使用Social-Engineer-Toolkit生成钓鱼网站

  • 前言
  • 工具使用
  • 其他

一. 前言

1. 钓鱼网站

钓鱼网站通常指伪装成目标网站,窃取用户提交的帐号、密码等私密信息的网站。“钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。

2. 社会工程学

社会工程学(Social Engineering)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。

3. Social-Engineering-Toolkit

Social Engineer Toolkit(SET)工具在一个接口囊括了许多有用的社会工程学攻击。SET的主要目的是自动化并改进社会工程学攻击。它能够自动生成隐藏了EXP的 网页或电子邮件消息,同时还能使用Metasploit的payload,例如网页一旦被打开便会连接shell。


二. 工具使用

1. 生成钓鱼页面

在kali Linux中,选择应用程序-Social Engineering Tools-Social-Engineering-Toolkit,打开程序

1) Social-Engineering Attacks(社工工程学攻击)

2) Penetration Testing (Fast-Track)(快速追踪测试)

3) Third Party Modules(第三模块)

4) Update the Social-Engineer Toolkit(升级)

5) Update SET configuration(升级配置)

6) Help, Credits, and About(帮助)

选择1)Social-Engineering Attacks,进入下一级菜单


1) Spear-Phishing Attack Vectors(鱼叉式网络钓鱼攻击)

2) Website Attack Vectors(网页攻击)

3) Infectious Media Generator(传染媒介产生器—木马)

4) Create a Payload and Listener(建立pay和监听器)

5) Mass Mailer Attack(邮件群发攻击)

6) Arduino-Based Attack Vector(基于Arduino攻击方式)

7) Wireless Access Point Attack Vector(无线接入攻击)

8) QRCode Generator Attack Vector(二维码攻击)

9) Powershell Attack Vectors(powershell攻击)

10) SMS Spoofing Attack Vector(SMS欺骗攻击)

11) Third Party Modules(第三模块)

选择2)Website Attack Vectors,进入下一级菜单


1) Java Applet Attack Method (java applet小程序攻击)

2) Metasploit Browser Exploit Method(MSF 浏览器攻击)

3) Credential Harvester Attack Method(钓鱼网站攻击)

4) Tabnabbing Attack Method(标签钓鱼攻击)

5) Web Jacking Attack Method(网站Jacking 攻击)

6) Multi-Attack Web Method(多站点攻击)

7) Full Screen Attack Method(全屏幕攻击)

8) HTA Attack Method(HTA攻击)

选择3) Credential Harvester Attack Method,进入下一级菜单


1) Web Templates (网站模板)

2) Site Cloner (网站克隆)

3) Custom Import (自定义)

选择1) Web Templates,进入下一级菜单


输入本机IP,进入下一级

选择2) Google,生成谷歌登录页面

按下回车,便开始监听

2. 测试钓鱼页面

Social-Engineering-Toolkit生成完成钓鱼页面并开始监听后,我们从靶机访问钓鱼页面。

在输入完用户名密码后登录,Social-Engineering-Toolkit会显示收到的用户名和密码


三. 其他

以上便是使用Social-Engineering-Toolkit生成钓鱼页面并获取用户信息的全过程。除了使用内置的网站模板外,还可以复制其他网站进行钓鱼。除此之外,我们可以配合Ettercap进行DNS欺骗,增加钓鱼网站的真实性。

本次实验为简单的测试,在实际使用中还需要考虑使用HTTPS协议、跨域访问等种种问题。

Social-Engineering-Toolkit还有许多更为强大的功能,需要慢慢学习。



-------------本文结束感谢您的阅读-------------

本文标题:使用Social-Engineer-Toolkit生成钓鱼网站

文章作者:J2ck7a1 Ch33

发布时间:2019年03月31日 - 10:03

最后更新:2019年03月31日 - 14:03

原始链接:http://yoursite.com/Social-engineer-toolkit/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。


想喝快乐水