SET社会工程学攻击

最新推荐文章于 2024-04-21 21:05:01 发布
最新推荐文章于 2024-04-21 21:05:01 发布
阅读量1.1k 收藏 12
点赞数
分类专栏: 渗透测试 文章标签: SET
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/120683673
版权

目录

总结了网上关于SET的相关文章,合并成了这篇学习笔记

Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET),它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准。

SET框架结构

  1. Social-Engineering Attacks #社会工程攻击
  2. Penetration Testing (Fast-Track) #渗透测试(快速通道)
  3. Third Party Modules #第三方模块
  4. Update the Social-Engineer Toolkit #更新社会工程师工具包
  5. Update SET configuration #更新SET配置
  6. Help, Credits, and About #帮助,学分和关于
  7. Exit the Social-Engineer Toolkit #退出社会工程师工具包

钓鱼网站(1-2-3)

在SET的选项种,依次输入1、2、3进入到钓鱼网站模块中
网络环境:

win10物理机192.168.43.90
kali192.168.239.141
win7192.168.239.132

注意:实验的时候,每完成一次实验,请完全退出SET;浏览器也使用无痕模式,避免影响实验效果

默认模板(1-2-3-1)

默认模板中提供了3种模板,分别是:

  • Java Required
  • Google
  • Twitter

所以,这种攻击手法的思路就是创建了一个类似的网站,诱骗受害者输入账密

  1. 在kali中输入sudo setoolkit启动工具
  2. 依次输入1、2、3、1,进入到默认模板功能项
  3. 接着需要设置用于钓鱼的IP地址(此处默认Kali本机IP,同时会默认设定80端口)
    1. 输入ss -antplu | grep 80检查到80端口没有被占用
    2. 如果占用的话(一般是apache占用),执行命令systemctl stop apache2关闭Apache服务

在这里插入图片描述

  1. 选择钓鱼的网站(下面选择谷歌登录)
  2. win10(受害者)访问kali的ip地址(会看到长着Google样子的钓鱼网站)
  3. win10(受害者)输入账密,登录后会进行跳转到谷歌官网,即:google.com

在这里插入图片描述

  1. kali捕获到刚才win10输入的账号和密码,攻击成功

在这里插入图片描述

站点克隆(1-2-3-2)

除了选择 SET 自带的三个登录站点的模板外,SET 也允许攻击者自己选择站点进行克隆,伪造钓鱼网站。

  1. 在kali中输入sudo setoolkit启动工具
  2. 依次输入1、2、3、2,进入到站点克隆
  3. 接着需要设置用于钓鱼的IP地址(此处默认Kali本机IP,同时会默认设定80端口)
    1. 输入ss -antplu | grep 80检查到80端口没有被占用
    2. 如果占用的话(一般是apache占用),执行命令systemctl stop apache2关闭Apache服务
  4. 克隆你需要的一个站点

这里我使用inurl:login随便在网上搜一个登录窗口,作为实验演示

  1. 接着将监听的地址设为本机IP(直接 Enter 键默认也行),然后将克隆的网站地址设置为某网站的登录页面,即可成功克隆并进入监听状态:
    在这里插入图片描述

  2. win10(受害者)访问kali的地址

在这里插入图片描述

  1. kali捕获到刚才win10输入的账号和密码,攻击成功

在这里插入图片描述

二维码(1-8)

其实有点无聊,所谓二维码攻击就是把一个URL地址转换为一个二维码,网上有很多在线平台(如草料二维码等)可以帮助我们生成各式各样的二维码。所以这里不打推荐SET工具。

  1. 在kali中输入sudo setoolkit启动工具
  2. 依次输入1、8,进入到默认模板功能项
  3. 输入某网站的地址,获得相关二维码文件

在这里插入图片描述

  1. 查看二维码

在这里插入图片描述

  1. 手机扫描一下,打开了相关网站

在这里插入图片描述

远控木马(1-4)

