1. 极安网首页
  2. 网络安全技术

SET社会工程学攻击

严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。

社会工程攻击,是一种利用“社会工程学” (Social Engineering)来实施的网络攻击行为。比如免费下载的软件中捆绑了流氓软件、免费音乐中包含病毒、钓鱼网站、垃圾电子邮件中包括间谍软件等,都是近来社会工程学的代表应用。

Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET),它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由David Kenned设计,而且已经成为业界部署实施社会工程学攻击的标准。

SET利用人们的好奇心、信任、贪婪及一些愚蠢的错误,攻击人们自身存在的弱点。SET最常用的攻击方法有:用恶意附件对目标进行 E-mail 钓鱼攻击、Java Applet攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击手段。

本文目的

本文将演示如何借助 SET+MSF 渗透工具对局域网内(桥接模式)的 Win 7 虚拟机靶机进行 网络钓鱼(欺骗用户的账号密码)、生成木马、获得主机Shell、权限提升、远程桌面监控、账户Hash值获取、日志清除、后门植入、钓鱼邮件等一套较为完整的渗透测试流程。

钓鱼网站

下面演示如何借助 SET 工具构建钓鱼网站,并窃取用户的账号密码。
SET社会工程学攻击-极安网
注意下面所述的钓鱼网站攻击方法将不适用于动态验证机制的网页。网站登录机制分为动态和静态验证两种,比如说有些网站的登录使用了图形验证码、短信验证码、二维码登录、图形滑块验证等,这些就是动态验证。而比如一些企业内部后台、部分低级网站、各种学校管理平台、校园网登录平台等基本都是只要账号密码对就能上去,不用其他验证的网站就是静态验证。

默认模板

1、在使用 SET 之前,检查并更新其版本,确保最新:
SET社会工程学攻击-极安网
2、在终端输入 setoolit开始运行 SET,选择第1项进入社工模块:
SET社会工程学攻击-极安网

3、然后选择第2项——网站攻击模块:
SET社会工程学攻击-极安网
4、接着下选择第3项——凭证收集攻击:
SET社会工程学攻击-极安网

本文转载:TrueBW,不代表 极安网 立场,转载请注明出处:https://secvery.com/3492.html