開源資安工具 – SET 不是設定啦! – Setoolkit

利用Social-Engineering Toolkit (SET) 工具來製作釣魚攻擊,取得目標帳戶資訊。

任務目標

作為滲透測試人員,能夠快速製作釣魚網站,利用各種手段誘導使用者進行輸入也是非常重要的,
您的任務就是利用現有的工具快速建構真假難辨的網站。

使用工具

The Social-Engineer Toolkit (SET)
作者:David Kennedy (ReL1K) @HackingDave
載點:https://github.com/trustedsec/social-engineer-toolkit
簡介:以社交工程設計的開源滲透測試框架,具有許多自定義攻擊方法,可快速進行攻擊。

攻擊環境

OS:Kali 2021.04
滲透目標:Windows Server 2016

進行演練

Step 1. 下載並安裝setoolkit

git clone https://github.com/trustedsec/social-engineer-toolkit/ setoolkit/
cd setoolkit
pip3 install -r requirements.txt
python setup.py

Step 2. 輸入sudo setoolkit

Step 3. 法律相關責任同意書,輸入y並按下Enter即可

Step 4. 選擇 1) Social-Engineering Attacks(社會工程學攻擊),輸入 1並按下Enter

Step 5. 選擇 2)Website Attack Vectors,輸入2並按下Enter

Step 6. 這邊問要做哪種釣魚網站,選擇 3)Credential……Method(憑證收集攻擊),輸入3並按下Enter

Step 7. 選擇Site Cloner(網站克隆)來客隆一個已存在的網頁,輸入2並按下Enter

Step 8. 這邊問你這台電腦的IP,預設不輸入的話,會為你自動填入此工具認為的本機IP【192.168.207.156】,如有多張網卡的話,可透過Ifconfig的資訊自行輸入欲輸入的IP。
這邊因【】內IP與我IP相符,按下Enter到下一步。

Step 9. 輸入要複製的網站

Step 10. 是否同意將網頁複製到此區域,按下Enter即可

Step 11.出現此畫面代表釣魚網站已架設在攻擊方電腦上,並開放80 Port供受害者連線

Step 12. 現在到受害者電腦打開瀏覽器到釣魚網站輸入帳戶並按下Enter,當然登入按鈕不會幫你登入到FB,但會回到原本的登入頁面。

Step 13. (最後一步).回到攻擊電腦,現在可以在你釣魚網站側錄輸出中找到剛剛受害者的帳號密碼。

討論

透過SET這套工具,可以做出極為相似的網站,這也告訴一般用戶使用時,都要特別小心了。

免責聲明

未經事先雙方同意,使用工具攻擊目標是非法的。請遵守當地法律規範。開發者與本作者對此工具不承擔任何責任,也不對任何濫用或損壞負責。

This is only for testing purposes and can only be used where strict consent has been given. Do not use this for illegal purposes, period. 

共同作者

本篇文為吳同與Ryan.Chen共同創作。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

11 + 17 =

Back To Top
error: Content is protected !!