一、声明
严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。
首先声明一下内容均作为本人学习时的练习测试,所有的测试均在本人的虚拟环境中进行,并且网络连接方式为NAT模式,公网无法访问本次内容网站。
SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身存在的弱点,下面我就仅对于钓鱼网站的知识部分进行讲解。
二、钓鱼网站
钓鱼网站主要是利用用户的防范心不强,安全意识不足,制作出到的一个能非法获取用户账号和口令的一个虚拟网站。下面来讲讲钓鱼网站的制作原理和过程。【钓鱼网站仅仅限于静态网页】
1.输入setoolkit打开社会工程学工具
2.选择1—社会工程学攻击
3.选择2—网络攻击模块
4.选择3----凭证收集攻击
5.选择第2项——Web克隆
6.输入虚拟机的IP,并且在克隆网址那里输入需要克隆的URL
在虚拟机输入本机的IP,即打开钓鱼网站,输入自己的账号和密码,点击登录。
在Kali上就可以看到用户对于页面的操作信息,找到登录的那一项,可发现自己的账号和密码。发现密码是经过前端加密的(明显的64),不是明文,当然了作为一名Ctfer,如果连这都看不出来可以申请退出了。
类似这种利用人们心理的攻击方法有很多,还有二维码等等,所以大家一定一定不要随意访问陌生的二维码和不知名的网站,尤其是在涉及账户密码的时候一定要注意观察PC端的网站是否异常,如果连续点击几次都无法进入就要更加关注网页的来源是正规,希望大家能提高防范意识,不给诈骗人员可乘之机。
862
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