小声bb🍉:这个东西,其实Msfvenom做的话,更合适一点。参见Msfvenom生成各类载荷文件

  1. 在kali中输入sudo setoolkit启动工具
  2. 依次输入1、4,进入到默认模板功能项
  3. payload类型,这里选择2
  4. 之后设置监听主机的IP和端口。这里一般设置为kali的ip和一个自定义端口
  5. 然后开启监听,SET会把刚才设置的IP和端口传递给MSF

在这里插入图片描述

MSF自己启动了
在这里插入图片描述

  1. 把木马丢到受害者win7上面,运行程序
  2. 收获战果

在这里插入图片描述

参考

社会工程学工具social engineering toolkit渗透测试
Kali渗透-DNS域名劫持与钓鱼
Kali Linux-SET社会工程学攻击

lainwith
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
社会工程学工具集
06-26
社会工程学工具包(SET)是一个开源的、Python驱动的社会工程学渗透测试工具。这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准。SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身存在的弱点。使用SET可以传递攻击载荷到目标系统,收集目标系统数据,创建持久后门,进行中间人攻击等。本节将介绍社会工程学工具包的使用。这是主要讲解【set社会工程学工具包的使用
SET社会工程学攻击方法
dahe
01-05 1199
1.鱼叉式钓鱼攻击(Sperar-Phishing Attack) 2.网站攻击(Website Attrack) 3.介质感染攻击(Infecious Media Generator) 4.群发邮件攻击(Mass Mailer Attack) 5.基于Arduino的攻击(Arduino-Based Attack) 6.短信欺骗攻击(SMS Spoofing Attack) 7.无线接入点攻击(Wireless Access Point Attack) 8.二维码攻击(QRCode Gene
社会工程学工具
最新发布
2301_78256239的博客
04-21 935
是一个让我把书本上的理论知识运用于实践中的好机会,原先,学的时候感叹学的资料太难懂,此刻想来,有些其实并不难,关键在于理解。首先,它锻炼了我做项目的本事,提高了独立思考问题、自我动手操作的本事,在工作的过程中,复习了以前学习过的知识,并掌握了一些应用知识的技巧等。如上这种渗透测试执行时,会产生两个文件,一个是autorun.inf文件,另一个是Metasploit的攻击载荷文件,即payload.exe文件。当这个移动媒介(如U盘)插入计算机上时,autorun.inf文件就会自动执行另一个攻击模块。
社工利器--setoolkit之钓鱼攻击
Aisen_bear的博客
08-04 2175
该文章仅供参考学习,切勿用于非法用途 简介 社会工程学(Social Engineering)认为人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的
MetaSploit攻击实例讲解------社会工程学set攻击(kali linux 2016.2(rolling))(详细)...
weixin_33725722的博客
05-22 759
           不多说,直接上干货!     首先,如果你是用的BT5,则set的配置文件是在 /pentest/exploits/set/set_config下。 APACHE_SERVER=ONSELF_SIGNED_APPLEF=ONAUTO_DETECT=ON       如果,你也是跟我一样,使用的是kali linux 2016.2(rolling),...
渗透测试 ( 9 ) --- 社会工程攻击工具 setoolkit
墨鱼菜鸡
07-11 1929
github 地址:https://github.com/trustedsec/social-engineer-toolkit kali工具 -- setoolkit(克隆网站及利用):https://blog.csdn.net/weixin_41489908/article/details/103851057 1、社会工程学概念 社会工程学通常以...
网络攻击与防御-第七章 社会工程学.pptx
06-29
社会工程学攻击包括各种形式,如鱼叉式攻击、欺骗攻击、网络钓鱼攻击等。这些攻击方式都基于对人性的分析和理解,而不是基于对机器或编码的理解。 在社会工程学攻击中,攻击者通常会使用各种技巧来欺骗受害者,例如...
CIW-01(物理攻击社会工程学攻击
11-11
CIW-01(物理攻击社会工程学攻击、网络嗅探 、ARP、DNS欺骗原理及防护方法)
