Setoolki這個工具在kali自帶,github地址:https://github.com/trustedsec/social-engineer-toolkit
git clone https://github.com/trustedsec/social-engineer-toolkit/ setoolkit/
cd setoolkit
pip3 install -r requirements.txt
python setup.py
簡單的應用
setoolkit //進入工具頁面
進入後會有這樣幾個選項
我們選第一個
社會工程學攻擊
Select from the menu:
1) Social-Engineering Attacks //社會工程學攻擊
2) Penetration Testing (Fast-Track) //快速追蹤測試
3) Third Party Modules //三方模塊
4) Update the Social-Engineer Toolkit //升級軟件
5) Update SET configuration //升級配置
6) Help, Credits, and About //幫助
99) Exit the Social-Engineer Toolkit //退出
社工攻擊
以下有衆多選項我們選 網頁攻擊
Select from the menu:
1) Spear-Phishing Attack Vectors //魚叉式網絡釣魚
2) Website Attack Vectors //網頁攻擊
3) Infectious Media Generator //傳染媒介攻擊(木馬)
4) Create a Payload and Listener //建立payload和listener
5) Mass Mailer Attack //郵件羣發攻擊
6) Arduino-Based Attack Vector //Arduino基礎攻擊
7) Wireless Access Point Attack Vector //無線接入點攻擊
8) QRCode Generator Attack Vector //二維碼攻擊
9) Powershell Attack Vectors //Powershell攻擊
10) Third Party Modules //第三反模塊
99) Return back to the main menu. //返回上級
網頁攻擊
選擇 釣魚網站攻擊
1) Java Applet Attack Method //java applet攻擊
2) Metasploit Browser Exploit Method //Metasploit 瀏覽器漏洞攻擊
3) Credential Harvester Attack Method //釣魚網站攻擊
4) Tabnabbing Attack Method //標籤釣魚攻擊
5) Web Jacking Attack Method //網站jacking攻擊
6) Multi-Attack Web Method //多種網站攻擊方式
7) HTA Attack Method //全屏幕攻擊
99) Return to Main Menu //返回上級
釣魚網站攻擊
選 網站模板
1) Web Templates //網站模板
2) Site Cloner //克隆網站
3) Custom Import //自定義的網站
99) Return to Webattack Menu
測試
模板攻擊
PS
登錄成功後會跳轉到谷歌登錄頁面,從而降低被發現的概率,後續裝飾僞裝網站可以取得更好效果,網上也有許多網站模板,自己去找找。
克隆攻擊
測試:
通過前期信息蒐集拿到某站管理員信息及網站後臺登錄口
克隆這個登錄口
假設通過社工讓管理員填寫了賬戶密碼等信息
當管理員輸入完賬戶密碼後登錄又跳回源網站地址儘量不讓管理員發現異常
我們也就拿到了賬戶密碼