社会工程学

已于 2023-06-21 01:12:38 修改
阅读量206 收藏
点赞数
文章标签: linux 网络攻击模型 web安全
于 2023-06-21 01:05:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QQ2891287744/article/details/131317740
版权

目录

一、 社会工程学的概念

二、  Kali Linux 2中的社会工程学工具包

1、社会工程学(SET)启动的二种方法:

(1)菜单:

(2)命令行:

 2、社会工程学(SET)的主菜单:

 3、“社会工程学攻击”菜单:

三、 用户名和密码的窃取

1、选择:Social-Engineering Attacks(社会工程学攻击)-- Website Attack Vectors(网站攻击向量)--Credential Harvester Attack Method(信用盗取攻击方法)

2、选择创建伪造网站的方式

       常见3种方式: 

3、输入用来接收窃取到的用户名和密码的IP地址

4、输入一个用来克隆的网址

5、在靶机中访问这个伪造的网站

(1)输入Kali的IP

 (2)填写用户名和密码(靶机)

6、返回Kali虚拟机,看到以下信息

四、 自动播放文件攻击

1.选择:Social-Engineering Attacks (社会工程学攻击) Infectious MediaGenerator (感染式媒介生成器)

 2.选择攻击模块

 3.选择一个要使用的攻击载荷,设置攻击载荷的IP 地址和端口

4.系统根据输入生成U 盘自动运行程序,生成两个文件即payloadexe和autorun.inf文件

5.SET询问是否创建一个监听器

6.将/root/.set/autorun/目录下的两个文件复制到外部,在tmp 下创建一个test目录

7.将文件复制到 U 盘上,然后将U 盘插入另一台计算机点击运行

五、总结

一、 社会工程学的概念

        社会工程学是一个通过研究受害者心理,并以此诱使受害者做出配合,从而达到自身目的的学科。黑客米特尼克(Mitnick)在他的作品《反欺骗的艺术》中第一次提到社会工程学他认为长期以来在网络安全领域中,社会工程学指的就是利用受害者的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱的手段,一些犯罪分子通过欺骗等手段来谋取利益作来,利用社会工程学谋取利益的人越来越多,这给网络安全带来了极大的隐患。
 

二、  Kali Linux 2中的社会工程学工具包

        在Kali Linux 2中包含一个非常流行的工具包一一社会工程学工具包 (Social EngineerTolkit,SET)。利用这个工具包,再加上使用者的“演技”,常常会让受害者在不知不觉中就掉入陷阱。

SET 的使用方法。SET由黑客 David Kennedy (ReL1K)编写。需要注意的是,这并不只是一个单独的[具,而是常用的社会工程学工具的集合,其中包含许多渗透测试工具。
 

1、社会工程学(SET)启动的二种方法:

(1)菜单:

(2)命令行:

setoolkit

 2、社会工程学的主菜单:

(1)Social-Engineering Attacks(社会工程学攻击)
(2)Penetration Testing (Fast-Track)(渗透测试)
(3)Third Party Modules(第三方模块)
(4)Update the Social-Engineer Toolkit(升级软件)
(5)Update SET configuration(升级SET配置)
(6)Help, Credits, and About(帮助)
(99)Exit the Social-Engineer Toolkit(退出)


 

 3、“社会工程学攻击”菜单:

(1)Spear-Phishing Attack Vectors(鱼叉式钓鱼攻击向量)
(2)Website Attack Vectors(网站攻击向量)
(3)Infectious Media Generator(媒介感染攻击)
(4)Create a Payload and Listener (创建Payload和Listener)
(5)Mass Mailer Attack(海量邮件攻击)
(6)Arduino-Based Attack Vector (基于Arduino的攻击向量)
(7)Wireless Access Point Attack Vector(无线热点攻击向量)
(8)QRCode Generator Attack Vectors(二维码攻击向量)
(9)Powershell Attack Vector(powershell 攻击向量)
(10)Third Party Modules(第三方模块)
(99)Return back to the main menu(返回主菜单)

三、 用户名和密码的窃取

测试目标单位的用户是否会严格遵守管理协议,是否对来历不明的地址做了充分防御。

菜单: Social-Engineering Attacks / Website Attack Vectors/Credential Harvester Attack Method

实验环境:填写如下IP地址

Kali 2主机IP:   192.168.17.129                 

ifconfig 

 靶机(32位Windows7)的IP:  192.168.17.134                    

查看靶机IP:ipconfig 

信用盗取攻击方法

1、选择:Social-Engineering Attacks(社会工程学攻击)-- Website Attack Vectors(网站攻击向量)--Credential Harvester Attack Method(信用盗取攻击方法)

 

2、选择创建伪造网站的方式

       常见3种方式: 

                Web Templates(网站模块)

                Site Cloner(网站克隆)---- 选择这种方式!

