利用Social-Engineering Toolkit (SET) 工具來製作釣魚攻擊,取得目標帳戶資訊。
任務目標
作為滲透測試人員,能夠快速製作釣魚網站,利用各種手段誘導使用者進行輸入也是非常重要的,
您的任務就是利用現有的工具快速建構真假難辨的網站。
使用工具
The Social-Engineer Toolkit (SET)
作者:David Kennedy (ReL1K) @HackingDave
載點:https://github.com/trustedsec/social-engineer-toolkit
簡介:以社交工程設計的開源滲透測試框架,具有許多自定義攻擊方法,可快速進行攻擊。
攻擊環境
OS:Kali 2021.04
滲透目標:Windows Server 2016
進行演練
Step 1. 下載並安裝setoolkit
git clone https://github.com/trustedsec/social-engineer-toolkit/ setoolkit/
cd setoolkit
pip3 install -r requirements.txt
python setup.pyStep 2. 輸入sudo setoolkit
Step 3. 法律相關責任同意書,輸入y並按下Enter即可
Step 4. 選擇 1) Social-Engineering Attacks(社會工程學攻擊),輸入 1並按下Enter
Step 5. 選擇 2)Website Attack Vectors,輸入2並按下Enter
Step 6. 這邊問要做哪種釣魚網站,選擇 3)Credential……Method(憑證收集攻擊),輸入3並按下Enter
Step 7. 選擇Site Cloner(網站克隆)來客隆一個已存在的網頁,輸入2並按下Enter
Step 8. 這邊問你這台電腦的IP,預設不輸入的話,會為你自動填入此工具認為的本機IP【192.168.207.156】,如有多張網卡的話,可透過Ifconfig的資訊自行輸入欲輸入的IP。
這邊因【】內IP與我IP相符,按下Enter到下一步。
Step 9. 輸入要複製的網站
Step 10. 是否同意將網頁複製到此區域,按下Enter即可
Step 11.出現此畫面代表釣魚網站已架設在攻擊方電腦上,並開放80 Port供受害者連線
Step 12. 現在到受害者電腦打開瀏覽器到釣魚網站輸入帳戶並按下Enter,當然登入按鈕不會幫你登入到FB,但會回到原本的登入頁面。
Step 13. (最後一步).回到攻擊電腦,現在可以在你釣魚網站側錄輸出中找到剛剛受害者的帳號密碼。
討論
透過SET這套工具,可以做出極為相似的網站,這也告訴一般用戶使用時,都要特別小心了。
免責聲明
未經事先雙方同意,使用工具攻擊目標是非法的。請遵守當地法律規範。開發者與本作者對此工具不承擔任何責任,也不對任何濫用或損壞負責。
This is only for testing purposes and can only be used where strict consent has been given. Do not use this for illegal purposes, period.
共同作者
本篇文為吳同與Ryan.Chen共同創作。