社会工程学及使用案例讲解
12-29
攻击实例讲解3-社会工程学set攻击.rar
social-engineering-toolkit-installer:社会工程工具包安装程序
04-30
社会工程学在信息技术领域中是一个独特的研究领域,它主要涉及通过心理学、欺诈和信息收集技巧来获取敏感信息。在这个领域中,Social Engineering ToolkitSET)是一个不可或缺的工具,它由Python编程语言构建,为...
使用SET实施攻击
qq_44111753的博客
12-13 540
1、针对性钓鱼攻击向量 1)启动社会工程学 2)选择社会工程学(1) 3)选择攻击类型,这里选择钓鱼攻击向量(1) 输出信息中显示了钓鱼攻击向量的可用工具载荷 4)这里选择电子邮件攻击(1) 输出的信息显示了钓鱼向量中可以使用的文件格式,默认是PDF格式 5)这里利用的是Abobe PDF的Collab.collectEmaillnfo漏洞,所以选择编号8 输出信息显示了攻击的方式 6)这里选择第二个模块 攻击载荷创建完成,询问是否要重命名文件 7)使用默认文件(1) 输出信息显示了邮件攻击的方式
黑客社会工程学攻防演练
09-03
黑客社会工程学攻防演练挥泪大甩卖,走过路过不要错过
社会工程学工具 SET 伪造网站
xujing19920814的博客
10-02 1695
社会工程学工具 SET 伪造网站
利用社会工程学SET进行口令破解
robacco的博客
09-23 355
一、概述 本次实验是实际上是利用kali自带的社会工程学工具(Social-Engineering Toolkit)制作钓鱼网站,原理是攻击者通过伪造虚假网页,并将通过链接方式发送给网站用户,当用户点开和原网站高度逼真的网页并输入自己的口令时(如用户名、密码等),攻击者则可以在后台取得这些用户的口令。 二、实验过程 1、进入SET 2、选择1 Web Site Attack Vecto...
kali linux渗透测试(一) --- set社工攻击
AI.PLAY
01-11 6684
平台:kali linux 环境:VMware 虚拟机 选择1,社工攻击 之后等待用户被诱导,并逆向连接到我的PC监听端口 对方PC提醒更新java 在控制面板中打开JAVA,添加例外站点列表 再次用浏览器登录攻击地址。 顺利拿下对方PC 开始进行meterpreter 使用screenshot命令,获取对方屏幕
Metasploit之——社会工程学工具包
冰河的专栏
01-27 6111
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/86669682 社会工程学工具包(Social Engineering Toolkit, SET)是一套基于Python语言的工具集合,主要面向对人进行的渗透测试。使用SET可以实现多种攻击,比如:网络钓鱼攻击、网页劫持攻击、格式文件攻击等。 这里,我们同样以一个实际案例来进行...
【kali-权限提升】(4.2.1)社会工程学工具包(上):web钓鱼模块
08-07 486
社会工程学工具包】web钓鱼模块
Kali Linux-SET社会工程学攻击
热门推荐
道阻且长,行则将至。
12-26 1万+
前言 社会工程攻击,是一种利用“社会工程学” (Social Engineering)来实施的网络攻击行为。比如免费下载的软件中捆绑了流氓软件、免费音乐中包含病毒、钓鱼网站、垃圾电子邮件中包括间谍软件等,都是近来社会工程学的代表应用。 Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET),它是一个基于Python的开源的社会工程学渗透...
kali手机短信攻击
02-02
Kali Linux是一款流行的渗透测试和安全评估操作系统,它提供了各种工具和功能来测试网络的安全性。在Kali Linux中,有一些工具可以用于手机短信攻击,其中最常用的是Social Engineering ToolkitSET)和Metasploit。 1. Social Engineering ToolkitSET):SET是一个开源的渗透测试框架,它包含了多种社会工程学攻击向量,包括针对手机短信的攻击。使用SET,你可以发送钓鱼短信、欺骗用户点击恶意链接或下载恶意文件等。 2. Metasploit:Metasploit是一个广泛使用的渗透测试框架,它提供了多种攻击模块和工具。在Metasploit中,你可以使用Payloads来创建恶意应用程序,然后通过发送短信诱使目标用户安装该应用程序。一旦应用程序被安装,攻击者就可以获得对目标设备的控制权。 需要注意的是,进行手机短信攻击是非法的,并且侵犯了他人的隐私和安全。我强烈建议您只在合法授权和合规的情况下使用这些工具和技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值