方法来进行安全评估,以考核雇员的安...
渗透测试基础学习流程与技巧
05-15
渗透测试是一种评估计算机系统、网络或应用程序安全的方法。其基本流程包括: 1. 信息收集:收集目标的信息,如域名、IP地址、端口、操作系统、应用程序等。 2. 漏洞扫描:使用自动化工具扫描目标系统,寻找可能存在的漏洞。 3. 渗透攻击:使用漏洞进行攻击,获取权限或敏感信息。 4. 维持访问:在目标系统内部安装后门或其他攻击工具,以便随时访问系统。 5. 清理痕迹:清除攻击留下的痕迹,以避免被发现。 以下是一些渗透测试的技巧: 1. 掌握常用的漏洞扫描工具,如Nmap、OpenVAS、Nessus等。 2. 熟悉常见的漏洞类型,如SQL注入、跨站脚本攻击、文件包含漏洞等。 3. 善于分析漏洞扫描结果,了解漏洞的风险等级和修复方案。 4. 掌握常见的攻击技术,如社会工程学攻击、漏洞利用、后门等。 5. 学会使用脚本编程语言,如Python、Perl等,编写自己的攻击工具。 6. 善于使用搜索引擎和开源情报工具,如Shodan、FOFA等,获取目标信息。 7. 关注安全漏洞信息和安全社区,不断学习新的攻击技术和防御策略。 8. 在进行渗透测试时,一定要遵守法律和道德规范,不得侵犯他人的隐私和财产安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值