社会工程学工具集Social-Engineer Toolkit基础使用教程

关于社会工程学工具集Social-Engineer Toolkit (SET,以下简称SET)这玩意的名字相信各位也是知道一二了。SET和它的好基友Metasploit之间的亲密配合更是完美无缺,但是SET在国内的应用却不多。我想应该是它全英文的界面阻碍广大人民群众对它的爱。

本着有事没事都参一脚的精神,这篇文章只是基础性的简介,并没有全面的去介绍其各种玩法。望各位原谅。(当然不是为了2FB而来的)

首先是给各位SET下载地址

git clone https://github.com/trustedsec/social-engineer-toolkit/set/

我虚拟机用的kali,SET在这个位置。BT里面同样有。不过现在SET的更新方法和Metasploit一样是用git了。所以旧版BT可能更新比较麻烦

社会工程学工具集Social-Engineer Toolkit基础使用教程

当然我们在BT下也可来运行

[email protected]:~# cd /pentest/exploits/set/  [email protected]:/pentest/exploits/set#  [email protected]:/pentset/exploits/set#./set

运行界面如下,漂亮的界面

社会工程学工具集Social-Engineer Toolkit基础使用教程

之后是选项环节

社会工程学工具集Social-Engineer Toolkit基础使用教程

1、社会工程学攻击  2、快速追踪测试  3、第三方模块  4、升级软件  5、升级配置  6、帮助  99、退出

因为我们要看的是制作钓鱼网站,所以果断的选1

社会工程学工具集Social-Engineer Toolkit基础使用教程

嗯,又是选项

1、鱼叉式网络钓鱼攻击  2、网页攻击  3、传染媒介式(俗称木马)  4、建立payloaad和listener  5、邮件群发攻击(夹杂木马啊payload的玩意发给你)  6、Arduino基础攻击  7、无线接入点攻击  8、二维码攻击(我喜欢)  9、Powershell攻击  10、第三反模块  99、返回上级

我们选择2,应为是钓鱼网站

社会工程学工具集Social-Engineer Toolkit基础使用教程

依旧选项。。。。

1、java applet攻击(网页弹窗那种)  2、Metasploit 浏览器漏洞攻击  3、钓鱼网站攻击  4、标签钓鱼攻击  5、网站jacking攻击(这个真心不明白,好像也和java的攻击方式有些相同)  6、多种网站攻击方式  7、全屏幕攻击(不明所以的玩意,只能够对谷歌邮箱和脸书用)  99、返回上级

OK我们选择2

社会工程学工具集Social-Engineer Toolkit基础使用教程

之后让你设置是使用1、网站模版,还是2、设置克隆网站,或是3、自己设计的网站

这个克隆网站的要求就是最好是静态页面而且有有POST返回的登录界面,现在的百度啊QQ啊163啊都对于克隆没用了,当然各位可以运用鬼斧神工的制作技巧做出网页来

为了继续,我就选择网络模版

社会工程学工具集Social-Engineer Toolkit基础使用教程

这里是设置POST返回地址,写虚拟机的192.168.1.106

之后是选择网站模版,如果选择了克隆则提示输入要克隆的网址

社会工程学工具集Social-Engineer Toolkit基础使用教程

我选择的是google的,之后一路确定,就会自动设置一切了

社会工程学工具集Social-Engineer Toolkit基础使用教程

敲下回车后,会直接返回之前的选择界面,不过我们的钓鱼网站已经正式上线了。我们可以直接访问192.168.1.106看看

社会工程学工具集Social-Engineer Toolkit基础使用教程

这就是我们的钓鱼网站,在我输入用户名Nekotest密码2333333后,可以看见转跳到了一个post.php

社会工程学工具集Social-Engineer Toolkit基础使用教程

这个就是用于接受POST数据同时将页面转跳到正规页面的东西,之后我们访问硬盘的/var/www/目录,下面就是我们的钓鱼网站的全部

社会工程学工具集Social-Engineer Toolkit基础使用教程

而那个harvester_xxx_XXXXXXX.txt就是记录的刚才我们输入的密码和用户名的东西了

社会工程学工具集Social-Engineer Toolkit基础使用教程


以上就是SET的大概,其中的和Metasploit联用同样也是十分的厉害。可以说这两玩意在内网可以算得上是王者一样的工具了。

就在某咖啡,某餐馆,甚至自己制作移动无线冒充CMCC都是十分好的方法。

以上,望各位菊苣还请多多发挥自己的想象来运用。

*本文作者:喵呜君,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)