開源資安工具 – 偽裝的社群網站 – shellphish

社交工程技術用於從個人或組織收集敏感信息,以進行欺詐或進行其他犯罪活動。

任務目標

作為滲透測試人員,您應該使用各種社交工程工具來審視組織的安全性與員工資安意識。
您將使用社群軟體嘗試讓使用者洩漏個人訊息,在真實情境中,攻擊者可能會使用這些訊息來進一步的對目標發起攻擊。

使用工具

ShellPhish v1.7
作者:github.com/thelinuxchoice
載點:https://github.com/stwater20/shellphish
簡介:可以產生Instagram、Facebook、Twitter等常用社群網站的「假」網站,引誘目標登入帳戶以竊取個人訊息。

攻擊環境

OS:Kali 2021.04
滲透目標:Win10

進行演練

Step 1. 開啟 Terminal 下載 shellphish 工具。

git clone https://github.com/stwater20/shellphish

複製shellphish到電腦上

Step 2. 切換到shellphish目錄,並設定 shellphish.sh 能夠執行的權限。

cd shellphish
chmod +x ./shellphish.sh

設定shellphish.sh執行的權限

Step 3. 執行 shellphish.sh 。

./shellphish.sh

選擇要偽裝的社群平台

Step 4. 根據目標對象選擇成功率最高的社群平台,工具就會建置 ngrok 並搭建網站伺服器。

自動假冒產生網址

Step 5. 透過任何方式將網址傳送給目標,目標點擊後,即收到受害者IP。

Step 6. 最後,待目標登入,成功取得帳號密碼。

討論

乍看之下,網址非常容易被識破,但您是否想過,Email的超連結是能夠用文字去隱藏真實連結的,社交工程的問題,值得沈思!

免責聲明

未經事先雙方同意,使用Shellphish攻擊目標是非法的。請遵守當地法律規範。開發者與本作者對此工具不承擔任何責任,也不對任何濫用或損壞負責。

Back To Top
error: 內容被保護 !!