1、针对性钓鱼攻击向量
1)启动社会工程学
2)选择社会工程学(1)
3)选择攻击类型,这里选择钓鱼攻击向量(1)
输出信息中显示了钓鱼攻击向量的可用工具载荷
4)这里选择电子邮件攻击(1)
输出的信息显示了钓鱼向量中可以使用的文件格式,默认是PDF格式
5)这里利用的是Abobe PDF的Collab.collectEmaillnfo漏洞,所以选择编号8
输出信息显示了攻击的方式
6)这里选择第二个模块
攻击载荷创建完成,询问是否要重命名文件
7)使用默认文件(1)
输出信息显示了邮件攻击的方式
8)这里选择单一的邮件地址进行攻击(1)
输出信息提示是否要使用一个预定义的模块,SET允许攻击者创建不同的模板,并且在使用时支持动态导入
9)这里使用预定义的模板(1)
输出信息显示了所有可用的模块
10)这里使用预定义的Status Report(4)
输出信息显示了给目标主机发送地址的方法
11)这里选择使用gmail账号(由于没有gmail账号无法演示 )
12)询问是否设置监听,yes
SET启动metasploit时,它已经设置了所有必需的选项,将开始处理攻击主机反向连接到443端口,使用电子邮件将前面创建的pdf文件发送给目标,当用户打开之后,目的主机立即被控制,session可以查看会话详情,session -i 1激活会话,shell登录目标主机的shell
2、web攻击向量
1)、启动社会工程学
2)、选择社会工程学攻击(1)
3)、选择web攻击向量(2)
输出信息显示了web攻击向量中,可使用的攻击方法列表
4)、这里选择java applet方法(1)
输出信息显示了java applet攻击的菜单列表,
1:社会工程学创建一个网页
2:复制一个已经存在的网站做模板,来攻击网页
5)、这里选择复制网站(2)
输出信息显示了可用的攻击模板
6)、这里选择Windows Meterpreter Reverse TCP模块
输出信息是攻击主机的相关配置
7)、在目标主机上访问主机
本应该创建会话,但由于可能浏览器检测到不是安全连接所以会话关闭…
使用SET实施攻击
最新推荐文章于 2022-10-02 21:17:22 发布