Kali--社会工程学工具-social engineering toolkit（SET）

 Kali--social engineering toolkit（SET）

目录

前言

社会⼯程学概念

社会工程学工具使用

总结

加油各位( •̀ ω •́ )y 期待与君再相逢

---

前言

突然想到kali里面有个渗透测试工具SET

今天在kali里面   利用现成的工具给大家演示如何制作一个简单的钓鱼网站

 社会⼯程学概念

社会⼯程学通常以交谈、欺骗、假冒或⼝语等⽅式，从合法⽤户中套取⽤户系统的秘密。熟练的社会⼯程师都是擅长进⾏信息收集的⾝体⼒⾏者。很多表⾯上看起来⼀点⽤都没有的信息都会被这些⼈利⽤起来进⾏渗透。⽐如说⼀个电⼦号码，⼀个⼈的名字，或者⼯作的id号码，都可能被社会⼯程师所利⽤。

社会工程学工具使用

首先打开常用程序在13栏里 打开social engineering toolkit(root)

 使用这个工具需要root用户的权限，启动时需要输入密码kali

打开成功会显示这个页面

SET是一个菜单驱动的工具包，启动之后的SET工作界面如下图所示： 

这里有6行命令 你必须知道是什么意思

在这里就直接给你翻译了 

1) Social-Engineering Attacks                     1） 社会工程攻击
2) Penetration Testing (Fast-Track)             2） 渗透测试（快速通道）
3) Third Party Modules                                 3） 第三方模块 
4) Update the Social-Engineer Toolkit        4） 更新社会工程师工具包
5) Update SET configuration                       5） 更新集配置  
6) Help, Credits, and About                         6） 帮助、学分和关于

99) Exit the Social-Engineer Toolkit           99）退出社会工程师工具包

在这里我们选择第一个选项—Social-Engineering Attacks （其他选项，宝们( •̀ ω •́ )y可以下去自行查看）

Social-Engineering Attacks的功能选项栏

 翻译如下

Social-Engineering Attacks 中一共包含10个功能，分别是：
   1) Spear-Phishing Attack Vectors               1） 矛式网络钓鱼攻击向量
   2) Website Attack Vectors                            2） 网站攻击向量
   3) Infectious Media Generator                     3） 感染性媒介发生器
   4) Create a Payload and Listener                4） 创建有效负载和侦听器
   5) Mass Mailer Attack                                   5） 群发邮件攻击
   6) Arduino-Based Attack Vector                  6） 基于Arduino的攻击向量
   7) Wireless Access Point Attack Vector      7） 无线接入点攻击向量
   8) QRCode Generator Attack Vector            8） QRCode生成器攻击向量
   9) Powershell Attack Vectors                       9） Powershell攻击向量
  10) Third Party Modules                                10） 第三方模块

  99) Return back to the main menu.               99）返回主菜单。

我们选择第二项Website Attack Vectors 网站攻击向量（因为我们目标明确所以其他功能，宝们( •̀ ω •́ )y可以下去自行查看）

 Website Attack Vectors  中一共包含7个功能，分别是：

   1) Java Applet Attack Method                        1） Java小程序攻击方法
   2) Metasploit Browser Exploit Method          2）Metasploit浏览器利用方法
   3) Credential Harvester Attack Method         3）凭证收割机攻击方法（钓鱼网站攻击）
   4) Tabnabbing Attack Method                        4）Tabnabbing攻击方法        
   5) Web Jacking Attack Method                      5）网页劫持攻击方法                    
   6) Multi-Attack Web Method                           6）多种网站攻击Web方法
   7) HTA Attack Method                                     7）HTA攻击方法

  99) Return to Main Menu                               99）返回主菜单
 

我们选择第三项 Credential Harvester Attack Method  凭证收割机攻击方法（钓鱼网站攻击）

 Credential Harvester Attack Method中一共包含3个功能，分别是：

   1) Web Templates                                    1） Web模板
   2) Site Cloner                                           2） 网站克隆器
   3) Custom Import                                    3） 自定义导入

  99) Return to Webattack Menu              99）返回Webattack菜单

“Web Templates”（web模块）是指利用SET中自带的模版作为钓鱼网站，SET中选择了几个国外比较有名的网站，如Yahoo、Gmail等。

“Site Clone”（网站克隆）是SET中一个极为强大的功能，可以克隆任何网站。你可以使用它模拟出想要冒充的网站，如某个单位的办公系统等。

“Custom Import”（自定义导入）允许你导入自己设计的网站。

我们选择第三项 Site Cloner  网站克隆器

出现这代表你已经克隆成功了

然后我们在另一台主机上 访问刚刚克隆的网制（也是本地IP）

当对方访问时 这里会自动显示 对方的IP地址 访问时间

 当你输入账号 密码 并且登录时

它便会显示出来如图所示

如此你便得到了他的账号和密码

总结

• 这个网站和真实网站的登录界面是一模一样的，但你们克隆的并不是真正的服务器，我们克隆的网站只是克隆了一个登录界面
• 当我们登录之后，他便会自动跳回原来正确的网站，然后用户再输入了正确的用户名和密码就可以登录网站了，就像什么都没发生过。
• SET就是利用大部分人们，输错账号密码，页面会重新刷新，便不会在意的心理去进行欺骗
• 但是各位，目前虽然存在网络的安全危险，但大多数公司的网络安全其实很到位，像以上攻击对他们都没用，所以宝们自己注意点，这种网络欺骗肯定不在中。( •̀ ω •́ )y
• 最后说一点，本文章仅供大家学习分享，不要产生什么怀心事
• 还有如果哪位师傅有更好的建议和想法，也可以和我分享分享

加油各位( •̀ ω •́ )y 期待与君再相逢