社会工程学实战
1.网页劫持
网页劫持是SET 0.7版本中的一项新功能,它允许你创建一个克隆网站,然后通过一个声称网站已经被转移至其他地方的链接展视给目标用户。当用户将鼠标放在该链接的时候。显示的是正常的URL,而不是攻击者所设定的URL,然而当他点击该URL的时候,网页迅速被事先设定好的恶意Web服务器所代替。
2.凭据收集
所谓凭据,指的就是用户名和密码。SET克隆网站的登陆界面,同时自动重写POST方法,先把信息POST到SET设置的网页服务器上进行窃取,而后再重定向到合法网站上。
3.实验过程
3.1 启动setoolkit
3.2 选择social-engineer attacks
3.3 选择website attack vectors
3.4 选择web jacking attack method
3.5 选择site cloner
3.6 输入本地监听地址(即网站被克隆到这个IP主机上)
3.7 输入克隆的网址
3.8 用户访问克隆页面,看到如图所示的链接,注意到左下角显示的是合法URL
3.9 点击网址跳转到克隆页面,用户输入用户名和密码
3.10 点击登陆,跳转到合法网站,拿到用户敏感信息
4.注意事项
每次实验完重新实验的时候使用以下命令清除生成的文件,否则报莫名其妙的错