                Custom Import(自定义导入)

这里我们选择第二中方式

3、输入用来接收窃取到的用户名和密码的IP地址

kali本机IP: 192.168.17.129 

4、输入一个用来克隆的网址

(IBM的测试网站:http://ww .testfire .net/bank/login.aspx

 

 出现上图表示成功启动了伪造好的网站服务器

5、在靶机中访问这个伪造的网站

(1)输入Kali的IP

 (2)填写用户名和密码(靶机)

(填写用户名和密码之后,单击“Login”提交)

提交用户名信息后网站会刷新一下跳转到真实的网站页面可以通过http协议观察是否跳转到真实页面

6、返回Kali虚拟机,查看以下信息

四、 自动播放文件攻击

菜单: Social-Engineering Attacks / Infectious Media Generator

实验环境:填写如下IP地址(输入ifconfig查询主机IP )

Kali 2主机IP: 192.168.17.129                   

查询到靶机  32位windows7 的IP:  192.168.17.134                 

1.选择:Social-Engineering Attacks (社会工程学攻击) Infectious MediaGenerator (感染式媒介生成器)

 2.选择攻击模块

 

 3.选择一个要使用的攻击载荷,设置攻击载荷的IP 地址和端口

192.168.17.129

55555 

4.系统根据输入生成U 盘自动运行程序,生成两个文件即payloadexe和autorun.inf文件

5.SET询问是否创建一个监听器

 

6.将/root/.set/autorun/目录下的两个文件复制到外部,在tmp 下创建一个test目录

 cd /tmp

mkdir test

cp -r /root/autorun/* /tnp/test

cp -r /root/.set/payload.exe /tmp/test

7.将文件复制到 U 盘上,然后将U 盘插入另一台计算机点击运行

五、总结

学习到了全新的攻击方式:社会工程学。鉴于单纯地针对目标漏洞展开攻击的方式成功率已经越来越低,越来越多的黑客在攻击中采用了各种各样的社会工程学方式。作为个渗透测试人员,社会工程学是一项必不可少的技能。

先是介绍Kali Linux2中社会工程学工具包的基本使用方法,它提供了大量成熟的社会工程学攻击方式;然后我们就其中最为经典的几种攻击方式进行了介绍;最后还介绍了一些硬件渗透测试技术


 

