实验主机:kali win10 (搭建好的dvwa靶场用于克隆登录页)
setoolkit简介:setoolkit 是一个开源的社会工程学工具包。有很多选项可以使用更多操作读者自行探究。
实验开始:kali终端输入setoolkit (setool可以tab键补全)
回车运行之后是这样:
下滑有社工包选项:
翻译如下:
1)social-Engineering Attacks 社会工程学工具(鱼叉式网站攻击)
2)Penetration Testing (fast-TRack) 快速追踪测试
3) Third Party modules 第三方模块
4) Updata the social-Engineer Toolkit 升级软件
5)Updata SET configuration 升级配置
6)help 帮助,关于
99)退出
选第一个输入1按回车出现如下
意思如下(谷歌翻译)
1)矛盾攻击向量
2)网站攻击向量
3)感染性媒体生成器
4)创建有效载荷和侦听器
5)大众邮件攻击
6)基于Arduino的攻击向量
7)无线接入点攻击矢量
8)QRCode Generator攻击向量
9)Powershell攻击向量
10)第三方模块
99)返回主菜单。
钓鱼网站所以选2网站攻击
1)Java小程序攻击方法
2)Metasploit浏览器利用方法
3)资格收割机攻击方法
4)tabnabbing攻击方法
5)网络升降机攻击方法
6)多攻击网络方法
7)HTA攻击方法
99)返回主菜单
这里我们选3
1)网络模板
2)站点克隆器
3)自定义导入
99)返回Webattack菜单
这里我们输入2克隆网站实现钓鱼网站有自己创建的网站也可以自定义导入自己的模板把域名改为和需要克隆的差不多就行。
这里默认
回车
交互提示输入需要克隆的网站这里拿dvwa的登录页测试
输入账号密码后kali 可以看见所输入的账号密码
点击登录会重定向到正确的网站用户不会发现账号密码已经泄露。
总结:社工包现在没有域名只能局域网访问后续可以申请一个域名互联网用户都可以访问。域名尽量与要克隆的网站相似最后再用社工手段诱导用户输入。
ps:禁止用于非法用途,违者自负。
