网安-入门钓鱼网站

最新推荐文章于 2024-05-02 19:40:00 发布
最新推荐文章于 2024-05-02 19:40:00 发布
阅读量929 收藏 22
点赞数 29
分类专栏: tjise-网安入门 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dkxkl1314/article/details/135593044
版权

本实验仅供学习参考,本人不承担任何法律责任。

实验环境:kali

实验目的:学习使用Kali社会工程学套件

1.Google

左上角kali图标,搜索set,选中social engineering toolkit(root)

可能会让你下载,按照提示就可

选择1,Social-Engineering Attacks(社会工程攻击)

1) Social-Engineering Attacks                     1) 社会工程攻击
2) Penetration Testing (Fast-Track)             2) 渗透测试(快速通道)
3) Third Party Modules                                 3) 第三方模块 
4) Update the Social-Engineer Toolkit        4) 更新社会工程师工具包
5) Update SET configuration                       5) 更新集配置  
6) Help, Credits, and About                         6) 帮助、学分和关于

99) Exit the Social-Engineer Toolkit           99)退出社会工程师工具包

选择2Website Attack Vectors(网站攻击媒介)

 1) Spear-Phishing Attack Vectors               1) 矛式网络钓鱼攻击向量
   2) Website Attack Vectors                            2) 网站攻击向量
   3) Infectious Media Generator                     3) 感染性媒介发生器
   4) Create a Payload and Listener                4) 创建有效负载和侦听器
   5) Mass Mailer Attack                                   5) 群发邮件攻击
   6) Arduino-Based Attack Vector                  6) 基于Arduino的攻击向量
   7) Wireless Access Point Attack Vector      7) 无线接入点攻击向量
   8) QRCode Generator Attack Vector            8) QRCode生成器攻击向量
   9) Powershell Attack Vectors                       9) Powershell攻击向量
  10) Third Party Modules                                10) 第三方模块

  99) Return back to the main menu.               99)返回主菜单。

选择3Credential Harvester Attack Method(登录验证机制攻击俗称表单提交攻击

 1) Java Applet Attack Method                        1) Java小程序攻击方法
   2) Metasploit Browser Exploit Method          2)Metasploit浏览器利用方法
   3) Credential Harvester Attack Method         3)凭证收割机攻击方法(钓鱼网站攻击)
   4) Tabnabbing Attack Method                        4)Tabnabbing攻击方法        
   5) Web Jacking Attack Method                      5)网页劫持攻击方法                    
   6) Multi-Attack Web Method                           6)多种网站攻击Web方法
   7) HTA Attack Method                                     7)HTA攻击方法

  99) Return to Main Menu                               99)返回主菜单

选择1,Web Templates(Web模板) 

1) Web Templates                                    1)Web模板
2) Site Cloner                                           2)网站克隆器
3) Custom Import                                    3)自定义导入

99) Return to Webattack Menu              99)返回Webattack菜单

“Web Templates”(web模块)是指利用SET中自带的模版作为钓鱼网站,SET中选择了几个国外比较有名的网站,如Yahoo、Gmail等。

“Site Clone”(网站克隆)是SET中一个极为强大的功能,可以克隆任何网站。你可以使用它模拟出想要冒充的网站,如某个单位的办公系统等。

“Custom Import”(自定义导入)允许你导入自己设计的网站。

这里默认输入kali ip地址,因为kali作为攻击机,相当于这个钓鱼网站的服务器是kali

这里以Google为例

搭建完毕,打开火狐,输入kali ip地址进入钓鱼网站验证,输入账号密码

返回终端查看,可以看两行红色红色字体,正是我们刚刚输入的账号密码,达到了钓鱼网站的目的

2.美团

前面步骤一样

选择2Site Cloner 网站克隆器),相当于我们冒充了这个网站

还是输入kali ip

这里我用的是美团登录界面,其他也可,可以自己去寻找

登录 | 美团网 (meituan.com)icon-default.png?t=N7T8https://passport.meituan.com/account/unitivelogin

