当前位置: 移动技术网 > 网络运营>服务器>Linux > 荐 【kali linux】setoolkit社会工程学攻击

荐 【kali linux】setoolkit社会工程学攻击

2020年07月29日  | 移动技术网网络运营  | 我要评论

setoolkit是一个为社会工程设计的开源渗透测试框架。SET具有许多自定义攻击向量,可让您快速进行可信的攻击。

setoolkit 目录结构

modules
readme
README.md
requirements.txt
seautomate
seproxy
setoolkit
setup.py
seupdate
src

**setoolkit启动 **

通过./setoolkit启动。看到如下图形,启动成功。

在这里插入图片描述

在这里插入图片描述

默认会有如下选项

  1. Social-Engineering Attacks ##社会工程学攻击

  2. Penetration Testing (Fast-Track) ##快速追踪测试

  3. Third Party Modules ##第三方模块

  4. Update the Social-Engineer Toolkit ##升级软件

  5. Update SET configuration ##升级配置

  6. Help, Credits, and About ##帮助

  7. Exit the Social-Engineer Toolkit ##退出

这里制作个钓鱼网站为例子,选择1。

  1. Spear-Phishing Attack Vectors ## 鱼叉式网络钓鱼

  2. Website Attack Vectors ##网页攻击 钓鱼

  3. Infectious Media Generator ## 感染性性攻击,就是木马

  4. Create a Payload and Listener ##建立payloaad和listener

  5. Mass Mailer Attack ## 邮件群发攻击

  6. Arduino-Based Attack Vector ## Arduino基础攻击

  7. Wireless Access Point Attack Vector ##无线接入点攻击

  8. QRCode Generator Attack Vector ##二维码攻击

  9. Powershell Attack Vectors ##Powershell攻击

  10. Third Party Modules ##第三反模块

  11. Return back to the main menu.

选择2 网站攻击进行钓鱼。

  1. Java Applet Attack Method ## java程序攻击

  2. Metasploit Browser Exploit Method ##Metasploit 浏览器漏洞攻击

  3. Credential Harvester Attack Method ##钓鱼网站攻击

  4. Tabnabbing Attack Method

  5. Web Jacking Attack Method ## 网站jacking攻击

  6. Multi-Attack Web Method ## 多种网站攻击方式

  7. HTA Attack Method

  8. Return to Main Menu

选择3 钓鱼网站攻击。既然是网站钓鱼,就一定有网站的样式,这里是选择自己网站的样式,选择一个好的模板才能更好的社工。这里可以根据按照自己的喜欢自行选择。

  1. Web Templates ## web

  2. Site Cloner ## 网站克隆设置

  3. Custom Import ## 自定义导入

  4. Return to Webattack Menu

**这里只是演示,我选择1。**之后输入用户请求提交地址。我本地演示,输入我本地地址,用来获取用户信息。

set:webattack> IP address for the POST back in Harvester/Tabnabbing [192.168.31.188]:192.168.31.188

设置成功之后,默认带了3个模板供我们选择。这里我选择2 google的登录页面。

  1. Java Required
  2. Google
  3. Twitter

选择2之后,服务启动,如下说明访问当前地址80端口即可。

set:webattack> Select a template:2

[*] Cloning the website: http://www.google.com
[*] This could take a little bit...

The best way to use this attack is if username and password form fields are available. Regardless, this captures all POSTs on a website.
[*] The Social-Engineer Toolkit Credential Harvester Attack
[*] Credential Harvester is running on port 80
[*] Information will be displayed to you as it arrives below:

浏览器输入启动服务机器的ip+80端口;即可看到如下google登录页面。

在这里插入图片描述
在页面中试着输入账号密码,这里账号密码随意输入,对不对都行。之后点即 Sign in进行登录。随后控制台出现如下内容。

192.168.31.123 - - [25/Jul/2020 22:48:32] "GET / HTTP/1.1" 200 -
192.168.31.123 - - [25/Jul/2020 22:48:33] "GET /favicon.ico HTTP/1.1" 404 -
[*] WE GOT A HIT! Printing the output:
PARAM: GALX=SJLCkfgaqoM
PARAM: continue=https://accounts.google.com/o/oauth2/auth?
zt=ChR
PARAM: service=lso
PARAM: dsh=-73818871067
PARAM: _utf8=? 
PARAM: bgresponse=js_disab
PARAM: pstMsg=1
PARAM: dnConn=
PARAM: checkConnection=
PARAM: checkedDomains=youtube
POSSIBLE USERNAME FIELD FOUND: Email=123456
POSSIBLE PASSWORD FIELD FOUND: Passwd=654321
PARAM: signIn=Sign+in
PARAM: PersistentCookie=yes
[*] WHEN YOU'RE FINISHED, HIT CONTROL-C TO GENERATE A REPORT.

这里很清楚的发现,用户输入的Email为123456,密码是654321。

本文地址:https://blog.csdn.net/qq_30285985/article/details/107590718

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网