社会工程学工具包基础教程

写在前面

现在,组织机构和企业们都已经采用各种软件和硬件的方案,把他们的网络安全边界控制的非常安全。然而,人们往往忽视了通过简单地发邮件或者打电话,就能让对方下载并打开那些可用于攻击的附件。SET攻击人们自身存在的弱点,利用人们的好奇心、信任、贪婪以及一些愚蠢的错误。社会工程学攻击已经成为普遍,而且对许多组织都造成严重威胁的一种攻击方式。而且SET更新蛮快的,我现在用的还是7.3.12版本,最新版本为7.6。然而以前好多的命令都不适用了,于是诞生了本文,蛤?

00x0 启动SET

不多逼逼,在终端执行setoolkit命令进入,界面如下:

这里选1进入SET:

让我这个还没过CET4的英语大神来给大家翻译一下这些内置在SET的模块。

1、鱼叉式网络钓鱼攻击
2、网页攻击
3、传染媒介式(俗称木马)
4、建立payloaad和listener
5、邮件群发攻击(夹杂木马啊payload的玩意发给你)
6、Arduino基础攻击
7、无线接入点攻击
8、二维码攻击
9、Powershell攻击
10、第三反模块
99、返回上级

选 2 ,进入上帝时刻:

1
2
3
4
5
6
7
8
1、java applet攻击(网页弹窗那种)
2、Metasploit 浏览器漏洞攻击
3、钓鱼网站攻击
4、标签钓鱼攻击
5、网站jacking攻击(这个真心不明白,好像也和java的攻击方式有些相同)
6、多种网站攻击方式
7、全屏幕攻击(不明所以的玩意,只能够对谷歌邮箱和脸书用)
99、返回上级

选择3:

1) 网站模板

2) 克隆网站

3) 自己设计网站

这里我们选择1,现在克隆网站的要求就是最好是静态页面而且有POST返回的登录界面,现在一些大厂商例如百度腾讯网易对于克隆没用了。接下来就是设置POST返回地址,这里写Kali的IP地址192.168.176.141.然后选择网站模板,这里我选谷歌的,然后一路狂飙。

当输入邮箱密码之后:

这里就能看到邮箱和密码了,当然,该文本也会保存在/var/www/目录下。

一个简单的钓鱼网站就搞定了,其实这只是SET的边边角角,多实践才会发现SET是有多么的强大。

我们一直都向往,面朝大海,春暖花开。 但是几人能做到,心中有爱,四季不败?