使用Social-Engineer-Toolkit生成钓鱼网站

前言

工具使用

其他

一. 前言

1. 钓鱼网站

钓鱼网站通常指伪装成目标网站，窃取用户提交的帐号、密码等私密信息的网站。“钓鱼”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。

2. 社会工程学

社会工程学（Social Engineering）在上世纪60年代左右作为正式的学科出现，广义社会工程学的定义是：建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。你们可能永远都想象不到，对于黑客们来说，通过一个用户名、一串数字、一串英文代码，社会工程师就可以通过这么几条的线索，通过社工攻击手段，加以筛选、整理，就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼，而且还是最麻烦的方法。一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学黑客技术。

Social Engineer Toolkit(SET)工具在一个接口囊括了许多有用的社会工程学攻击。SET的主要目的是自动化并改进社会工程学攻击。它能够自动生成隐藏了EXP的网页或电子邮件消息，同时还能使用Metasploit的payload，例如网页一旦被打开便会连接shell。

二. 工具使用

1. 生成钓鱼页面

在kali Linux中，选择应用程序-Social Engineering Tools-Social-Engineering-Toolkit，打开程序

1) Social-Engineering Attacks(社工工程学攻击)

2) Penetration Testing (Fast-Track)（快速追踪测试）

3) Third Party Modules（第三模块）

4) Update the Social-Engineer Toolkit（升级）

5) Update SET configuration（升级配置）

6) Help, Credits, and About（帮助）

选择1)Social-Engineering Attacks，进入下一级菜单

1) Spear-Phishing Attack Vectors(鱼叉式网络钓鱼攻击)

2) Website Attack Vectors（网页攻击）

3) Infectious Media Generator（传染媒介产生器—木马）

4) Create a Payload and Listener（建立pay和监听器）

5) Mass Mailer Attack（邮件群发攻击）

6) Arduino-Based Attack Vector（基于Arduino攻击方式）

7) Wireless Access Point Attack Vector（无线接入攻击）

8) QRCode Generator Attack Vector（二维码攻击）

9) Powershell Attack Vectors（powershell攻击）

10) SMS Spoofing Attack Vector（SMS欺骗攻击）

11) Third Party Modules（第三模块）

选择2)Website Attack Vectors，进入下一级菜单

1) Java Applet Attack Method （java applet小程序攻击）

2) Metasploit Browser Exploit Method（MSF 浏览器攻击）

3) Credential Harvester Attack Method（钓鱼网站攻击）

4) Tabnabbing Attack Method（标签钓鱼攻击）

5) Web Jacking Attack Method（网站Jacking 攻击）

6) Multi-Attack Web Method（多站点攻击）

7) Full Screen Attack Method（全屏幕攻击）

8) HTA Attack Method（HTA攻击）

选择3) Credential Harvester Attack Method，进入下一级菜单