十Setoolkit制作钓鱼站点

Posted 2021-03-05 thespace

什么是社会工程学

社会工程学（Social Engineering）认为人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。你们可能永远都想象不到，对于黑客们来说，通过一个用户名、一串数字、一串英文代码，社会工程师就可以通过这么几条的线索，通过社工攻击手段，加以筛选、整理，就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼，而且还是最麻烦的方法。一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学黑客技术。

开始攻击

启动setoolkit

终端执行setoolkit即可启动，效果如下：

先来看看菜单

 

 Select from the menu:

   1) Social-Engineering Attacks （社会工程攻击）
   2) Penetration Testing (Fast-Track) （渗透测试（快速通道））
   3) Third Party Modules（第三方模块）
   4) Update the Social-Engineer Toolkit（更新社会工程师工具包）
   5) Update SET configuration（更新集配置）
   6) Help, Credits, and About
  99) Exit the Social-Engineer Toolkit

我们选择1进入社会工程学攻击模块
界面菜单如下：

菜单翻译如下：
1）鱼叉式网络钓鱼攻击载体

2）网站攻击向量

3）传染源

4）创建负载和侦听器

5）群发邮件攻击

6）基于Arduino的攻击向量

7）无线接入点攻击向量

8）qrcode生成器攻击向量

9）powershell攻击向量

10）第三方模块
我们选择2Website Attack Vectors

请输入图片描述
再次选择3 
菜单如下
  1) Web Templates （自带模板攻击）
  2) Site Cloner （克隆网站）
  3) Custom Import （导入项目）

我们先来测试下`1`

要求输入ip地址（kali的ip地址）

请输入图片描述
输入后回车，选择系统默认的几个模板，这里我们选择google的模板
请输入图片描述
回车后我们用浏览器访问我们kali的ip地址
请输入图片描述
当我们输入密码登录后，在kali的终端中就可以看到刚才输入的账号和密码。
请输入图片描述

基于克隆网站的攻击

正如上述，google账号在国内还是比较少的，那么如何更加亲民呢？我可可以尝试去克隆我们常用的一些网站。这里演示下，如何克隆某口的登录界面。
返回上级菜刀，我们输入2选择Site Cloner
效果如下：

请输入图片描述
当然我们也可以去克隆xxxbao

 

 

注意：使用setoolkit时，会自动在当前运行的目录下生成.set目录。每做完一次操作，可以删除下该目录，否则可能会遇到一些奇怪的错误。

root@kali:~# pwd

/root

root@kali:~# rm -rf .set/

转载：https://mp.weixin.qq.com/s/6ACOjDNubG0r7Cf8e55kCA