渗透测试--3.1.社会工程学攻击

社会工程学攻击

• 社会工程学攻击
• • SET介绍
  • • 1.kali启动SET
    • 2.选择菜单第1项：Social-Engineering Attacks:社会工程学攻击
  • 一、建立克隆钓鱼网站收集目标凭证
  • • • 步骤1：选择菜单第1项：Social-Engineering Attacks:社会工程学攻击
    • 步骤2：继续选择菜单第2项：Website Attack Vectors（网站攻击向量
    • • 步骤3：继续选择菜单第5项：Web Jacking 攻击方法
      • 步骤4：继续选择菜单第2项：Site Cloner --页面克隆
      • 步骤5：要求您提供一个 IP 地址(Kali Linux 计算机的 IP 地址，攻击机的 IP)
      • 步骤6：输入克隆的网址：[http://www.testfire.net/login.jsp](http://www.testfire.net/login.jsp)
      • 步骤7：模拟受害机登录网站，输入用户名和密码并尝试登录，观察到攻击机SET界面成功监听到受害机的用户名和密码信息。
  • 二、set工具集之木马欺骗实战反弹链接
  • 三、后渗透阶段
  • • • 1.查看主机系统信息
      • 2.到处用户密码的hash值
      • 3.获得shell控制台
    • 日志清除
  • 四、钓鱼邮件
  • • 工具简述
    • • Swaks基本用法：
      • • 1、swaks --to test@qq.com 测试邮箱的连通性；
        • 2、参数说明
        • 3、Kali 内置了swaks，
        • 4、在网站生成一个零时邮箱用来测试
        • 5、伪造一份来自 360hr 的邮件，
        • 6、点击查看邮件详情：
  • 总结

---

社会工程学攻击

社会工程攻击，是一种利用“社会工程学” (Social Engineering)来实施的网络攻击行为。

Kali Linux系统集成了一款社会工程学工具包 Social Engineering Toolkit (SET)，它是一个基于Python的开源的社会工程学渗透测试工具。这套工具包由David Kenned设计，而且已经成为业界部署实施社会工程学攻击的标准。

SET最常用的攻击方法有：用恶意附件对目标进行 E-mail 钓鱼攻击、Java Applet攻击、基于浏览器的漏洞攻击、收集网站认证信息、建立感染的便携媒体、邮件群发等攻击手段。

SET介绍

1.kali启动SET

或者在终端输入setoolkit命令

1. Social-E