SET最常用的攻击方法有:用恶意附件对目标进行 E-mail 钓鱼攻击、Java Applet攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击手段。
环境说明
- Kali Linux 攻击机
- Windows 11 物理机
本文目的
本文将演示如何借助 SET+MSF 渗透工具对 Win 11 靶机进行网络钓鱼(欺骗用户的账号密码)。
钓鱼网站
借助 SET 工具构建钓鱼网站,并窃取用户的账号密码。
打开set
下面所演示钓鱼网站只适用于不要进行动态验证的网站,例如本人目前就读大学所用的教务系统等只需要账户密码的静态验证。此处以学习通后台登入为例
- 1、在使用 SET 前,检查并更新其版本:
- 2、在终端输入 setoolkit开始运行 SET:
3、然后选择第2项——网站攻击模块:
Spear-Phishing Attack Vectors:鱼叉式钓鱼攻击
Website Attack Vectors:网站攻击模块
Infectious Media Generator:介质感染攻击
Create a Payload and Listener:创建攻击载荷和监听
Mass Mailer Attack:群发邮件攻击
Arduino-Based Attack Vector:基于Arduino攻击
Wireless Access Point Attack Vector:无线接入点攻击
QRCode Generator Attack Vector:二维码攻击
Powershell Attack Vectors:powershell攻击模块
Third Party Modules:第三方攻击模块
- 4、接着下选择第3项——凭证收集攻击:
Java Applet Attack Method:JAVA Applet攻击方法
Metasploit Browser Exploit Method:Metasploit浏览器利用方法
Credential Harvester Attack Method:凭证收集器攻击方法
Tabnabbing Attack Method:Tabnabbing攻击法
Web Jacking Attack Method:WebJacking攻击法
Multi-Attack Web Method:多种Web攻击组合法
HTA Attack Method:HTA攻击方法
5、选择第2项——站点克隆:监听设为本机,将学习通登入界面网站网址输入
Web Templates:Web模板
Site Cloner:站点克隆
Custom Import:模板导入
发现克隆的界面(本机ip在浏览器打开)(写的时候这张图当时忘记保存了,临时用了其他一台虚拟机kali,ip不同,其他一致)
默认80端口,需要关闭apache服务避免冲突
6、在物理机 Win 11上面访问 Kali 的IP地址:
输入账号和密码
7、返回Kali:
可以看到成功收集到刚才输入的账号和密码,攻击成功:
注:本次实验只在局域网内访问钓鱼网站成功,可以自行研究部署网站到服务器以实现访问,本文所涉及到的内容仅用于自行学习研究,任何人在利用本文相关内容时,所造成的相关违法行为引起的法律纠纷问题,本人概不负责