此實驗僅用於學習,禁止違法目的~~~
setoolkit,即社會工程學工具集Social-Engineer Toolkit,該工具可用來產生釣魚網站,在kali上可直接使用,github上也有,下載鏈接 https://github.com/trustedsec/social-engineer-toolkit/set/。下面就是本次學習的記錄了。
首先打開kali終端,輸入setoolkit,就會出現下面
選項菜單:
1、社會工程學攻擊
2、快速追蹤測試
3、第三方模塊
4、升級軟件
5、升級配置
6、幫助
99、退出
選1
又是選項,
1、魚叉式網絡釣魚攻擊
2、網頁攻擊
3、傳染媒介式(俗稱木馬)
4、建立payloaad和listener
5、郵件羣發攻擊(夾雜木馬啊payload的玩意發給你)
6、Arduino基礎攻擊
7、無線接入點攻擊
8、二維碼攻擊(我喜歡)
9、Powershell攻擊
10、第三反模塊
99、返回上級
選2
1、java applet攻擊(網頁彈窗那種)
2、Metasploit 瀏覽器漏洞攻擊
3、釣魚網站攻擊
4、標籤釣魚攻擊
5、網站jacking攻擊(這個真心不明白,好像也和java的攻擊方式有些相同)
6、多種網站攻擊方式
7、全屏幕攻擊(不明所以的玩意,只能夠對谷歌郵箱和臉書用)
99、返回上級
很明顯,選3
之後可以選擇設置1、網站模版,2、設置克隆網站,3、自己設計的網站
選擇2.克隆網站,輸入本機ip,就是[ ]裏面的(也可以不輸),回車,然後輸入要克隆的網站url。
我們需要去找一個登錄網站,
隨便找了一個https://passport.ustc.edu.cn/login?service=https%3A%2F%2Fjw.ustc.edu.cn%2Fucas-sso%2Flogin,回車可以發現網站正在克隆,直到出現下面的就是克隆成功了。
瀏覽器中輸入kali的ip就可以訪問了。
可以說和原來的幾乎一樣了,當然仔細看還是有差別的。一些CSS樣式沒有克隆下來。下面是原網站:
在釣魚網站中輸入賬號和密碼,提交之後在控制檯就可以看到輸入的信息了,網站也會返回到原來被克隆的網站,不易被人發現。
還有選擇網站模板的方法可參考https://www.freebuf.com/sectool/73409.html
注意事項:
1、使用網站克隆的方式原理:setooltie將網頁下載,然後用自己的服務器來進行顯示。所以要
佔用80端口。PS:用阿里雲主機的時候一開始沒有將80端口的其他程序關閉,導致端口被佔
用,釣魚網頁起不來。
2、實際應用的時候,最好佈置在公網上,還有將IP和域名綁定。
PS:千萬不要觸犯法律哦!