社会工程学工具
社会工程学的概念
是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。总体上来说,社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径,但它不能帮助你掌握人们在非正常意识以外的行为,且学习与运用这门学问一点也不容易。
Kali Linux 2中的社会工程学工具包
1、社会工程学(SET)启动的二种方法:
(1)菜单里:
(2)命令行:
在控制面板输入setoolkit即可
2、社会工程学(SET)的主菜单:
(1)Social-Engineering Attacks(社会工程学攻击)
(2)Penetration Testing (Fast-Track)(渗透测试)
(3)Third Party Modules(第三方模块)
(4)Update the Social-Engineer Toolkit(升级软件)
(5)Update SET configuration(升级SET配置)
(6)Help, Credits, and About(帮助)
(99)Exit the Social-Engineer Toolkit(退出)
3、“社会工程学攻击”菜单
(1)Spear-Phishing Attack Vectors(鱼叉式钓鱼攻击向量)
(2)Website Attack Vectors(网站攻击向量)
(3)Infectious Media Generator(媒介感染攻击)
(4)Create a Payload and Listener (创建Payload和Listener)
(5)Mass Mailer Attack(海量邮件攻击)
(6)Arduino-Based Attack Vector (基于Arduino的攻击向量)
(7)Wireless Access Point Attack Vector(无线热点攻击向量)
(8)QRCode Generator Attack Vectors(二维码攻击向量)
(9)Powershell Attack Vector(powershell 攻击向量)
(10)Third Party Modules(第三方模块)
(99)Return back to the main menu(返回主菜单)
使用社会工程学工具包进行用户名和密码的窃取
测试目标单位的用户是否会严格遵守管理协议,是否对来历不明的地址做了充分防御。
菜单: Social-Engineering Attacks / Website Attack Vectors/Credential Harvester Attack Method
实验环境:填写如下IP地址
Kali 2主机IP: 192.168.17.136
靶机(32位Windows7)的IP: 192.168.17.135
信用盗取攻击方法
(注:以下各步骤,将结果截图并作必要的说明)
1、选择:Social-Engineering Attacks(社会工程学攻击)-- Website Attack Vectors(网站攻击向量)–Credential Harvester Attack Method(信用盗取攻击方法)
2、选择创建伪造网站的方式
常见3种方式:
Web Templates(网站模块)
Site Cloner(网站克隆)---- 选择这种方式!
Custom Import(自定义导入)
3、输入用来接收窃取到的用户名和密码的IP地址
(Kali本机)
4、输入一个用来克隆的网址
(IBM的测试网站:http://www.testfire.net/bank/login.aspx)
结果:成功启动了伪造好的网站服务器
5、在靶机(32位Windows7)中访问这个伪造的网站
#(1)输入Kali的IP
(2)填写用户名和密码(靶机)
(填写用户名和密码之后,单击“Login”提交)
(3)查看浏览器是否跳转?
6、返回Kali虚拟机,出现新信息
总结
社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗等危害手段取得自身利益的手法,是通过研究受害者心理,并以此诱使受害者做出配合,从而达到自身目的的方法。