前言:
Setoolkit是一個攻擊工具集,有着許多攻擊方法、漏洞利用代碼、輔助腳本等。
使用:
我們在kali中的shell(終端)中輸入setoolkit即可打開工具,可見以下提示:
- Social-Engineering Attacks 社會工程攻擊
- Penetration Testing (Fast-Track) 滲透測試(快速通道)
- Third Party Modules 第三方模塊
- Update the Social-Engineer Toolkit 更新社會工程師工具包
- Update SET configuration 更新集配置
- Help, Credits, and About 幫助、學分和關於
這裏我們輸入“1”並回車,我們又可以看到有11個選項。我們輸入“2”並回車,又有8個選項,我們輸入“3”並回車,可以看到有3個選項,選擇“1”中是選擇自帶的三個測試模板,選擇2是自定義。我們輸入“2”並回車。會提示:
IP address for the POST back in Harvester/Tabnabbing [IP地址]:
這裏讓你輸入IP地址(或域名),如果默認就直接回車。(如果選擇域名,就需要將域名解析到該主機)
我們默認直接回車,這裏提示:
[-] SET supports both HTTP and HTTPS
[-] Example: http://www.thisisafakesite.com
set:webattack> Enter the url to clone:
我們在Enter the url to clone:後輸入需要克隆的URL地址,比如:http://www.baidu.com/
當提示:
[] Cloning the website: http://www.baidu.com/
[] This could take a little bit…
的時候,我們需要等待一會兒,然後提示:
The best way to use this attack is if username and password form
Fields are available. Regardless, this captures all POSTs on a website.
[] You may need to copy /var/www/ into /var/www/html depending on where your directory structure is.
Press {return} if you understand what we’re saying here.
的時候,我們再按回車,就可以看到提示:
[] The Social-Engineer Toolkit Credential Harvester Attack
[] Credential Harvester is running on port 80
[*] Information will be displayed to you as it arrives below:
這時候,我們訪問剛剛的IP地址(或域名),就可以看到網站已經完成克隆,那麼我們打開的時候,會在下方提示出來返回數據,以及網站的數據。
後言:
互聯網的世界固然虛擬,但是也依舊有一片陰暗的天。