登录后,看到响应码为200,代表成功,下方红色字体也有输入的账号密码,其中密码是经过加密的。

捞虾米
关注
  • 29
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Python3编写实用脚本程序-恶搞钓鱼网站.zip
05-23
Python3编写实用脚本程序——恶搞钓鱼网站.zip Python3编写实用脚本程序——恶搞钓鱼网站.zip Python3编写实用脚本程序——恶搞钓鱼网站.zip Python3编写实用脚本程序——恶搞钓鱼网站.zip Python3编写实用脚本程序...
小白入门练习题
m0_74210749的博客
11-19 282
入门的一些题目解析及思路
入门17-XSS(打Cookie)
m0_61499194的博客
02-27 538
来到这个实战网站,两个浏览器注册两个账号zyh666,和zyh999,由于同源策略,Edge和火狐登录同一URL不共享cookie。接下来开始攻击,假设这个钓鱼链接被zyh999点击,那么我们就收到了zyh999的Cookie!此时4个步骤以及完成了第一步,接下来的中间人可以选择一个云服务器,也可以用一个XSS平台。反射型也是一样的,在Edge中存好,用Chrome打开,弹的是两个不同的Cookie。查看代码选项,恶意JS选择第一条payload复制到网站的URL中,构造钓鱼链接。实战打Cookie成功。
学习入门必备——现代基础术语词典_中的换day是什么意思
2401_84253894的博客
05-02 534
踩点:指的是在访问任何络之前的信息收集,将收集到与目标络有关的信息全部累积起来,黑客入侵前采用的方法。(注:任何未授权的渗透、入侵都是违法行为,请在授权的情况下进行测试)信息收集可谓是非常关键,前期信息收集的足够多,后期在渗透的过程中就会有更多的思路去拓展踩点的技术:开源踩点、络枚举、扫描、协议栈指纹等等暴力攻击是指用不断的枚举去破解密码并获取系统和络资源的技术,需要较长的时间,非常典型的工具就是hydra(九头蛇)之前文章中有用过。
学习入门必备——现代基础术语词典_中的换day是什么意思(1)
2401_84297796的博客
04-27 716
表面上伪装成正常的程序,实则当程序运行后,黑客就会获取系统整个控制权限。比如灰鸽子木马。伪装成普通页文件,当有人访问时,页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马下载到访问者的电脑中运行。在别人的网站文件里放入页木马或将代码嵌入对方正常页文件中,使浏览者中马。功能比较强大的页后门,能够执行命令,链接到后台数据库,操作文件等等操作。比较简单的页后门,一般是用来上传保存大马而使用。(多个思路,渗透成功率更高)只有一段很短的页代码后门,可以用客户端去连接,以此对网站进行控制。
入门16-XSS(三种类型)
m0_61499194的博客
02-26 1131
XSS漏洞,全称跨站脚本攻击(Cross-Site Scripting),是代码注入的一种。它允许恶意用户将代码注入到页上,原理是攻击者将恶意代码注入到可信网站的页面中,当用户浏览该页面时,恶意代码就会被浏览器执行,从而达到攻击者的目的。盗取用户敏感信息,如Cookie、账号密码等;控制用户浏览器,进行钓鱼攻击、重定向等;篡改页内容,进行欺诈等。反射型XSS:攻击者将恶意代码通过URL参数、表单提交等方式注入到目标页中,当用户访问该页时,恶意代码就会被执行;存储型XSS。
入门】学习笔记(三)
雨山林稀的博客
07-24 588
钓鱼 钓鱼:是一种络欺诈行为,仿冒真实网站的地址及页面内容分,来骗取用户银行或信用卡账号、密码等私人资料 DNS欺骗:攻击者冒充域名服务器,将查询的IP地址设为攻击者的IP地址,用户只能看到攻击者的主页,并非想访问的主页 ARP欺骗:将攻击者作为被攻击者和访问络的中介 如何防治:了解DNS欺骗的工作原理 操作 【前两步在win server2003中进行,后面要用到win srv200...
HTB-蓝队入门(上)
合天网安学院
03-23 2930
HTB是大三时期一直想氪的一个平台,比较适合做一个方向上的深入学习。可惜大学生太穷了,只能工作后找个小伙伴AA,勉强付起这个昂贵的VIP。蓝队系列是我第一个开始学习(复习)的模块,需要好好记录下~也给想练HTB,但英语不好的同学一点帮助。
入门学习必备——现代基础术语词典
Y525698136的博客
03-10 206
专业术语千千万,看不懂真的会像门外汉(单押了)。今天文章就来为大家罗列一下行业常见术语。
7-Zip装教程(非常详细)从零基础入门到精通,看完这一篇就够了(附装包)
2401_84150302的博客
04-20 596
