介绍:本文是展示在Kali中通过使用SET工具包进行社会工程学攻击的流程,工具详细教程可在Sangfor学习平台获取临时免费课程进行学习。
挂个链接:深信服产业教育中心
攻击对象:人
通过诱导,说服,恐吓等方式使他人为自身提供服务或便利。导致员工泄露内部账号等重要信息,最终出现安全事件。
SET(Social Engineerling Tools,一个基于python开发的开源的社会工程学渗透工具)工具包介绍。
1.启动方式
①
②在管理员权限终端下输入setoolkit
启动后界面如下:
2.SET菜单项说明
①Social Engineerling Attacks:社会工程学攻击
②Penetration Testing(Fast-Track):快速追踪渗透测试
③Third Party Modules :第三方模块
④Update the Social-Engineer Toolkit:更新SET
⑤Update SET configuration:更新SET配置(每次设置完set.config后需要)
⑥Help,Credits,and About:SET使用帮助及相关信息
3.常用案例
(1)建立钓鱼网站收集目标信息/凭证
①在kali管理员权限终端输入setoolist命令,开启SET
②选择菜单第一项
输入“1”回车后显示界面如下:
③继续选择上面菜单第二项 Website Attack Vectors(网站攻击向量)
输入“2”后回车显示界面如下:
④继续选择上面菜单第三项 Credential Harvester Attack Method(凭证收集攻击方法)
输入“3”后回车显示界面如下:
⑤继续选择上面菜单第一项 Web Templates(网站模板)
输入“1”后回车显示界面如下:
⑥设置凭证收集器(攻击机)的IP地址
输入IP地址后回车显示界面如下:
⑦选择第二项 Google(Google网站模板)
输入“2”后回车显示界面如下:
⑧使用windows系统电脑模拟受害机登录Google网站,输入钓鱼网址访问并输入账号和密码登录,可以看到攻击机在SET界面成功获取到目标的账号和登录密码信息
(2)二维码攻击
①在kali管理员权限终端输入setoolkit命令,开启SET
②选择菜单第一项
输入“1”回车后显示界面如下:
③选择第八项 QRCode Generator Attack Vector(二维码生成攻击)
输入“8"后回车显示界面如下:
④设置二维码对应的网站URL(例如www.baidu.com),设置完成后会在攻击机本地/root/.set/reports/路径下生成一张二维码图片qrcode_attack.png
⑤查看二维码——在kali管理员权限终端命令行上
输入xdg-open /root/.set/reports/qrcode_attack.png
回车后会弹出以下类似界面:
⑥手机扫描二维码之后会出现以下界面:
微信扫描结果
浏览器扫描结果
总结:常用案例的1和2可以结合起来做一个二维码扫描出地址然后访问的钓鱼网站,这个是最基础的一个思路,后续有其他作用或意义再做补充。
4753
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