21计算机网络一班 覃英研
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
社会工程学介绍
简介
02-17 1238
目录前言手段和术语假托在线聊天/电话钓鱼下饵(Baiting)等价交换同情心尾随(Tailgating or Piggybacking)社交工程学的演进钓鱼式攻击电脑蠕虫垃圾邮件特别人物 前言 在信息安全方面,社会工程学是指对人进行心理操纵术,使其采取行动或泄露机密信息。这与社会科学中的社会工程不同,后者不涉及泄露机密信息的问题。它是一种以信息收集、欺诈或系统访问为目的的信任骗局,与传统的 "骗局 "不同,它通常是更复杂的欺诈计划中的许多步骤之一。在英美普通法系,这一行为一般是被认作侵犯隐私权的。 历史上,
黑客社会工程学攻防演练
12-16
《反黑风暴·黑客社会工程学攻防演练》由浅入深、图文并茂地再现了黑客社会工程学攻防演练的全过程,内容涵盖:全面认识社会工程学、无所不能的信息搜索、扫描工具应用实战、黑客常用入侵工具、商业窃密常用伎俩、...
社会工程学工具
m0_71383067的博客
05-31 861
文章目录前言一、社会工程学的概念二、Kali Linux 2 中的社会工程学工具包1.社会工程学SET启动的二种方法:(1)菜单:(2)命令行:2.社会工程学SET)的主菜单:(1)Social-Engineering Attacks(社会工程学攻击)(2)Penetration Testing (Fast-Track)(渗透测试)(3)Third Party Modules(第三方模块)(4)Update the Social-Engineer Toolkit(升级软件)(5)Update SET
传染性媒体生成器和USB HID攻击向量——SET工具包
渗透测试
06-22 444
1.传染性媒体生成器是一个简单的攻击向量,可以烧到CD/DVD上或放到USB驱动器上 具体生成方法如下: Select from the menu: 1) Spear-Phishing Attack Vectors 2) Website Attack Vectors 3) Infectious Media Generator 4) Create a Payload and Listener 5) Mass Mailer Attack 6) Arduino-Based
Infectious Media Generator成功
天元喜羊羊的博客
06-29 1231
刚才失败了,然后我把BT5虚拟机回退到先前的一个snapshot,然后再次操作,就成功了: root@bt:~# cd /pentest/exploits/set/ root@bt:/pentest/exploits/set# ./set Copyright 2012, The Social-Engineer Toolkit (SET) by TrustedSec, LLC All righ
Infectious Media Generator失败
天元喜羊羊的博客
06-29 1285
操作如下: root@bt:/pentest/exploits/set# ./set 01011001011011110111010100100000011100 10011001010110000101101100011011000111 1001001000000110100001100001011101100
20169219 2016-2017-2《网络攻防》第八周作业
weixin_30807779的博客
04-21 174
实验报告 20169219 2016-2017-2 网络攻防实验环境的搭建 Kali漏洞利用之SET Social Engineering Toolkit(SET)是一个开源、Python驱动的社会工程学渗透测试工具。提供了非常丰富的攻击向量库。是开源的社会工程学利用套件,通常结合metasploit来使用 打开setoolkit界面如下 步骤: 一、命令行下输入setoolkit打开SET套件...
什么是社会工程学
南北极之间
07-06 3508
社会工程是指利用人类互动和情感操纵目标的各种攻击。在攻击过程中,受害者被愚弄,泄露敏感信息或损害安全性。社会工程攻击通常需要多个步骤。攻击者将研究潜在的受害者,收集有关他们的信息以及他们如何使用它们来绕过安全协议或获取信息。然后,攻击者会执行一些操作来获取目标的信任,然后最终操纵他们泄露敏感信息或违反安全策略。​ 在社会工程学的这个定义中,社会工程学攻击始于攻击者弄清楚他们希望从组织或个人那里得到什么。然后,他们研究人类目标的行为或好恶,以找出如何最好地利用它们。然后,黑客将执行攻击,试图访问敏感数据或受保
社会工程学攻击
Libra_Ng
10-24 4867
社会工程学定义 社会工程学攻击形式 收集敏感性息 根据搜索引擎对目标信息收集整理 根据微博信息或其他社交网络信息收集整理 根据踩点或调查所得到信息 根据网络钓鱼方式得到信息 根据目标信息管理缺陷得到信息 用户信息收集:GoogleHacking,Whois,指纹识别 网络钓鱼攻击(Phishing) 攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动,受骗者往往会泄露自己的...
什么是社会工程学
热门推荐
wangyuxiang946的博客
11-09 1万+
「作者主页」:士别三日wyx 社会工程学是一种攻击「行为」,攻击者利用人际关系的「互动」性发出攻击。         当攻击者无法通过物理的方法直接获取所需的资料时,就会通过「电子邮件」或者「电话」对所需的资料进行引导获取,再利用这些资料获取主机的权限以达到其本身的目的。         随着网络和通信技术的进步,骗术也在不断的更新,令人防不胜.
社会工程学攻击的实例化.pdf
08-07
” ----------摘自推特上的热门段子 社会工程学攻击伴随着APT攻击的持续走热,也变成了安全圈的热门词汇,而社会工程学个人认为并不是一门技术,大众所看到的玄之又玄的各种案例与奇技淫巧几乎是无法复制或者套用的...
社会工程学工具集
06-26
社会工程学工具包SET)是一个开源的、Python驱动的社会工程学渗透测试工具。这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准。SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误,...
社会工程学攻击与防范
01-05
梳理社工类攻击手法、手段以及对应的防范方法。 安全领域,识别风险方有机会解决风险,识别风险需要两大前提: 1. 安全基础知识 2. 安全意识与思维方式
Ice Wolf社会工程学讲课
03-30
Ice Wolf社会工程学讲课
selinux安全策略可以影响ntp的方式
最新发布
ALex_zry的博客
05-18 236
默认情况下,NTP使用UDP端口123进行通信,SELinux 策略需要允许NTP守护进程访问该端口。例如,可以创建一个策略,只允许受信任的NTP服务器与本地系统通信。:SELinux 提供了详细的日志和审计功能,可以帮助管理员监控和分析NTP守护进程的行为,以及检测任何潜在的安全问题。:SELinux 还可以限制NTP守护进程可以执行的操作,例如,是否可以打开套接字、是否可以读取或写入特定的设备等。:如果SELinux策略设置得太严格,可能会与NTP的正常操作发生冲突,导致NTP无法正常同步时间。
linux---进程通信
m0_74979625的博客
05-17 556
提示:以下是本篇文章正文内容,下面案例可供参考。
Linux动静态库
2301_80163789的博客
05-14 629
在程序翻译的链接阶段,其实就是把一堆.o文件链接在一起形成.exe文件。如果一个程序中需要链接很多个.o文件,那么这些.o文件就需要被打包才方便管理,**库文件本质就是把.o文件打包。**库文件是一种提高开发效率的手段。对于静态库,使用静态库形成可执行程序后,静态库被加载到了可执行程序的代码里,不需要让系统知道静态库在哪里;但对于动态库,由于动态库不加载到可执行程序里,而是动态加载到内存中,所以使用动态库要告诉系统动态库在哪(因为是系统来加载动态库)。动态库在编译时代码不会被复制到可执行文件中,而是。
操作系统 实验13 批处理操作接口3:引用与命令替换
m0_63093530的博客
05-14 155
结果:第一个和第三个命令是错的,第二个和第四个命令是对的。echo "这是命令替换形式1...$date1"echo "$sv ++++加上另一些字符!2、输出字符串“China's panda”命令:echo China\'s panda。6、将命令date执行结果赋予变量date1。7、将命令date执行结果赋予变量date2。1、输出字符串“$Dollar”命令:echo \$Dollar。命令:date2=$(date)命令:date1=`date`
学习社会工程学需要什么前置知识
02-15
学习社会工程学不需要特定的前置知识,但是有一些相关的知识和技能可以帮助您更好地理解和掌握社会工程学,包括: 1. 社会学知识:了解人类社会、群体行为和社会关系的基础知识,对理解社会工程学的基本原理和技巧...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值