内容概要:包括 内、操作系统、协议、渗透测试、服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
76-钓鱼网站攻击与防御.pdf
03-15
76-钓鱼网站攻击与防御
GoFish:魔兽附加功能-点播垂钓和增强的垂钓声音
04-28
钓鱼ZH-点击投射式捕鱼和增强的捕鱼声音。 ZH-双击即可快速钓鱼,并提高钓鱼音效。 ES -Pescarrápidamentepor doble clic,和aumentar los sonidos de pesca。
校园钓鱼网站.zip
04-17
校园钓鱼网站是一种络诈骗手段,通过伪造校园官方网站或服务,诱骗学生输入个人信息,如用户名、密码、银行账户等。这类网站通常具有以下特点: 1. **伪装性**:网站外观与真实校园非常相似,难以辨识。 2. **...
35--[钓鱼].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码
04-17
35--[钓鱼].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码35--[钓鱼].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码35--[钓鱼].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码35--...
全风险里的威胁建模
最新发布
qq_41432686的博客
05-02 854
全的本质是攻防双方的对抗与博弈。然而,由于多种攻防之间的不对称性因素存在,使得攻击者总能在对抗过程中抢占先机。为了更好地了解潜在的威胁和缺陷,实现主动式防御,企业需要重新考虑他们的络防护方法,而威胁建模(Threat modeling)正是全武器库中关键防御武器。
全之密码学技术
缘友一世的博客
04-29 1382
在DES算法中,明文按64位进行分组(块),密钥长度也是64位,(事实上只有56位参与DES运算,第8、16、24、32、40、48、56、64位是校验位, 使DES的每个密钥都有奇数个1),分组后的每64位明文组(块)分别与56位密钥进行多轮置换(按位替代/交换),最后生成64位的密文组(块)。RSA密钥是(公钥+模值)、(私钥+模值)成组分发的,单独一个公钥或私钥是没有用处,所以所谓的“密钥”其实是它们两者中的一个。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。
全之弱口令与命令爆破(中篇)(技术进阶)
weixin_70911257的博客
04-28 907
弱口令就是容易被人们所能猜到的密码呗,例如:admin,123456,888等等简单的密码。这种针对验证码的爆破只是最简单的一种,还有其他的验证码类型,能爆破,但是有点难,等以后再出一篇看看吧,下篇的内容是token防爆破,防爆破口令绕过,word,加密的zip压缩文件,windows登录密码,mysql数据库登录密码,ssh登录密码的弱口令爆破。下个星期有空再写吧,这篇内容不全还有一个知识点没讲到(出了点问题解决了再加上来吧)。!
全思考题
weixin_62304542的博客
04-27 1380
全渗透思考题
学习笔记 1 ---- ms17-010 的复现
09-10
学习笔记中提到了复现ms17-010漏洞的方法。具体步骤如下: 1. 首先,需要获取目标服务器的IP地址和端口号。可以使用arp命令查看目标服务器的arp表来获取IP地址,如"arp -a"命令。 2. 下一步是获取目标服务器的shell访问权限。可以使用各种方法获取shell,比如通过钓鱼、漏洞利用等方式。具体方法可以根据目标服务器的情况来选择。 3. 一旦获得了目标服务器的shell访问权限,就可以开始复现ms17-010漏洞了。该漏洞是指Windows操作系统中的一个远程代码执行漏洞,可以通过发送特制的SMBv1请求来实现。具体的复现步骤可以参考学习笔记中提供的详细说明。 4. 在复现ms17-010漏洞之后,可以尝试进行服务器提权操作。提权是指获取目标服务器更高权限的操作,可以使用各种方法和工具来实现。具体的服务器提权方法可以根据目标服务器的操作系统和环境来选择。 请注意,复现ms17-010漏洞是为了学习和研究全性,应在合法的环境和授权下进行。未经授权的测试和攻击是违法行为,会对他人造成损害和法律责任。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

捞虾米

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值